Stevige kritiek cyberbeveiligers op plan voor jaarlijkse IT-audit

Vorige week werd bekend dat de Nederlandse vereniging van it-auditors (Norea) werkt aan een certificaat waarmee bedrijven kunnen aantonen dat hun netwerken veilig zijn. Experts in cybersecurity keuren het plan af, maar niet iedereen kan zich in de kritiek vinden. De discussie is met name of zo’n certificaat iets toevoegt, maar het punt “we zijn hier te vroeg mee” is ook wel een hele leuke.

Norea werkt aan een it-auditverklaring, schrijft het op de website. De Nederlandse Orde van Register EDP-Auditors is de beroepsorganisatie van IT-auditors in Nederland, en je zou dus verwachten dat die wel iets weten van het auditten van IT-0mgevingen. Security is daar een onlosmakelijk deel van, dus niet gek dat men ook daar een slag wil slaan.

Het verslag van de Norea-auditor, vaak een accountant, geeft een breed oordeel: zowel over de weerbaarheid van een organisatie tegenover hackers, als over de kwaliteit van de digitalisering in een organisatie. En het is dat “vaak een accountant” waar de security-pro’s over vallen. Want, zoals Alex Bik, technisch directeur van BIT zegt: Een echte techneut die de techniek snapt, staat over het algemeen niet te trappelen om bij een accountantskantoor te gaan werken.

Waar ik dan weer tegenover wil stellen dat zulke slimme mensen toch ook juridische adviesbureaus binnenstappen, en dat we toch ook al geruime tijd werken met ISO certificeringen rondom security. Als deze certificeringsorganisaties capabele mensen kunnen vinden, waarom dan niet de it-auditbedrijven?

Fundamenteler vind ik de kritiek dat een jaarlijkse verklaring te statisch is. Security verandert immers een stuk sneller dan je jaarrekening, en een bedrijf dat in januari gecertificeerd is kan prima in februari gehackt worden zonder dat dat iets afdoet aan de waarde van het certificaat. Maar wat heb je er dan aan, aan zo’n momentopname?

Daarentegen vind ik de stap verder die Norea wil nemen weer wél een goeie:

Volgens Vettewinkel-Raymakers van Norea zijn [certificeringen als ISO27001 en NEN7510] hiervoor juist onvoldoende: ‘Bij deze certificering wordt niet gekeken naar wat er daadwerkelijk gebeurt bij een organisatie. Wij kijken ook in hoeverre bedrijven zich aan de regels houden.
En zeker bij de bedrijven die ict niet als core business hebben, lijkt het me echt een goede om niet alleen de papieren checks af te gaan maar ook daadwerkelijk met je toetsenbord in de modder te gaan zitten. Daar kan de Norea aanpak dus wel degelijk meerwaarde bieden.

Het komt voor mij dan uiteindelijk neer op ‘beter iets dan niets’ versus ‘dit is onvolledig dus je houdt jezelf voor de gek’. Maar gezien het belang van security heb ik echt liever kleine stapjes vooruit en zeer basale verbeteringen (zoals dat mensen eindelijk pátchen, backups maken en wachtwoorden als welkom123 tegenhouden) dan dat we nog een paar jaar wachten op een mooi Europees framework.

Arnoud

15 reacties

  1. Met dit soort audits en ook met bijvoorbeeld ISO normeringen heb ik altijd wat gemengde gevoelens. Aan de ene kant heb je ze nodig en kunnen ze goed ondersteunen bij de cybersecurity in een organisatie. Aan de andere kant ken ik weinig organisaties die ISO hebben en cybersecurity goed hebben geregeld. Dit soort frameworks richten zich altijd op risicomanagement. En organisaties zijn vrij in hoe zij risico’s bepalen en behandelen. En daar gaat het vaak mis. Risico’s worden niet goed ingeschat en/of te snel geaccepteerd.

    Voorbeeld: Indien je als productiebedrijf een machine hebt staan die cruciaal is voor jouw bedrijfsvoering maar helaas nog Windows XP draait, dan kun je daar je risicomanagement proces voor starten. In de proces worden de risico’s van een hack afgewogen tegen het niet meer gebruiken van Windows XP. Die laatste opties zorgt voor onaanvaardbare consequenties voor de bedrijfsvoering en dus wordt door de CEO gekozen om het risico te accepteren. Als organisatie ben je compliant en ‘in control’.

