Cybersecurity zou Agile moeten zijn

geplaatst in: Agile, Alle Blogs, DevOps, Security | 0

Dit artikel is geschreven vanuit mijn hotelkamer tijdens mijn bezoek aan het DEF-CON 26 evenement in Las Vegas, Nevada, VS.

Vandaag had ik het voorrecht om de presentatie van Veronica Schmitt bij te wonen, een Zuid-Afrikaanse beveiligingsprofessional met een speciale interesse voor digitale medische hulpmiddelen. Veronica is afhankelijk van een pacemaker die op afstand kan worden gemonitord. Ze heeft zich daarom toegelegd op het verbeteren van de beveiliging van dit soort apparaten. Haar presentatie gaf een schokkend inzicht over de staat van cyberbeveiliging (of beter het gebrek aan) in de medische wereld.

Medische apparaten zoals pacemakers, insulinepompen of andere toepassingen, zijn tegenwoordig toegankelijk via verschillende netwerktechnologieën waarbij de gemakkelijkste nu wifi en bluetooth zijn. Veel ervan zijn alleen gebouwd voor functionele doeleinden en bevatten alle elementaire veiligheidsmaatregelen zoals toegangscontrole, ‘hardening’, enz. Als ze wél echte beveiligingsmaatregelen aan boord hebben, dan zijn deze vaak met standaard waardes opgeleverd (zoals standaard wachtwoorden). Het wijzigen van deze instellingen of het patchen van de software kan leiden tot aansprakelijkheidsproblemen voor ziekenhuizen omdat de garantie dan komt te vervallen.

Het wordt zelfs nog erger: wanneer een leverancier van medische hulpmiddelen de veiligheid van de apparaten wil verbeteren, moeten ze deze producten certificeren bij de juiste autoriteiten (bijvoorbeeld de FDA in de VS, hiervoor ben je dus aangewezen op verschillende instanties), wat tijdrovend en kostbaar is.

Ook hebben veel ziekenhuizen slechte of geen cybersecurity procedures geïmplementeerd. Netwerken zijn niet gesegmenteerd, systemen zijn niet gepatched of ge-updated en wachtwoorden zijn met post-its op schermen geplakt. Het simpelweg gebruiken van een Wifi-hacktool in de wachtkamer zou genoeg zijn om toegang te krijgen tot de meeste systemen.

Later die dag ging ik naar een workshop waar deelnemers een insulinepomp konden hacken met behulp van een netwerkkabel en een kopie van Kali Linux. Het testonderwerp was een insulinepomp uit 2005 die binnen enkele seconden werd gehackt: voer gewoon nmap uit, ontdek poort 23, telnet is open en maak een verbinding. Geen vereiste referenties: standaard root-toegang. Hoewel dit model verouderd was en werd vervangen door een meer beveiligde versie, is het nog steeds overal ter wereld in gebruik (40.000 wereldwijd verkocht).

Het bovenstaande is niet alleen beperkt tot de wereld van de gezondheidszorg. Je kunt in elke organisatie hetzelfde meemaken, van overheid tot multinational.

Wat is de oorzaak van dit probleem?

Is het een gebrek aan technische kennis? Een gebrek aan bewustzijn? Zou het introduceren van meer processen, meer regels het antwoord zijn?

Ik geloof van niet. Ik realiseer me wel dat veel van deze problemen worden veroorzaakt door deze sturende elementen.

Als security trainer geef ik les in best practices voor security management, zoals verandermanagement, patchbeheer, levenscyclusbeheer, enz. Het doel van deze procedures is het risico van ongeautoriseerde en niet-gevalideerde wijzigingen in informatieverwerkingssystemen te verminderen. De beveiligingsmantra is echter dat deze controles met grote nauwkeurigheid moeten worden uitgevoerd en geïmplementeerd, anders zal dit leiden tot onaanvaardbare aansprakelijkheden en andere ernstige gevolgen. Bijvoorbeeld: een patch moet secuur worden getest voordat hij kan worden geïmplementeerd, anders zou het mogelijk een fix voor het ene probleem kunnen zijn, terwijl het tien nieuwe problemen veroorzaakt. Dat kan niet de bedoeling zijn.

Het klinkt eigenlijk allemaal zo logisch en acceptabel, toch? Nou, hier komt de crux: dit werkt alleen perfect in een omgeving waarin alles vooraf vast staat en voorspelbaar is.

