Intensiever cloudgebruik, de komst van 5G: de technologische ontwikkelingen razen maar door. Dat biedt talloze kansen, zoveel is zeker. Maar behalve bedrijven profiteren ook hackers ervan. Sterker nog, met alle risico’s van nu geldt cybersecurity zo langzamerhand als een alomvattend thema, zo weten ze bij KPN Security maar al te goed. Vandaar dat cto Erno Doorenspleet het niet genoeg kan benadrukken: wie online een stap zet, heeft veel om goed over na te denken. ‘Dat een provider jouw data beveiligd afschermt, ontslaat je niet van je aansprakelijkheid.’
– ‘Migreren is uiteraard prima, maar sla geen stappen over.’
– ‘Met 5G verdubbelt de encryptie naar 256 bits.’
– ‘Hoe meer verbindingen openstaan, hoe meer een ander ermee kan doen.’
– ‘5G gaat zorgen voor veel nieuwe toepassingen’
– ‘Internet stopt niet bij de grens. En dat geldt voor cybercrime net zo goed.’
‘De basissecurity moet op orde zijn’
Al die technologische mogelijkheden vandaag de dag: Erno Doorenspleet vindt ze prachtig. Of het nu gaat om artificial intelligence (AI) of een technologie als quantum computing: het wordt voor bedrijven alleen maar mooier, sneller en krachtiger. En dan komt in de nabije toekomst ook het 5G-netwerk eraan. Doorenspleet ziet ernaar uit. ‘Met 5G wordt het helemaal interessant, niet in de laatste plaats voor de maakindustrie.’
Over de kansen van 5G later meer. Want, zo stelt Doorenspleet, hoe mooi zo’n ontwikkeling ook is, laten we niet te hard van stapel lopen. State-of-the-art technologie implementeren? Zeker doen als het je verder brengt, vindt hij. Maar zorg er wel voor dat het allemaal in een goed beveiligde omgeving gebeurt. Het is dan ook cybersecurity waarvoor Doorenspleet, als cto bij KPN Security, voortdurend aandacht heeft. Samen met een team van onder meer legal hackers en researchers onderzoekt en achterhaalt hij wat op cybervlak fout kan gaan bij een bedrijf. En geloof hem maar: dat is inmiddels een fikse lijst.
Neem alleen al de cloud waarin veel bedrijven, ook in de maakindustrie, hun data online opslaan, delen en bewerken. Juist nu, in het jaar van corona, is het gebruik van de cloud stevig gegroeid. Meer thuiswerken, meer online verkeer: veel bedrijven die vorig jaar nog wat afwachtend waren, zetten nu de stap, zo merkt Doorenspleet. ‘Migreren is uiteraard prima, maar sla geen stappen over. Wie online een stap zet, heeft veel om goed over na te denken.’
Bewust zijn van risico’s
Praat met Doorenspleet over een toepassing zoals de cloud en het gaat niet eens zozeer over de techniek an sich. Natuurlijk, een datacenter is nodig, net als servers en harde schijven. Maar waar het voor hem vooral om draait, is dat gebruikers van diezelfde cloud zich goed bewust moeten zijn van de risico’s. ‘Het is geen kwestie van snel overstappen en klaar. Dat een provider jouw data beveiligd afschermt, ontslaat je niet van je aansprakelijkheid voor wat er met diezelfde data gebeurt.’
Het is dan ook aan bedrijven zelf om verantwoord om te gaan met de eigen data, benadrukt Doorenspleet. Ongeacht of het nu gaat om de Europese General Data Protection Regulation (GDPR), waaraan alle bedrijven binnen de EU moeten voldoen, of om NAW-gegevens in een klantenbestand. ‘De cloud moet meer zijn dan alleen makkelijk. De basissecurity moet op orde zijn.’
Voldoende transparantie
Doorenspleet begrijpt dat bedrijven bij hun stap naar de cloud hun kostentechnische afwegingen maken. ‘Toch moet dat niet de doorslag geven om voor een clouddienst te kiezen. Want wat gebeurt er met jouw data wanneer die op een server staan waarvan je de locatie niet kent? Waar je niet kunt meekijken en waarvan onbekend is onder welke lokale regelgeving je valt? Zomaar een locatie zorgt qua compliancy voor risico’s. Zorg er daarom voor dat je zeker weet waar en in welk land je data komen te staan.’
‘Je wilt controle over je data. Vraag een provider er dan ook naar’
Bovendien, zo stelt Doorenspleet, leidt voldoende transparantie door een provider tot controle. ‘De vraag is in hoeverre je zaken kunt monitoren als je naar de cloud gaat. Kunnen alle securitycomponenten voor databescherming communiceren met de cloudtoepassingen in je bedrijf? Je wilt simpelweg weten wie een document waar heeft neergezet en wie toegang tot dat document heeft. En je wilt kunnen zien of iemand zonder toestemming toegang probeert te krijgen. Kortom, je wilt controle over je data. Zulke voorwaarden moet elke provider kunnen geven.’