    Een hacker die via phishing binnenkomt doet een interne scan, vind de Windows XP machine, kan deze misbruiken en heeft na enkele minuten de sleutels van het koninkrijk. Je kunt je prima verdedigen tegen zo’n aanval, alleen heb je dan wel technische kennis en kunde nodig.

    En daar gaat het naar mijn idee vaak mis. ISO / auditors kijken naar processen en of dat processen worden toegepast. Ze kijken echter niet naar het perspectief van de aanvaller en waar die gebruik van maakt om zijn doelen te halen. Daar zijn deze auditors niet voor opgeleid. En dan kun je risico’s niet goed inschatten en heb je onvoldoende mogelijkheden om goede mitigerende maatregelen te nemen.

    Wil de verklaring echt wat betekenen? Dan dient ook een pentest te worden uitgevoerd waarbij geen kritische findings zijn gevonden en de pentesters zijn gedetecteerd door een SOC. Maar ben bang dat deze IT auditors dat niet mee gaan nemen.

    1. Precies dit. De auditors verwachten een berg papier en dan is alles goed, zolang zij maar een beetje kunnen zien dat er wordt gedaan wat in die berg papier staat. Maar die berg papier an sich, zegt helemaal niets over het niveau van de informatiebeveiliging.

      Als kleine organisatie zijn de vereisten van klanten en certificeringen best wel een ‘struggle’. Als ik daarvoor aanklop bij een IT-auditor, wordt verwacht dat ik een bak papier ga opstellen, terwijl ik m’n informatiebeveiliging gewoon op orde wil hebben en het papierwerk me een zorg zal zijn. Er zou een standaard framework en een standaard lijst van eisen moeten zijn, en niet de vaagheid die een ISO27002 is of het complete zelfgekozen normenkader van een ISAE3000/3402. Ja natuurlijk zijn de risico’s verschillend per organisatie, maar dat betekent niet dat het niet veel concreter kan en dat er niet een vaste lijst met concreet toepasbare eisen kunnen zijn. Dat voorkomt ook dat allerlei risico’s maar gewoon geaccepteerd worden.

      In de tussentijd zie ik andere partijen, met ISO27001 en SOC2 enz. enz., die doodleuk al hun configuratie van al hun klanten plaintext en publiek op Github hebben staan door een ‘foutje’ (echt meegemaakt afgelopen jaar). Dan vraag ik me af waar al die certificeringen toch in godesnaam goed voor zouden zijn.

      1. Het mooiste zou zijn als er voorschrijvende frameworks zouden zijn. Dat is alleen ontzettend lastig en kan vaak alleen als er een groot belang is om aan het framework te voldoen. Zo zie je dat PCI-DSS zo’n framework is en je geen creditcard data mag verwerken als je niet compliant bent. Hetzelfde geld voor bijvoorbeeld de ABDO voor omgaan met staatsgeheimen.

        Een alternatief zou kunnen zijn dat pentesten verplicht worden. Maar het recente lek bij de coronatest straat geeft aan dat kwaliteit en scope van belang zijn of het waarde heeft.

        Alles bij elkaar een heel complexe uitdaging die nu ingevuld lijkt te worden door de aanpak van finacial compliance te kopiëren. Ik ben bang dat het weinig gaat oplossen, al zou het wel goed zijn als het opgelost kan worden.

      2. Mike, ik ben het met je eens dat je met minimale normen zou moeten werken, maar mijn inziens zouden die normen per sector kunnen verschillen, omdat verschillende sectoren nu verschillende risico’s kennen. In de gezondheidszorg werk je met medische patiëntgegevens (en nieuwsgierig personeel); in de maakindustrie werk je met embedded systemen waar veiligheidsgaten niet standaard opgelost worden… En het staat bedrijven vrij om zichzelf hogere eisen dan een minimumnorm op te leggen.

