Top Datalekken van 2024: Expertanalyse & Lessen

Patrick Spencer (00:01.378)
Hallo allemaal, Patrick Spencer, co-host van Kitecast. We zijn blij dat ons publiek vandaag meeluistert. Ik heb twee fantastische gasten, Arun Desuza uit de regio Michigan en Mike Crandell uit Colorado Springs, als ik het goed heb. Heren, bedankt dat jullie er vandaag bij zijn. Mike, ik doe een korte introductie en dan laat ik jullie jezelf voorstellen. Dat kunnen jullie beter dan ik. Beiden hebben echt

Mike Crandall (00:20.558)
Dat klopt.

Patrick Spencer (00:31.342)
indrukwekkende carrières, veel ervaring en gaan veel waarde toevoegen aan het gesprek van vandaag. We focussen ons op onze top 11. Ik vertel zo waarom het er 11 zijn en geen 10. Het datalekrapport van 2024 is eigenlijk een goed verhaal, vind ik. Arun is voormalig CISO, onder andere, en nu CTO. Degenen die de podcast met Arun van

een paar afleveringen geleden hebben geluisterd: als je dat nog niet hebt gedaan, doe dat zeker. En als je dat wel hebt, luister gerust nog eens terug, want we hebben toen veel besproken waar het publiek baat bij zal hebben. Hij is voormalig CISO. Hij is bestuurslid en adviseur voor diverse bedrijven, zowel startups als snelgroeiende techbedrijven. En hij spreekt op veel verschillende conferenties waar ik ook ben. Ik volg hem op LinkedIn. Het lijkt wel alsof hij elke dag op een ander event spreekt.

Arun DeSouza (01:25.154)
Ha ha ha!

Patrick Spencer (01:26.67)
en op een feestje of diner is. Dus hij heeft een veel spannender leven dan ik, misschien niet dan Mike. In mijn geval de co.

Arun DeSouza (01:29.464)
je

Mike Crandall (01:34.57)
Ik wil een uitnodiging, sorry, ik wil nu een uitnodiging.

Patrick Spencer (01:39.19)
Mike, een indrukwekkende militaire carrière van 20 jaar. Daarna heeft hij Digital Beachhead mede opgericht en is hij CEO. Zij bieden diverse diensten, waaronder virtual chief information security officer-diensten, maar zijn ook C3PAO, onder andere. Ik laat jullie jezelf verder voorstellen en vertellen waar jullie nu mee bezig zijn. Arun, laten we met jou beginnen.

Arun DeSouza (02:07.684)
Ja, dankjewel Patrick. De vorige podcast was erg leuk en ik kijk uit naar nog meer plezier met jou en Mike. Je hebt al veel over mij verteld, dus ik wil alleen zeggen dat ik een lange carrière in cybersecurity heb en het leukste vind om nieuwe mensen te ontmoeten, zoals Mike vandaag.

Patrick Spencer (02:26.83)
Jullie twee hadden elkaar nog niet eerder ontmoet, niet verrassend.

Mike Crandall (02:31.16)
Hoewel we er allebei bekend uitzien. Grappig genoeg. Ja. En ik vind dat je het goed hebt gedaan, Patrick. 20 jaar in het leger, bezig met cyber voordat het een term was. Begonnen in de Eerste Golfoorlog, rennend door het veld, inbreken op thin-net kabels die iedereen als netwerk gebruikte, pre-CAT5. Nu help ik kleine tot middelgrote bedrijven binnen de defensie-industrie en andere commerciële organisaties

Arun DeSouza (02:33.016)
Ja, ja.

Patrick Spencer (02:33.07)
Dank je.

Mike Crandall (03:00.44)
om die cyberstrategie te bouwen waarvan ze weten dat ze hem nodig hebben, maar die vaak nog niet op orde is.

Patrick Spencer (03:07.544)
Ja, klopt. En op het CMMC-vlak doen jullie daar veel werk. Dus als iemand hulp zoekt bij CMMC, moet je zeker contact opnemen met Mike’s organisatie.

Mike Crandall (03:19.311)
We hebben dat traject doorlopen, ja. Misschien kunnen we mensen begeleiden terwijl ze hun eigen traject doorlopen.

Patrick Spencer (03:21.774)
Dank

En met succes, toch?

Mike Crandall (03:30.318)
Dat is het doel. Dat is altijd het doel.

