In gesprek met Ruben Raadsheer, Chief Security bij HP
Security: waar staan we en waar gaan we heen? Wat computing, printing en alle technologie die hiermee samenhangt betreft, zijn er weinig organisaties zo geschikt als HP die hierover zowel expertise op de huidige stand van security hebben als hierover een visie op morgen kunnen geven.
Aangezien het IT-landschap in snel tempo verandert en blijft veranderen, is een gesprek met Ruben Raadsheer, Chief Technologist bij HP, de perfecte aangelegenheid om te bespreken waar we staan, waar we heen gaan en waar kansen liggen op security-vlak.
Ruben Raadsheer van HP
Ruben Raadsheer studeerde 6 jaar aan de Hogeschool van Amsterdam, waar hij zijn Bachelor Information Engineering behaalde. Ondertussen deed hij ervaringen op bij diverse projecten en vrijwilligersfuncties. Zo was hij leraar bij de IMC Weekendschool en onderdeel van het gerenommeerde Euro conversion project van de ABN AMRO Bank. Raadsheer is inmiddels bijna 7 jaar werkzaam bij HP. Hij begon als Global & Corporate Accountmanager, werd vervolgens Technology Consultant en is sinds september 2017 officieel Chief Technologist: resultaat is een ware autoriteit op gebied van digitale veiligheid én de integratie daarvan.
Er wordt vandaag de dag veel gevraagd van organisaties. Een bedrijf is allang niet meer slechts de brug tussen product en consument, maar is ook een bolwerk van juridische en maatschappelijke verantwoordelijkheid. Steekwoorden? AVG en MVO. En IT. Vooral dat laatste, want hoewel IT een middel is voor de core business, is het ook verworden tot het middelpunt van de bedrijfsvoering. Juist daarom is ITsecurity een belangrijk component in de bedrijfsvoering, iets wat HP maar al te goed beseft en wat Ruben volledig onderstreept. 'Er is veel gaande qua ontwikkelingen op security-vlak, waarbij er twee dingen uitspringen. Enerzijds zijn aanvallers slimmer geworden. De tools die zij gebruiken zijn makkelijker geworden in gebruik, eenvoudig en goedkoop verkrijgbaar en leveren op bredere schaal grotere schade op. Cybercriminaliteit gaat niet meer om de lone hacker op een zolderkamer die wat van programmeren weet: bruikbare tools zijn of-the-shelf en zelfs als dienst te kopen.’
‘Anderzijds zien we een weerstand ontstaan, een soort security-moeheid. Dat zien we bij IT-medewerkers waar continu gehamerd wordt op security, veelal met meldingen die niets met security van doen hebben, maar ook bij eindgebruikers. Denk bijvoorbeeld aan het maandelijks moeten veranderen van je wachtwoord met de daarbij behorende regels zoals een minimum aantal tekens, afwisselen van kleine- en hoofdletters en dergelijke. Of het niet kunnen benaderen van bepaalde gegevens, waar en wanneer die nodig zijn. We hebben eigenlijk onszelf aangeleerd dat security moeilijk en vervelend is. Mensen zijn hierdoor minder bewust bezig met security, omdat ze dagelijks geconfronteerd worden met IT-security die aanvoelt als een stok in het wiel van hun werkzaamheden. Terwijl het voor aanvallers juist gemakkelijker is geworden. Hierom is het zo belangrijk is om mensen actief te blijven betrekken bij dit onderwerp.'
Daarom benadrukt Ruben de houding van HP, waarbij het gaat om een balans. 'Zie het als een schaal, met aan de ene kant veiligheid en aan de andere kant gebruiksgemak. Daar ligt voor HP de focus: om IT veilig, makkelijk en toegankelijk te maken zonder dat mensen security als storende hindernis ervaren. Een goede balans creëren voor eindgebruikers, zodat ze geen omwegen gaan verzinnen om te kunnen werken zoals zij willen, zonder dat dit last oplevert voor het IT-beheer.'
Veiligheid is een recht
Een dergelijke visie op IT vraagt meer van organisaties dan tot nu toe vaak het geval is. Zo zal op managementniveau meer verantwoordelijkheid genomen moeten worden. Dat gebeurde al medio 2018 toen de AVG/GDPR van kracht werd, en wordt enkel onderstreept door de paradigmaverschuiving die HP en ook vele andere vooraanstaande securityleveranciers voorstellen. 'We willen als HP het gesprek over security niet enkel met de IT-verantwoordelijken binnen bedrijven aangaan, maar ook met het hogere bestuur binnen organisaties en in de publieke sector. We hebben het tenslotte over IT-veiligheid in de breedte, dus niet enkel hard- en software, maar ook op beleids- en cultureel vlak.’
‘Bovendien, veiligheid gaat iedereen aan en niet enkel diegenen die belast zijn met het dagelijkse beheer van IT. Het begint bij het bestuur van de organisatie. Wat voor werkgever wil ik zijn? Jong, flexibel, leuk om voor te werken? Allemaal logisch natuurlijk, maar veiligheid is zowel een recht als een plicht; zelfs een vereiste, zouden we kunnen stellen.'
Bewustwording en gemak
Een van de steeds terugkerende thema’s binnen security is het creëren van bewustwording onder werknemers en management. Niet onbelangrijk natuurlijk, en bovendien niet iets wat stopt. 'Het is een continu proces', aldus Ruben. 'Maar we moeten ervoor waken dat het relevant en begrijpelijk blijft.’