      3. Mike, als de papierhandel niet klopt met de werkelijkheid, dan is er dus een probleem. Er is gelogen, of men weet het niet en schrijft maar wat op. De papierhandel klopt dan niet, inhoudelijk. Ook als je onacceptabele risico’s accepteert, doe je het gewoon verkeerd, of je proces in orde is of niet. Een beetje hetzelfde als dat een rijbewijs en verkeerslichten wel helpen, maar niet voorkomen dat iemand een auto tegen een boom rijdt. En dat is de kern van het probleem vaak: securitymensen houden zich bezig met verkeersregels, ongevalstatistieken, wegindeling, verkeerslichten, drempels, ga zo door, maar kunnen niet op de stoel van de automobilist gaan zitten. Die wil van A naar B, en als het niet gaat zoals het moet, dan moet het maar zoals het gaat 🙂

        1. Hans, dat klopt, maar helaas is de praktijk altijd dat de papierhandel niet klopt met de werkelijkheid en dat de IT-auditor eigenlijk geen enkel idee van echte informatiebeveiliging heeft. Net als dat de jurist die met een verwerkersovereenkomst komt wapperen alles ook prima vindt als je die maar blind tekent, en moeilijk gaat doen als je z’n onbeperkte aansprakelijkheid niet accepteert, zonder dat op enig moment iemand daadwerkelijk iets vraagt over de informatiebeveiliging, want die ISO27001 sticker of welke TPM dan ook ‘zal wel goed zijn’ (wat dus niet zo is, doordat die auditors geen idee hebben van informatiebeveiliging).

          Als enige realistische oplossing zie ik een framework wat de verwachte maatregelen zelf invult, in plaats van de huidige vage frameworks die invulling overlaten aan de partijen zelf. Dat zorgt er ook voor dat je als partij je een stuk minder hoeft bezig te houden met het papierwerk. Je moet er dan tenslotte vooral nog voor zorgen dat je die controls ook daadwerkelijk implementeert en kan daar dan gewoon steekproefsgewijs op getoetst worden waarbij echt op de techniek wordt ingegaan.

          1. Ik ben bij een van mijn vorige werkgevers “interne kwaliteit auditor” geweest. Dat betekende dat we moesten controleren of de procedures die afgesproken waren in het kader van de kwaliteitsnormen ook nageleefd werden. Ik de meeste gevallen (we deden 1 tot 2 audits/jaar) werden er kleine afwijkingen geconstateerd. De zwaarste aanbeveling die we ooit gedaan hebben was aan de kwaliteitsmanager: “Wanneer in de procedures een andere persoon verantwoordelijk wordt gemaakt voor een taak, zorg ervoor dat betrokkene(n) daarover expliciet geïnformeerd worden.”

  2. En dan komt er elk jaar iemand van Mazars of EY langs die een standaard script draait tegen de Windows KA-omgeving en dan gaat ie zeuren over wat die tool aan output geeft. De Linux omgeving die 5 keer zo groot is en waar echt de dingen op gebeuren die er toe doen wordt altijd over het hoofd gezien, want ja Linux dat is toch wel lastig allemaal, en al die dingen die daar op draaien nou poeh hee tja.

    Twee vliegen in een klap: ze gaan altijd door tot ze iets gevonden hebben wat niet goed is, want ze moeten met verbeterpunten komen, en ze zeuren altijd over de wachtwoord expiration policy en complexity rules, al staat al jaren als een paal boven water dat die dingen contraproductief werken t.a.v. security. Dus je laat die instelling gewoon staan zoals ie staat (passwords never expire en verder ook geen gedoe) en dan komen ze het jaar erna weer met hetzelfde puntje. Zij blij want een verbeterpunt en jij blij want ze zeuren niet over dingen die wel lastig zijn. Het punt is nou ook weer niet ernstig genoeg dus het vinkje en de krabbel komen er. En volgend jaar doen we hetzelfde dansje.

    1. Richard, waarom werken jullie nog met alleen wachtwoorden en niet met een twee factor authenticatie systeem? Hoeveel schade doe je je klanten aan als jouw beveiliging faalt?

      En ja, een goede auditor doet ook een scan op het Linux deel van het netwerk. Dat kan ietsje duurder zijn dan “Beun de Haas” met zijn “goedkeuring is bijna gegarandeerd” audits, maar hoe beter de scan, hoe kleiner de kans op datalek of ransomware.

      1. werken jullie nog met alleen wachtwoorden en niet met een twee factor authenticatie systeem?
        Wie zei dat we niet met 2FA werken?

        Dat kan ietsje duurder zijn dan “Beun de Haas” met zijn “goedkeuring is bijna gegarandeerd” audits
        Ik heb het nu dus over RE auditors die in dienst zijn bij de big 4….

