Als data het nieuwe goud is, zijn bedrijfsgeheimen een goudmijn. Een ex-medewerker van zowel ASML als NXP zit al maanden vast op verdenking van spionage namens Rusland; recent begon de rechtszaak tegen hem. De hoogste bomen vangen veel wind: wellicht is deze verdachte de enige spion tussen honderden anderen die niet binnenkwamen. Toch laat het incident zien dat elk bedrijf vatbaar is voor een securitygevaar dat niet te vangen is in incident response, patchbeheer of threat intelligence. Hoe dan wel?
We spreken erover met Erik de Jong, Chief Research Officer bij Tesorion, die bedrijfsspionage vangt onder risicomanagement in een bredere zin. “Cybersecurity is in het beste geval goed risicomanagement, en meestal ‘living on the edge and pray we make it’.”
Lees verder: AIVD: ex-ASML’er speelde data door naar Rusland
Hij concludeert dat securityproblemen niet simpelweg met genoeg budget weg te toveren zijn. “Grote of high-risk bedrijven zijn misschien wel volwassener in hun securitymaatregelen, maar zijn tegelijkertijd ook vele malen complexer, bijvoorbeeld door het aantal mensen en het aantal systemen. Hierdoor zijn ze ook vele malen moeilijker weerbaar te houden.”
Niks fout doen
De Jong ziet dat bedrijven met een vergelijkbaar profiel als dat van ASML continuïteit prioriteren voor op de korte termijn, en niet bedrijfsspionage. “De pijn van spionage uit zich pas in termen van jaren. Bedrijfscontinuïteit gaat over de korte termijn en is dus acuut.”
We moeten volgens hem dus af van het idee dat ASML, NXP of welk ander spionagedoelwit dan ook de veiligheid niet op orde had. Het is een fictie dat elke Russische spion op voorhand te ontmaskeren is. “Als buitenstaander denk je misschien: wat stom dat het mis kon gaan. Dat is helemaal niet zo. Voor hetzelfde geld hebben ze zich gerealiseerd dat je sommige gaten niet kunt dichten.” Denk aan het screenen van personeel en het monitoren van hun gedrag. Het is een fluitje van een cent om alsnog je scherm te fotograferen met je mobiel; moet elke werknemer de eigen telefoon inleveren aan het begin van elke werkdag?
“Mensen proberen over het algemeen gewoon hun werk te doen”, aldus De Jong. Oftewel: maak je het uitvoeren van hun werk te lastig, bijvoorbeeld door een te restrictief inlogbeleid, dan werkt dit averechts. Wie belemmerd wordt zonder voldoende uitleg, gaat de securitysystemen omzeilen. Dat weten partijen als Okta maar al te goed als het om identity security gaat. Als je niet op een werkbare manier via het officiële en beschermde kanaal kan inloggen en communiceren met collega’s, dan is WhatsApp of Signal altijd in de buurt. Dat is niet een kwaadaardige zet, maar een menselijk feit.
Hand in hand
Security en bedrijfsvoering moeten dus verenigbaar zijn. De Jong stipt aan dat een securitymedewerker kansen kan zien om álle gaten te dichten, maar dat die ambitie onhaalbaar is door onbedoelde gevolgen zoals hierboven omschreven.
De Jong benoemt een mogelijke opstelling van bedrijven met gevoelige data: niet alleen het voorkomen van spionage, het proberen te voorkomen van elke dreiging is relevant. Dat betekent dat het zo vroeg mogelijk detecteren ervan belangrijk is. Wat voor een externe partij overkomt als het falen van een securitybeleid, zou net zo goed een succesverhaal kunnen zijn. We hebben het bij ASML en NXP namelijk niet over voortdurende lekken of grootschalige IP-diefstal, voor zover bekend natuurlijk. De Jong vergelijkt de houding die partijen als deze nemen op het gebied van risicomanagement met wetten om autoverkeer zo veilig mogelijk te maken: je kunt het aantal ongelukken terugdringen, maar nooit voorkomen. “Dat kunnen kleinere organisaties leren van grote partijen”, voegt De Jong toe.
Niet in rapporten te vinden
Er is in de bedrijfswereld een nadruk te bespeuren op de meetbare incidenten en directe gevaren die organisaties teisteren, waarbij er toch iets uit het oog verloren wordt op de langere termijn. De Jong erkent dit: “Voor de meeste beursgenoteerde bedrijven zijn de komende kwartalen belangrijker dan de komende jaren.” Hij acht het daardoor een logisch gevolg dat cyberincidenten meer aandacht krijgen dan bedrijfsspionage.
Je kunt bedrijfsspionage niet vangen in cyberrapporten. Ze zijn niet veelvuldig genoeg om zomaar trends in op te merken en blijven (indien volledig succesvol) simpelweg onopgemerkt. De Jong noemt het een “onzichtbaar fenomeen”. Daar waar eCrime voor iedereen een probleem is, zitten overheden voortdurend aan de knoppen om elkaars technische innovaties te doorspitten. Dat is geen beroepsmisdaad, maar wel een IT-gevaar.