Ruben vervolgt: 'Awareness richt zich vaak op bangmakerij, in plaats van dat het gebruikers helpt. Onze visie: bewustwording creëren en het daarnaast makkelijk maken om veilig IT-gebruik in de praktijk te brengen. Bied mensen de tools om gemakzuchtige eigenschappen als makkelijke wachtwoorden en dergelijke te ondervangen. Als je wegloopt van je PC moet deze bijvoorbeeld automatisch gelockt worden. En als je dan weer terugkomt moet er een vorm van tweestapsverificatie plaatsvinden. Dat moet naadloos gaan, met zo min mogelijk gebruikersinteractie en HP kan hiervoor de tools bieden. Denk ook aan een systeem dat onder water, onafhankelijk van processor, verifieert of alle kritieke processen in het besturingssysteem nog functioneren en deze, indien nodig, weer start. Zonder dat je hier als gebruiker of IT’er iets aan hoeft te doen.’
‘En als er dan toch wat gebeurd? Dan wil je dat gebruikers hun eigen device, zonder tussenkomt van IT’er en overal ter wereld kan herstellen. Zelfs als de hele harde schijf gewist is.’
Security als beleving
'Bangmakerij' is al benoemd en dat is niet voor niets. Het is een van de redenen dat eindgebruikers ondertussen wel klaar zijn met security. Dat moet veranderen, vindt HP, en een van de manieren waarop zij dit bewerkstelligen is beleving. Zweverig? Minder dan je denkt. Of misschien is het beter om te spreken van een narratief, een logisch verhaal dat ervoor zorgt dat iedereen zich aangesproken voelt over het belang van waterdichte security.
Ruben: 'We denken vaak dat als de IT'er het maar begrijpt en oplost, het wel goed komt. Zij lossen het wel op. Zoals gezegd raakt security echter iedereen, ook medewerkers en ondernemers die wellicht middels mooie korte films zien hoe gemakkelijk het eigenlijk is voor een hacker om nietsvermoedende organisaties binnen te dringen. 'We hebben hier goede onderzoekstatistieken over', vertelt Ruben.
'Printers worden grotendeels ‘vergeten’ binnen het IT-beleid. Dat terwijl de meeste printers net zo goed computers zijn met toegang tot het bedrijfsnetwerk. HP daarentegen ziet printing en computing als één geheel binnen de infrastructuur van organisaties. Ook dat is een opvatting die nog niet overal gedeeld wordt, terwijl dat volgens ons wel zou moeten. Ga maar na: een datacentrum heeft een dikke muur ter bescherming; een bedrijfsnetwerk heeft een firewall waarmee het zichzelf beschermd en een gebruiker is een bewegend, lastiger detecteerbaar, doelwit. De printer? Die staat vanuit het oogpunt voor gebruiksgemak op elke verdieping open en bloot en 24 uur per dag aan. Er zijn nogal wat manieren waarop je een printer kunt benaderen. Dat is waarom ook de nieuwe The Wolf mini-film een eye opener zal zijn voor veel organisaties. Tijdens het SecurITy Festival op 14 november gaat deze in première.'
Ruben: 'Kijk, security in printing was tot The Wolf behoorlijk onderbelicht. Als we een antiviruspakket zouden aanprijzen zou minder IT-onderlegd zijn. Voor hen is 'beleving' nodig om ook hen duidelijk te maken hoe belangrijk security is.
The Wolf
Een goed voorbeeld is The Wolf-campagne, die HP ruim een jaar geleden startte en nog altijd loopt. Binnen deze campagne laat HP niemand het opmerken, dat weten we wel. Maar printers die te hacken zijn? Dat weten veel mensen nog niet. Dat is waarom een campagne als The Wolf belangrijk is. Bovendien gebeurt dat in de vorm van een verhaal met een aantrekkelijk narratief en laat het tevens zien dat de printer in dit geval toegang verleent tot je gehele netwerk. Daarom zetten we ook in op security op dit soort devices. We beschouwen alle devices voor eindgebruikers als kwetsbare end-points, en zorgen daarom voor de security van deze apparaten, zodat gebruikers beschermd zijn zonder dat zij hier last van ondervinden of dit zelfs maar merken.'
Services voor een veilige, aantrekkelijke organisatie
Op het gebied van Managed Print Services (MPS) is HP al geruime tijd zeer succesvol en sinds ruim een jaar biedt HP organisaties de optie om ook de computer hardware en bijbehorende services als dienst af te nemen: Device as a Service (DaaS). Juist dit zou één van de sleutels tot een gezond securityklimaat in het bedrijfsleven kunnen zijn.
‘Hard-, firm- én software kunnen op afstand volledig beheerd en gecontroleerd worden, met bijbehorend patchbeleid’, aldus Ruben. ‘En dit met behoud van keuze van device. Het is dit servicemodel dat misschien wel een oplossing kan zijn voor de hoofdbrekens van veel organisaties: hoe bied ik mijn medewerkers de mogelijkheid om zo vrij mogelijk te werken, op devices die zij zelf willen, zonder mijn security te compromitteren? De adoptie van dit servicemodel is in de beginfase, maar past wel precies bij wat we als HP voor ogen hebben: veilig en vrij van beperking kunnen werken, zonder dat er op het niveau van security en beheer zorgen hoeven te zijn met betrekking tot veiligheid van data en devices. Dat faciliteert een aantrekkelijk werkklimaat en daarmee een moderne en goed geoliede organisatie.’
‘Nergens voor nodig’, zo zegt Ruben. ‘Een van onze HP Fellows en spreker op het SecurITy Festival, Boris Balacheff, gaat in zijn presentatie ook daar juist op in. ‘Security is freedom.’ Als jij er zeker van bent dat je deur op slot zit, ga je met een gerust hart van huis. Dat is exact wat wij als HP willen: security zien als kans om vrijheid te genieten als organisatie. Naast Boris zal ook Michael ‘Mafiaboy’ Calce presenteren en met sprekers van Microsoft, Fox-IT, Deloitte en Eset komen op 14 november alle security aspecten voorbij.’