Patrick Spencer (03:33.848)
Vorig jaar kreeg ik het idee, sommigen van ons publiek weten dit, om de belangrijkste datalekken te evalueren die plaatsvinden in het Identity Theft Management Center, ik zeg het goed, ze hebben een afkorting zoals alles in cyber: ITMC. Zij publiceren een halfjaarlijks rapport en een jaarrapport. Dus ze hadden hun eerste helft van 2024 en…

Ik had het idee dat er zoveel interessante data is. Het moet meer zijn dan alleen het aantal gelekte records of het aantal getroffen mensen. Er zijn veel verschillende factoren. Dus ik wendde me tot mijn vrienden, Chachi BT en Claude en anderen, en zei: ik wil een geweldig algoritme maken om al deze datalekken te scoren op een schaal van één tot tien, van minst tot meest ernstig. Aangezien dit allemaal de top is…

10 of 11, zij hebben top 10 in hun rapport. En ik heb een algoritme gemaakt met zes factoren. En we hebben het gepubliceerd, sommigen van jullie hebben het eerste halfjaar 2024 rapport misschien gelezen, wat ik interessant vond. Dat algoritme was gebaseerd op die zes componenten. We hebben het dit jaar opnieuw gedaan voor heel 2024 toen ITMC met hun nieuwste data kwam.

en onderzoek. Dat als uitgangspunt gebruikt. We hebben het aangevuld met data van IBM, van Verizon enzovoorts. En mijn vrienden zeiden: zes is niet genoeg. Je hebt er acht nodig. Dus we kwamen uit op acht componenten voor het algoritme. Ik som ze kort op zodat het publiek wat context heeft. Daarna bespreken we de bevindingen met Mike en Arun, want zij zijn de echte experts. Bijvoorbeeld: aantal blootgestelde records, gewicht is 15%. Financiële impact en schatting,

Mike Crandall (05:16.172)
en ik ben blij dat je mij hebt gekozen.

Patrick Spencer (05:21.646)
gewicht is 20%. We gebruiken daarvoor deels IBM-data ter aanvulling van de ITMC-bevindingen. Gevoeligheidsclassificatie van de daadwerkelijke data, wat een heel belangrijk onderwerp is. Ik denk dat Arun en ik het daar eerder over hadden, en Mike en ik misschien in het webinar over focuspunten voor 2025, ik haal mijn webinars door elkaar. We hebben het daar waarschijnlijk ook over gehad.

Dat is 20%. Gevolgen voor naleving van regelgeving, ransomware-betrokkenheid, 10%, impact op de toeleveringsketen, 10%, complexiteit van de aanvalsvector, dat was 10%. Hopelijk is dat zeven of acht, misschien zeven, niet acht, excuses, die we hebben gekozen. Dat staat ook uitgewerkt in het rapport. De link staat onderaan de podcast. Iedereen kan erop klikken en het rapport lezen wanneer het uitkomt. Dat staat op pagina vijf, als dat helpt.

Daarna hebben we gekeken naar de 10 in het ITMC-rapport en die 10 verschillende datalekken beoordeeld op basis van die zeven elementen. We hebben ze gescoord op een schaal van één tot tien. Toen zei een collega: hoe zit het met het nationale publieke datalek? Dat was enorm. Ik ben gehackt, vertelde hij, en al mijn bankrekeningen zijn bevroren.

Dus ja, die stond niet in hun data. Dus hebben we die toegevoegd en zo kwamen we uit op 12, of eigenlijk 11 in plaats van 10, hopelijk een interessant verhaal voor het publiek. En ironisch genoeg eindigt national public data helemaal bovenaan met een score van 8,93 op een schaal van 10. Daarna komen Change Healthcare met 8,7 en Ticketmaster Entertainment met 8,7.

8,5 voor AT&T en zo kun je de lijst afgaan. Dat staat op pagina zes van het rapport, als dat helpt. Dus niemand hoeft naar mij te luisteren, vooral ikzelf niet, maar waarschijnlijk het publiek ook niet. Laten we de details induiken: Arun en Mike hebben het rapport doorgenomen. Laten we beginnen met de verschuivingen en trends in sectoren en daarna kijken we naar andere elementen verderop in de podcast.

Patrick Spencer (07:38.562)
Maar de financiële sector lijkt, als je kijkt, de zorgsector te hebben ingehaald, althans volgens onze bevindingen bij de top 11. Als je naar Verizon of IBM kijkt, staat de zorgsector daar nog steeds bovenaan qua totale kosten van een datalek, wat dit jaar waarschijnlijk niet verandert. Dingen veranderen misschien. Maar drie van de top 11 zaten in de financiële sector.

Laten we met jou beginnen. Heb je daar gedachten over? Waarom is dat zo? Krijgen cybercriminelen meer aandacht? Het lijkt alsof zorgdatalekken dagelijks in het nieuws zijn, maar krijgen financiële instellingen meer aandacht omdat er meer geld is? Is er meer gevoelige data?