Bij Tesorion gaan er vanzelfsprekend alarmbellen af als er bij een klant verontrustende digitale signalen worden afgegeven. Een bedrijfsspion die data exfiltreert naar een onbekende locatie, valt evengoed op als een cybergevaar. “Als je iets ziet, reageer je direct. Maar als je een vaag vermoeden van spionage hebt, hoeveel tijd ga je erin stoppen om dat echt te onderzoeken wanneer cybersecurity niet tot je kernactiviteiten behoort?”
Niet elk bedrijf moet zich een ASML wanen. Maar beginnende organisaties besteden security uit aan hun IT-afdeling en denken er vervolgens zo min mogelijk over na, of ze gaan er soms ten onrechte vanuit dat de cybersecurity goed geregeld is. Wanneer ze volwassen zijn geworden en de ademruimte hebben voor een alomvattende securitybenadering, moeten organisaties volgens De Jong al beter in de gaten hebben wat ze precies beschermen.
In zijn optiek is een organisatie door talenttekorten en een onvermijdelijke groei in complexiteit gedwongen om risico’s te prioriteren. Vandaar dat er in de C-suite continu aandacht moet zijn voor het eigen risicoprofiel, dat van jaar tot jaar kan veranderen. Tesorion heeft al uitgebreid gesproken over de opkomende rol van de CISO, die een sturende functie kan opeisen rondom risicobeheer en een perspectief kan kweken rondom risicomanagement, waar het voorkomen van bedrijfsspionage onder valt. “Dat is niet alleen een IT-feestje”, vertelt De Jong. Het draait net zo goed om het juist beoordelen van personeel.
Inschatting maken
Het inschatten van personeel kan uitbesteed worden aan externe onderzoeksbureau’s. Een achtergrondcheck vindt tevens soms verplicht plaats door een inlichtingendienst. Dat draait ook om het peilen van een integriteitsgevoel, merkt De Jong op. Wie immers werknemer wordt zonder een zorgwekkende achtergrond, kan na het aannemen alsnog benaderd worden door een statelijke actor. Hoe chantabel en corrumpeerbaar iemand is, moet bij bedrijven met zeer gevoelige gegevens eveneens worden ingeschat.
Tesorion zelf is overigens ook een vertrouweling voor bedrijven en dus een risicofactor. Managed security-leveranciers (MSSP’s) moeten regelmatig diep in de IT-systemen van klanten kijken als er een incident plaatsvindt. Vandaar ook dat statelijke actoren MSSP’s infiltreren, zelfs relatief kleine spelers. Tesorion heeft als mkb met circa 150 medewerkers het dreigingsprofiel van een groot high-tech bedrijf, aldus De Jong. Allerlei
zaken perken dit risico wel weer in: een zo kortstondig mogelijke dataretentie, enkel noodzakelijke toegang tot gevoelige gegevens, et cetera. “Maar uit de aard van wat wij doen, blijven we spannende informatie hebben.”
Securitybedrijven zelf moeten maatregelen naleven die voor andere organisaties niet werkbaar zouden zijn. Dat is dan het voordeel van een personeelsbestand aan “beroepsgedeformeerde nerds”, zoals De Jong zijn collega’s gekscherend omschrijft. Die hebben door waarom een streng beleid vereist is.
Conclusie: risico’s serieus nemen
Wie op directieniveau de eigen security serieus neemt, belandt vanzelf op het onderwerp van risicobeheer. Dat trekken organisaties met een ernstig ogend dreigingsprofiel verder dan alleen incidenten. De vraag “wie is geïnteresseerd in onze innovatie”, moet beantwoord worden met zowel potentiële klanten als mogelijke kapers op de kust. Vervolgens blijkt de impact van de maatregelen die nodig zijn om die informatie te waarborgen.
“Gelukkig is het zo dat veel maatregelen zowel criminaliteit als spionage dekken”, stelt De Jong. Denk aan MFA, segmentatie, vulnerability management, asset management, enzovoort. Je mag hierin alleen minder fouten maken dan andere organisaties als staatsactoren het op je gemunt hebben, benadrukt hij. De gaten die voor een crimineel te klein zijn om te exploiteren, zijn voor overheden met een lange adem wellicht al meer dan genoeg motivatie om een infiltratiepoging te doen.
Toch blijkt hier andermaal dat de kosten de pan niet uit moeten rijzen, vertelt De Jong. Vertrouwen is, in al zijn menselijkheid, het belangrijkst. Als je die redenering volgt en kijkt naar de risico-afwegingen, dan moet je die voor jezelf, je organisatie en ook naar de toezichthouder (RDI) kunnen verantwoorden. Bij het maken van het beleid ga je uit van risico’s en mogelijke schade. Die schade kan door toedoen van bedrijfsspionage fors zijn, toegegeven, maar wanneer je kijkt naar het totaalplaatje over de jaren heen dan wordt het overgrote deel van de mogelijke risico’s ruim op tijd onderkent en gemitigeerd.
Luister ook onze Techzine Talks-aflevering met Erik de Jong van Tesorion: