“Het is niet de vraag of maar wanneer je wordt geraakt door een aanval. Hoe snel je die opmerkt en erop kunt reageren, is de maat voor succes bij beveiliging.” Dat is het professionele uitgangspunt van John McClurg, vicepresident en chief security officer bij Dell. McClurg werkte eerder bij de FBI waar hij jacht maakt op spionnen en phreakers, hackers die het op de telecomverbindingen voorzien hebben. Daarna werkte hij bij Honeywell en Lucent voordat hij, vier jaar geleden, in dienst kwam bij Dell. In die vier jaar heeft hij het niveau van de IT-beveiliging van het bedrijf zelf sterk verbeterd. Zo sterk dat Dell de Security 500 van het Amerikaanse Scurity Magazine, de lijst van de 500 veiligste IT-bedrijven, al twee jaar aanvoert. Terwijl het voor de komst van McClurg daar niet eens in voorkwam.

Hoe kwam u bij Dell terecht?
“Michael Dell vertelde mij dat hij op een nacht wakker schrok en zich realiseerde dat veel IT-innovaties binnen zijn organisatie zeer veel voordelen voor klanten hebben, maar dat die innovaties ook tot grote schade kunnen leiden als ze misbruikt worden als de beveiliging ervan niet op orde is. Hij zocht een optimaal model voor beveiliging en kwam toen terecht bij het model dat ik heb ontwikkeld toen ik nog bij de FBI jacht maakte op phreakers.

Mijn model combineert de fysieke met de digitale beveiliging, want die eerste ondermijnt de cyberveiligheid. Die phreakers forceerden sloten en gingen zo in gebouwen naar binnen om gegevens te stelen waarmee ze verder konden. Als vreemden makkelijk je kantoor binnen kunnen komen, is je netwerk niet meer veilig.”

Werkt dat FBI-model ook voor bedrijven?
“Ja. Al heb ik het in de loop van de tijd wel aangepast, ik denk dat zeker één op de drie bedrijven ermee werkt. Ook bij Lucent heb ik het toen ik daar ging werken ingevoerd. Omdat Lucent te maken kreeg met een enorme koersval moest het allemaal veel minder. Daarvoor heb ik de Minimally Essential Core ontwikkeld; de minimale beveiligingsmaatregelen die je moet nemen.”

Wat zijn de belangrijkste maatregelen die u heeft genomen voor de IT-beveiliging van Dell?
“Toen ik hier vier jaar geleden kwam, ben ik eerst begonnen met het laaghangend fruit, bijvoorbeeld de 110.000 endpoints die geen van alle met encryptie werkten. Daar hebben we onmiddellijk de technologie van Credent voor gebruikt, dat Dell eerder al overgenomen had. Ik werk veel met de producten van Dell. Zo heb ik Novell vervangen, alleen al omdat het veel te duur was, door de beheerproducten van Quest, dat toen ook net eigendom van Dell was. Aan de hand van analyses van de concurrentie heb ik bekeken waar mogelijke dreigingen zaten. Zitten daar bedrijven bij die staatseigendom zijn, zoals Lenovo? Dan moet je dus letten op advanced persistent threats, langdurige aanvallen. Daar heb ik gelijk Secure Works voor ingezet, dat ook net was overgenomen.”

U gebruikt zo veel mogelijk eigen producten, maar geeft ook dringend aanvullende wensen door aan de ontwikkelaars daarvan. Wat miste u vooral?
“Toen we die totale constellatie van IT-beveiligingsoplossingen hadden gemaakt, zagen we dat elke oplossing zeer veel data opslaat en zichzelf daarmee kan verrijken. Met elkaar communiceren konden die oplossingen weer niet, terwijl je daar juist een veel grotere verrijking mee kunt bereiken. Nu dwingen we de ontwikkelaars zoveel mogelijk die oplossingen aan te passen waardoor ze wel informatie kunnen uitwisselen. De firewall ziet nu dat iemand iets naar de cloud probeert te sturen dat niet versleuteld is. Dat mag niet. De firewall wordt zo een Data Loss Prevention-technologie. De Sonic Wall-firewalls delen de data met Secure Works. Door de verbindingen uit te breiden krijgen APT-specialisten veel inzicht in mogelijke dreigingen met al die data.

Die verbindingen en de voorspellende mogelijkheden zijn van het grootste belang voor je beveiliging. Ik werk met Kitanga en Statsoft, analytische tools voor ongestructureerde en gestructureerde data die Dell heeft overgenomen.Wij hebben bijvoorbeeld onlangs een algoritme getest waarmee je profielen van gebruikers kunt analyseren om te zien of er mogelijk spionnen tussen zitten. Bij die test kwam een van de managers als spion naar boven. Dat zorgde voor een enorme schok. Hij was geen spion hoor, maar het geeft de mogelijkheden weer. Waarbij ik moet benadrukken dat iemand natuurlijk wel echt iets misdaan moet hebben voordat we ingrijpen.”

Wat vreest u meer: dreigingen van buitenaf of die van binnenuit?
“Ik focus heel sterk op de dreigingen van binnenuit. Dat heeft te maken met mijn verleden. Bij de FBI was ik spionnenjager. Dat is heel erg puzzelen en dan nog pak je ze meestal pas als ze al schade hebben aangericht. Ik vroeg me af of ik ze niet eerder kon vangen, vóór ze schade hebben aangericht. Dat zie ik ook binnen bedrijven. Die vertrouwde insider fascineert mij. Ik geloof echt dat dreigingen van binnenuit zeer groot zijn. Je geeft iemand binnen het bedrijf vertrouwen en daarmee rechten waardoor hij van binnenuit veel kwaad kan.”

Software is een belangrijke oorzaak voor onveilige ICT. Hoe gaat Dell hiermee om?
“Hiervoor moet je heel basale maatregelen nemen, dan voorkom je al heel veel lekken. Bij Dell is het werken volgens de software development lifecycle verplicht. Daar moet je je aan houden als je software ontwikkelt. Alles in de supplychain van Dell moet goed beveiligd zijn en software is een onderdeel van die keten.”

De FBI zou geweten hebben dat hackers geïnfiltreerd waren in de netwerken van Sony, maar zou het bedrijf niet gewaarschuwd hebben. Zou de FBI niet veel opener moeten zijn?
“Dat is niet zoals ik de FBI ervaar. Toen ik bij Honeywell werkte, waren er veel advanced persistant threats op oliebedrijven. Voor Honeywell keken we daarom heel nauwkeurig naar de logs, maar zagen daar niets vreemds aan. Uiteindelijk werden we door de FBI gebeld dat een van onze Honeywell-systemen onder controle stond van een Chinese server. Ik zie juist een robuuste samenwerking met de FBI en die moet je ook hebben. Zij hebben de wettelijke mogelijkheden om veel meer te monitoren dan bedrijven. Wij hebben hun medewerking dus echt nodig. En ik heb nooit ervaren dat ze ons niet ter wille waren.”

Waarom is het management van nog zo veel organisaties nog steeds niet te overtuigen dat ze veel beter moeten beveiligen?
“Bij kleinere bedrijven heerst de misvatting dat ze te klein zijn om interessant te zijn voor cybercriminelen. Zij geloven in ‘security by obscurity’. Dat werkt niet meer. De slechteriken weten dat alles met elkaar verbonden is, dat zo’n klein bedrijf ook onderdeel is van de keten waarin grote organisaties zitten die moeilijker aan te vallen zijn. Dus zakken ze af in die keten. Via die kleintjes komen ze dan binnen bij de grote organisaties.

Wat de smoes is van de grote bedrijven? Die worden afgeleid door heel veel andere dingen. Ze moeten kiezen tussen een groot aantal goede dingen om te doen, en dat is vaak níet beveiliging. Daarbij komt dat veel organisaties beursgenoteerd zijn en voortgejaagd worden om maar met goede cijfers te komen; dat maakt ze kortzichtig. Beveiliging levert niet direct extra winst op.”

De IT-beveiliging kan nog zo goed ingericht zijn, het resultaat ervan staat of valt met de wijze waarop de medewerkers het beleid uitvoeren.
“Als bedrijf moet je beseffen dat beveiliging iets is dat je allemaal moet doen. Niet als vervelende verplichting maar als een onontbeerlijk aspect voor vooruitgang. Dat doen wij hier stap voor stap. We hebben het ook niet meer over IT-beveiliging maar over Business Assurance. Wij zijn allemaal die business – en dus met elkaar verbonden. We sturen regelmatig blogs of filmpjes over dit onderwerp naar de medewerkers; alles om maar de visie met elkaar te delen dat beschermen en Business Assurance bij de productie horen – dus ook een veilig gebruik van social media.

Een werknemer is bovendien een wat ik noem een ‘extended being’. Ik kan hem of haar vertellen wat hij wel en niet mag op het werk, maar er is ook een privéwereld van die werk­nemer – hij heeft kinderen, familie. Je kunt zelf goed geïnformeerd zijn, maar je familie kan ook dingen op Facebook zetten waar hackers iets mee kunnen. Stel je voor: je dochtertje speelt een voetbalwedstrijd en jij gaat niet kijken om de een of andere reden. Ze heeft een jaar niet gescoord, maar die wedstrijd scoort ze wel en jij bent er niet bij. Dat geeft je een schuldgevoel. Dan, op maandagochtend, ontvang je een mailtje met als onderwerp: foto van winnend doelpunt. De foto die je dochter op Facebook had gezet. Daar klik je op. Zulke aanvallen met spearfishing zijn zo ontzettend verleidelijk door hun ongelooflijke gerichtheid. Dat sterkt mij in de overtuiging dat hoe goed het beveiligingsprogramma van een organisatie ook is; het is niet de vraag of maar wanneer je wordt geraakt door een aanval. Daarom moet je goed kijken hoe je de IT-infrastructuur gesegmenteerd hebt, zodat je een infrastructuur hebt die ondersteunt dat onderdelen die geraakt zijn door een aanval gecontainerd worden – geïsoleerd van de rest zodat de schade zo beperkt mogelijk blijft.”

Gaan we het uiteindelijk winnen of verliezen van de bad guys?
“Er is hier geen winnaar. Dit is een eeuwigdurend gevecht. In deze wereld versla ik misschien mijn vijand op een zeker moment, maar ik wéét dat er een nieuwe aanvaller aan zal komen. Wel zal het spel veranderen omdat we predictief en proactief worden. Daardoor zullen er minder aanvallers zijn en dus minder vaak aanvallen, hoe briljant en volhardend die bad guys ook zijn. Maar ik verwacht niet dat ik het nog mee zal maken dat ik mijn ontslagbrief krijg omdat mijn werk af is.”