Arun DeSouza (08:20.366)
Ja, ik ben het ermee eens. Maar je ziet meteen dat je ROI wilt op een slechte investering of slechte aanval, de tijd die ze erin steken is veel, ik bedoel, het is waarschijnlijk makkelijker om banken aan te vallen omdat ze veel geld hebben. Zorg daarentegen, daar geld van krijgen is niet zo makkelijk vanwege trustees, bestuur, HIPAA en, weet je, ze betalen waarschijnlijk niet, toch?

Banken zijn eerder geneigd te betalen. Dat is volgens mij echt het punt. De directheid en het rendement op de kortste termijn. En ik geloof dat banken niet te lang uit de lucht willen zijn bij problemen, want dan zijn er veel ontevreden klanten. Dat betekent niet dat de zorgsector, nu nummer twee, geen probleem heeft. Daar is patiëntgezondheid en alles. Maar ik denk dat het probleem is dat…

ze niet snel betaald krijgen.

Patrick Spencer (09:19.618)
Goed punt. Mike, als we kijken naar de soorten aanvallen: veel hiervan betreft data-exfiltratie, toch? Ze stelen de data en willen die niet teruggeven. Een andere bevinding in het rapport was dat het meer is dan alleen de financiële impact. We praten altijd over de financiële impact. IBM heeft hun geweldige rapport over de kosten van een datalek.

dat is interessant om te zien hoe dat over de jaren verandert. Het blijft stijgen, maar operationele impact, als je kijkt naar de Change Healthcare-breach, was enorm. Zie je daar een verschuiving, dat het kwaadaardiger wordt? En als je het over zorg hebt, is het een aanval waarbij ze geen zorg kunnen leveren, soms zelfs levensreddende activiteiten kunnen worden belemmerd.

Mike Crandall (10:15.788)
Ja. En ik denk dat het ene dat ik heb geleerd in 20 jaar leger is dat de vijand zich altijd aanpast aan jouw tactieken en procedures. Dus ze verschuiven van zorg omdat, zoals Arun zegt, ze niet betalen, hun verzekering dekt het waarschijnlijk niet. Dus als ze geen losgeld betalen, wat kunnen we dan nog meer doen? Dat is nu afpersing geworden: we hebben je data.

en we verkopen die gewoon, want waarom niet, of we proberen je af te persen en verkopen de data alsnog. Maar dat is nu meer hun doel: afpersing, dreigen met “we hebben je data, als je niet betaalt, publiceren we het en veroorzaken we schade.” Dan is het meer dan alleen financieel, het is je reputatie. Al zie ik dat reputatieschade minder wordt. Iedereen is immers al eens gehackt. Dus als je die brief krijgt: “Sorry, we zijn gehackt, we zijn je data kwijt,” denk je: oké, weer, in plaats van: hoe durf je, ik vertrouw je nooit meer.

Arun DeSouza (11:21.562)
Hmm.

Arun DeSouza (11:31.77)
En een weetje: een paar jaar geleden was ik op een van de conferenties waar Patrick het over had, en daar was een spreker die onderzoek had gedaan naar bedrijven die gehackt waren en wat er met hun aandelenkoers gebeurde. Verwacht: die ging omlaag, maar wat mij verbaasde was dat de koers relatief snel weer herstelde,

Patrick Spencer (11:33.784)
Ja, ja.

Arun DeSouza (11:58.38)
Bijna meteen, want uiteindelijk zeiden mensen: wil ik de dienst nog gebruiken, hebben ze me geholpen? Mensen vergeten snel, het geheugen is kort. Dus reputatieschade heeft niet meer het gewicht van vroeger, denk ik.

Mike Crandall (12:12.76)
Klopt.

Patrick Spencer (12:20.198)
Ik denk dat je gelijk hebt. Ik deed ooit een webinar met Charles Carmichael van Mandiant, een jaar of twee geleden. Hij merkte bij supply chain-aanvallen op dat steeds meer organisaties ervoor kozen om geen losgeld te betalen. Misschien zien we dat hier ook: we nemen het risico, accepteren de merkschade, dat slijt na een half jaar.

Mike Crandall (12:20.802)
Wat?

Arun DeSouza (12:40.1)
Mm-hmm.