Zo bezien doet een bedrijf er verstandig aan oog te hebben voor het totaalpakket aan diensten, vindt Doorenspleet. ‘Dat is precies wat wij bij KPN Security bieden. We profileren ons met hét netwerk van Nederland, dat onder andere bestaat uit krachtige datacenters en een aansluiting op stabiel en snel internet. En dat alles in een land waar we de faciliteiten hebben om ons volledig toe te leggen op het bieden van continuïteit en veiligheid. Dat hele pakket, overzichtelijk en betrouwbaar, is voor ons erg belangrijk.’
Network slicing
Dan over dat 5G-netwerk. Velen kijken ernaar uit vanwege de hogere online snelheden, maar er ligt volgens Doorenspleet nog een ander voordeel in het verschiet. ‘Gaat het 4G-netwerk uit van een encryptie van 128 bits, met 5G verdubbelt dat naar 256 bits. Daarmee ontstaat de mogelijkheid om data in aparte lagen te versturen over dezelfde verbinding, en sommige van die lagen extra te monitoren én te beveiligen.’ Doorenspleet ziet mede door dat zogeheten network slicing tal van nieuwe verbindingen ontstaan. ‘Denk aan drones in fabriekshallen, waarmee je via een stabiele realtime verbinding op afstand kunt zien of de leidingen nog in orde zijn. 5G gaat zorgen voor veel nieuwe toepassingen.’
Datzelfde netwerk geeft bovendien een impuls aan het ‘Identity of Things’, als een extra laag over het Internet of Things (IoT). ‘Juist in de maakindustrie versmelten de OT- en IT-omgeving meer en meer. Toch moeten maakbedrijven alert zijn op het maken van die online koppelingen; zomaar industriële componenten op het internet aansluiten is onverstandig als de gelaagdheid aan security niet op orde is. 5G draagt bij aan de veiligheid, met het toekennen van unieke identiteiten aan afzonderlijke apparaten. Daardoor kan bijvoorbeeld een operator in een productieomgeving ervan uitgaan dat een bepaald proces daadwerkelijk wordt aangestuurd door die ene component. En niet door een kwaadwillend persoon vanaf een geheel andere locatie.’
Zwakke schakels
Blijft de vraag of het dan alleen de techniek is waar we met z’n allen op moeten letten. Integendeel, stelt Doorenspleet. Er zijn meerdere zwakke schakels te benoemen (zie kader), en die vallen toch grotendeels toe te schrijven aan ons menselijk handelen. ‘Vraag je bijvoorbeeld af of die ene verbinding wel altijd aan moet staan. Hoe meer er openstaat, hoe meer een ander ermee kan doen.’
Basissecurity mag dan deels common sense zijn, maar is het uiteindelijk niet aan een provider als KPN om ervoor te zorgen dat voor een klant alles goed wordt geregeld, ook waar het gaat om de cloud? ‘Nogmaals’, benadrukt Doorenspleet, ‘de klant blijft zelf verantwoordelijk voor z’n data. Maar wil een klant volledig migreren naar de cloud, dan nemen wij hem bij de hand, vanaf de intake tot en met de uiteindelijke verhuizing.’
Bij KPN Security ontwikkelen ze hun kennis en kunde op cybervlak in elk geval voortdurend, vertelt Doorenspleet. ‘Bovendien delen we die kennis graag, zeker voor een kruisbestuiving tussen sectoren. Vandaar dat we ons heel specifiek op die kennisdeling richten met onder meer ons event NLSecure[ID], dat in januari 2021 online plaatsvindt. En hoewel we dat vooral voor Nederlandse bedrijven doen, hebben we ook in Europees verband onze samenwerkingen. Internet stopt niet bij de grens. En dat geldt voor cybercrime net zo goed.’
Ook de keten moet veilig zijn
Eén muisklik in een mail van een afzender met kwade bedoelingen en de gevolgen zijn mogelijk niet te overzien. Is dat dan per definitie de fout van de desbetreffende medewerker? Zeker niet, vindt Erno Doorenspleet. ‘Je kunt nooit zomaar naar de medewerker wijzen. Want hoe komt het dat die persoon überhaupt de link kon aanklikken? Train je personeel. Zorg ervoor dat iedereen de basiskennis heeft én dat security op meerdere lagen in de organisatie is doorgevoerd. Je kunt een hack-aanval tussentijds ondervangen, ook nadat op die frauduleuze link is geklikt.’
De mens kan een zwakke schakel zijn, dat zeker. Maar vergis je niet, stelt Doorenspleet, het kan met de cloud ook misgaan wanneer je in de online portal van alles instelt, maar niet precies weet wat daar verder achter zit. Bovendien is er nog een derde risicofactor: de keten. ‘Stel dat een medewerker van de toeleverancier inlogt op het netwerk van de klant en zijn laptop bevat malware. Dan kan zo’n infectie zomaar door de hele organisatie gaan. Je kunt voor jezelf wel alles zo veilig mogelijk hebben afgedekt, maar als je de keten over het hoofd ziet, blijft het risico er net zo goed. Dat is zeker iets om in de gaten te houden.’