Cybersecurity: het raadsel van risico-afweging

Het NotPetya virus heeft de APM Terminals hard geraakt. Al meer dan 2 dagen kunnen er geen containers worden gelost. Aan andere organisaties lijkt het geruisloos voorbij te zijn gegaan. Wat maakt dat de ene organisatie hard wordt getroffen en de andere niet?

De eerste reflex is om te kijken naar de technische verdedigingswal: patch-management, anti-virus software, intrusion detection systems blijken immers vaak tekort te schieten. In dat geval is bekend dat NotPetya gebruik heeft gemaakt van een bekende kwetsbaarheid met een bekende patch en dat geeft te denken. Maar al te vaak blijft daarin de rol van de voorafgaande risicoafweging onderbelicht, het proces waarin dreigingen, impact en mogelijke tegenmaatregelen worden afgewogen.

Uiteraard kennen we als buitenstaanders de risicoafwegingen van APM Terminals niet. Wel waren er twee belangrijke momenten om die afweging nog eens kritisch te bekijken: bij het uitbrengen van de patch door Microsoft en later bij de uitbraak van Wannacry. Als buitenstaander blijft het een raadsel hoe de afweging bij APM heeft plaatsgevonden.

Natuurlijk is een van de lessen van NotPetya dat de technische verdedigingslinie sterk genoeg moet worden gehouden. Het beeld van de CISO als moderne Hansje Brinker, die een grotere ramp weer net weet af te wenden door attent optreden met veel improvisatietalent, is niet aantrekkelijk. De veiligheid van de dijk is immers onder de maat. En het is ook bekend dat veilige dijken een zaak zijn van lang vooruitkijken èn attent handelen op de korte termijn.

Al met al hoog tijd voor een review van de technische beveiliging en vooral voor een kritische blik op uw proces van risicoafweging.