Patrick Spencer (12:49.324)
En misschien is het zelfs zo dat als je gehackt bent, dat een signaal is dat je security nu beter op orde is dan organisaties die nog niet gehackt zijn, want je hebt dat proces doorlopen. Je hebt een…

Mike Crandall (13:08.152)
En ik denk dat je dan je eigen staart achterna zit. Op de lijst stond AT&T. Het jaar ervoor was het T-Mobile. Dus mensen die T-Mobile verlaten omdat ze gehackt zijn, stappen over naar AT&T of een andere, en dan ben je de volgende. Tenzij je elk jaar van provider wilt wisselen, moet je accepteren dat dit gebeurt. Dat wordt onze mindset.

Patrick Spencer (13:25.454)
Precies.

Arun DeSouza (13:28.473)
Dank je.

Arun DeSouza (13:36.41)
In het rapport staat een concreet voorbeeld van wat je net zei, Patrick of Mike, over bedrijven die niet betalen, namelijk Loan Depot. De eis steeg, ze betaalden niet. Maar belangrijker: hoe is de breach ontstaan? Door een phishingcampagne gericht op Loan Depot-medewerkers, waarbij ze…

lateraal door het netwerk gingen en in 48 uur veel schade aanrichtten. Waarom is dat belangrijk? Ik volg deze statistiek al sinds 2013. Mike kent vast de IBM-index over welk percentage incidenten aan mensen te wijten is. Elk jaar komt het uit op 25%. Het is bijna een wetmatigheid.

Het grootste rendement haal je uit het trainen van de menselijke firewall, dus training en bewustwording. Maar mensen vergeten soms, hebben haast. En bij een andere breach hier, daar gaan we het zo over hebben, speelde MFA…

vermoeidheid, waarbij je constant MFA-verzoeken krijgt. Hoe vaak hebben wij gebruikers daar niet op getraind? Soms zijn het de simpelste dingen die je de das omdoen omdat je haast hebt, maar het trainen van de menselijke firewall is enorm belangrijk. Training en bewustwording.

Mike Crandall (15:19.5)
En de tegenstander wordt slimmer in het leren over ons. LinkedIn is een geweldig netwerkplatform, we zitten er allemaal op. Maar het is ook een geweldig hulpmiddel voor: “Patrick, ik zie dat je net bij Kiteworks bent begonnen. Ik ben je CEO en wil je iets vertellen.”

Arun DeSouza (15:37.786)
Maar om het phishing-onderwerp niet te lang te maken: bij nog een breach, nu ik het me herinner, was het bij Dell, een technologiebedrijf, waar een groep executives doelwit was van een spear phishing-campagne. Daardoor konden ze zich voordoen als technologiepartner via waarschijnlijk AI-gegenereerde, overtuigende communicatie, wat leidde tot

diefstal van inloggegevens. Je zou zeggen: Arun, je mist iets? Maar feit is: als je het over verdediging en training hebt, kan training niet one-size-fits-all zijn. Mensen die meer risico lopen, de VIP’s of Very Attacked People, moet je meer trainen en strengere controles geven. Misschien sterkere multi-factor, dubbele of zelfs drievoudige factoren.

Dus alles meer: meer training, bootcamps, controles en meer challenge-response. En natuurlijk zero trust, een van mijn favoriete onderwerpen.

Patrick Spencer (16:48.322)
Ongeveer de helft van de breaches is het gevolg van diefstal van inloggegevens, wat vaak terug te voeren is op multi-factor authentication. Iedereen heeft dat nu, maar toch blijft credential theft organisaties teisteren. Vijf van de elf, waarom denk je dat dat zo is?

Mike Crandall (16:48.898)
Wat gebeurde er?

Arun DeSouza (17:07.354)
Omdat het social engineering is. Social engineering: zoals jij eerder zei, Mike, en ik luisterde aandachtig. Je zit op Twitter, Facebook, je post van alles. Bijvoorbeeld: als mensen je willen hacken, vragen ze: wat is de naam van je favoriete hond? Die staat op Twitter. Je verjaardag? Op Facebook. Het is zo…

veel makkelijker om informatie te verzamelen. Vorig jaar werden twee grote casino’s gehackt. Ik noem geen namen. De een weigerde te betalen, de ander accepteerde het. Maar hoe gebeurde het? Precies door social engineering, waarbij ze een IT-medewerker targetten, als ik het goed heb, bij minstens één van de bedrijven.

Mike Crandall (17:48.354)
Ja.

Arun DeSouza (18:06.074)
Je zou denken: IT’ers zijn beter getraind. Maar het zijn ook mensen. Ze vergeten, zijn moe, wie weet. Dus social engineering is de grootste dreiging. En met AI wordt het alleen maar geavanceerder. Het wordt omnichannel: niet alleen via e-mail,

maar ook via voice-phishing, deepfake-video’s. Ze kunnen een bericht laten horen dat klinkt als je vader of moeder, en via stemmodulatie een strikvraag stellen. Je denkt dat je met je vader praat. Ik hou van AI, maar soms vraag ik me af: vriend of vijand? Natuurlijk vooral vriend, maar het is als niets anders.