        1. Wie zei dat we niet met 2FA werken?

          Ik maak dat op uit het gezeur over “wachtwoord wijzigen” en “wachtwoord complexiteit”. Bij een twee factor systeem is een wachtwoord policy minder relevant geworden omdat het niet meer de enige authenticatiefactor is. 2FA is tegenwoordig goedkoop genoeg voor een brede implementatie, zeker als je gevoelige gegevens moet beschermen.

          1. Zie het meer als een klacht, dan een technisch iets. Zo’n password expiration policy staat al jaren in elke boeken. Het is waarom de Helpdesk maandelijks gek wordt en passwords gaat mailen, die dan op een gele post-it worden geschreven die aan de monitor hangt. Maximaal 8 characters, hoofd- en kleine letters, geen opvolgende characters, en minstens 1 getal en speciaal character: Welkom-2020-06.

            Die consultant gaat terug en klaagt dat de koffie verschrikkelijk was en het script niet genoeg aanbevelingen gaf, dus R&D duikt snel in dezelfde boeken om haar baan veilig te stellen.

            Als de overheid het echt wil regelen: het aanpakken van buitenlandse cybercrime op de Nederlandse (kennis)economie voor staatsveiligheid, dan moet het investeren in meer dan een nieuwe norm of certificaat. En niet de kosten afschuiven op midden-en kleinbedrijf, of aan grootbedrijf als soort extra belastingaanslag.

            Dan maak je maar decentrale SOC-teams. Dan zet je overal verplicht Zero Trust in. Laat je de forensie door NCTV uitvoeren. Waarschuw je bedrijven over lekken op het deep web. Zet je wat medewerkers in consultant-rollen, die ook werkelijk wat te doen hebben, en gaan klagen over andere dingen dan koffie.

            Niet dat de grote 4 consultants niet capabel zouden zijn. Maar dat zijn ook niet bepaald de mensen die zelf ooit een exploit hebben geschreven. Die een bedrijf hebben proberen te hacken dat met password expiry protocol werkt (alsof er ooit 1 hacker dacht: oef, straks veranderen ze het wachtwoord en dan heb ik geen toegang meer!). Meer de mensen die bij de grote 4 belanden, of in de overheid, waar men nieuwe IT audit plannen schrijft.

            Beter iets dan niets.

          2. Bij een twee factor systeem is een wachtwoord policy minder relevant geworden

            Dat is nou exact mijn punt. Er worden opmerkingen gemaakt die niet bijdragen aan een daadwerkelijk veiliger omgeving.

            Een wachtwoord policy is sowieso niet zo relevant, overigens (minimale lengte uitgezonderd).

  3. De kern van deze audits wordt de toets of de PDCA over de gehele IT in orde is. Het gaat dus niet over de cyber security an sich, maar over of het management “in control” is, Dat is de basis. Dta is ook logisch, en hard nodig, want de meestgehoorde kritiek van Security – en IT professionals is dat hun management de zaak niet in de grip heeft. Bij frameworks voor dit soort audits moet je denken aan COBIT of ISO20000 . Zijn alle noodzakelijke processenb ingericht. Is er budget, evanlautie, bijsturing. En even belangrijk het gata niet over een certificering, wat je vaak ziet bij ISO – alleen de opzet en bestaan (een papieren realiteit) wordt getoettst. Norea wil hier veel meer de richting van SOC of ISAE op gaan. Daar wordt niet alleen de opzet en bestaan, maar ook de werking (effectiviteit) getoetst. Leidt wat het management doet, tot de gewenste resultaten (bijvoorbeeld haal je je SLA doelen , je innovatie doelen, leer je van incidenten , los je problemen op) et cetera. ZIjn je assets en je licenties op orde. Kortom, het gaat best ver.

    Als laatste, zulke audits ontwikkelen zich snel. Een goede audit kan echt niet alleen met interviews en policy docjes alleen. je ziet dat er een markt komt voor process monitoring, het (automatisch) vastleggen en loggen van al je acties rond IT beheer . Niet alleen incidenten, changes en problems, maar denk ook aan testen, teruglezen van backups, je 4 eyeys checks, en noem maar op. Denk aan systemen als Grexx box, Complions, maar ook IBM roert zich hier al flink. IBM zgt dat in-control zijn voor security en IT als geheel, en dan zonder data, is als een financiele administratie zonder boekhouding. Dat gaat echt niet meer en ik ben dat met ze eens.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.