De wereld van vandaag is echter dynamisch en onvoorspelbaar. Dit vereist dat organisaties zich sneller moeten aanpassen aan nieuwe (en oude) bedreigingen. Er zijn veel obstakels die organisaties hiervan weerhouden. Ik kijk nu naar drie van deze belemmeringen:

1. Erfenis of technical debt
2. Regelgeving en wetgeving
3. Vervormd risicobeheer

Erfenis of technical debt

Veel organisaties (vooral de grotere en oudere) hebben een enorm aantal aan onderling verbonden informatiesystemen. Veel van deze systemen zijn in de afgelopen decennia opgebouwd en zijn zeer verweven geraakt met de bedrijfsprocessen. Deze systemen beschikken echter niet over voldoende cyberbeveiligingsmogelijkheden en moeten op andere manieren worden beschermd: strenge controles zoals wijzigingsbeheer, configuratiebeheer en patchbeheer (om er maar een paar aan te duiden). Dit is een vicieuze cirkel die alleen kan worden verbroken als deze systemen worden vervangen door agile en veilig werkende architecten.

Regelgeving en wetgeving

Regelgeving is vaak een belemmering voor organisaties om een meer flexibele aanpak van cyberbeveiliging aan te passen. Vooral voor leveranciers van kritieke infrastructuren (zoals gas, water, wegen, enz.) En producten/diensten die van invloed zijn op de persoonlijke veiligheid (vliegtuigen, auto’s, medische apparatuur, enz.).

De enorme aansprakelijkheidsrisico’s ontmoedigen leveranciers om flexibele beveiligde producten vrij te geven. Dit komt doordat de regelgeving strenge veiligheids- en compliance testen vereist waaraan ze moeten voldoen.

Contracten moeten de fabrikant beschermen tegen elke aansprakelijkheid, bijvoorbeeld als de klanten de producten zelf willen bijwerken of aanpassen.

Vervormd risicobeheer

Risicobeheer is het in balans brengen van de kosten van beveiligingsmaatregelen versus de verwachte schade die een beveiligings bedreiging zal veroorzaken en de waarschijnlijkheid dat dit zal gebeuren. Het vereist voortdurende het verzamelen van informatie over instelling bedreigingen, cyber dreigingen, kwetsbaarheden, wetgeving en bovenal een goed begrip van de architectuur van het informatiesysteem.

Dit lijkt een rationeel proces, maar dat is het niet. Risico analyse en behandeling kunnen misgaan, omdat beleidsmakers tegenstrijdige belangen of prioriteiten kunnen hebben. Ook kunnen vertekeningen of het ontbreken van goede en betrouwbare informatie leiden tot slechte beslissingen. Vaak worden risico’s geaccepteerd of weggewuifd omdat de beslisser niet degene is die de pijn van zijn/haar beslissing voelt. Wetten en voorschriften proberen dit effect te bestrijden door senior beslissers persoonlijk aansprakelijk te stellen.

Dus wat nu?

Veel organisaties kiezen voor een Agile-aanpak (zoals Scrum, SAFe, DevOps) om producten en diensten sneller te ontwikkelen, te leveren en te verbeteren. Deze benaderingen van voortdurende verbetering zijn niet nieuw en hebben brede acceptatie gekregen.

Dus waarom kunnen we vergelijkbare methodieken niet voor cyberbeveiliging gebruiken? We hoeven het wiel niet opnieuw uit te vinden: er is veel ervaring beschikbaar, toch?

De drie eerder behandelde obstakels gaan niet weg, zelfs niet als je een flexibele cyberbeveiligings benadering toepast.

Om technical debts kwijt te raken, zijn visie, moed en vastberadenheid vereist. Kaders zoals SAFe kunnen helpen. SAFe biedt een zogenaamde architectonische run-way: terwijl je aan iets nieuws werkt, moet je eerst de bestaande systemen opschonen of buiten gebruik stellen.

Vervormd risicobeheer kan worden bestreden door een cultuur te creëren waarbij transparantie en openheid ontstaat binnen de organisatie.

Ten slotte is er een voortdurende dialoog nodig tussen industriële sectoren, overheid en regelgevers om de behoefte aan een agile cyberbeveiliging benadering aan te pakken.

Bekijk onze trainingen op het gebied van security om zelf het voortouw te nemen en security by design te kunnen gaan toepassen.

Laat een reactie achter