En daarom: training en bewustwording is één kant, maar governance, beleidsgestuurde AI, guardrails, alles moet je doen. Mike, herken je dat?

Mike Crandall (19:17.368)
Ja, en ik zeg altijd: iedereen die zijn inloggegevens kwijt is, moet een nieuwe hond kopen. Ik heb een nieuwe hond nodig omdat ik mijn wachtwoorden moet veranderen. Wat ik zie is dat ze steeds slimmer worden met AI en ChatGVT. Ze zijn minder opvallend. Vroeger kon je meteen zien dat het een Nigeriaanse prins was, zo slecht geschreven. Dat verandert nu. We zien een toename van pogingen om twee-factor te omzeilen. Ze komen in één account en mailen dan naar een ander account, zogenaamd als vriend, dus je vertrouwt het. Zo gaan ze door tot ze bij de persoon met de portemonnee zijn. Dan slaan ze toe.

Ze zijn slim, we kunnen het niet aan het toeval overlaten. Het is niet meer die ene persoon die een slecht mailtje stuurt en om een miljoen dollar vraagt.

Patrick Spencer (20:23.648)
En organisaties hebben MFA en worden toch gehackt, zoals je zegt. Kaiser was een voorbeeld van MFA-moeheid die tot een hack leidde, een van de topgevallen. Dus wat doen we? We gooien er steeds meer technologie tegenaan, geven meer training, proberen medewerkers te wijzen op fouten. We doen de training.

Mike Crandall (20:29.25)
Ja, want je kunt het in het midden onderscheppen, weet je?

Mike Crandall (20:35.992)
Dank je.

Patrick Spencer (20:53.262)
Hopelijk gebeurt het tijdens de training en niet bij een echte aanval. Hoe pakken we dit aan? We praten hier al over sinds we in cyber zitten, dus meer dan 20 jaar in ons geval.

Mike Crandall (21:08.622)
Ja, ik zou zeggen: we moeten AI inzetten om anomalieën in e-mails te detecteren. Deze persoon heeft je 27 dagen niet gemaild. Het typegedrag is afwijkend. Of je logt in met een wachtwoord dat niet getypt is, maar gereplayed.

Arun DeSouza (21:09.006)
Ja, klopt.

Mike Crandall (21:34.456)
AI kan dingen sneller oppikken dan onze normale tools. Ik wil niet 100% op AI vertrouwen. We hebben menselijke tussenkomst nodig. Mijn vrouw kijkt nog steeds naar onze beveiligingscamera’s en zegt: “Ik hou van jullie, AI-overlords.” Zo hoopt ze dat ze gespaard blijft als Terminator komt. En als cyberman ben ik dan de klos. Maar we moeten met technologie meegaan, want de tegenstander doet dat ook.

Arun DeSouza (21:43.342)
Ja.

Arun DeSouza (21:54.19)
Ja

Arun DeSouza (22:03.45)
Dus het is een meerledig antwoord. Eerst op het laagste niveau: de menselijke firewall, mensen als eerste verdedigingslinie, training en bewustwording, aangevuld met AI-gedreven training en anomaliedetectie. Maar…

Zero trust is voor mij heel belangrijk. Bedrijven die meer zero trust toepassen, en dan bedoel ik niet alleen multifactor. Multifactor kan low-tech zijn. Mensen gebruiken nog steeds sms, dat moet echt weg. Dus sterkere multifactor. Maar het principe van zero trust, zoals jij eerder zei Mike, is dat ik praat over de identity coin: persoon, apparaat, locatie. Maar de logische kant is belangrijker: context, rol,

attribuut en gedrag, zodat elke verbinding wordt beoordeeld op de driehoek van identiteit, apparaat, status en sessierisico. Maar dat is makkelijker gezegd dan gedaan. Dus je hebt de mensen nodig. Je hebt het bedrijfsproces nodig, AI, beleidsgestuurde governance. Maar uiteindelijk draait het bij breaches om data. Datasoevereiniteit is belangrijk.

Mike Crandall (23:04.726)
is beter dan niets.

Arun DeSouza (23:19.31)
Dataclassificatie is belangrijk, samenwerking met businesspartners ook, want als je niet de juiste policies en betrokkenheid hebt, gebeurt het niet. Je kunt niet alles handmatig classificeren, dat verlies je. Daarom is het belangrijk, zoals jij zei Mike, dat je kunt bepalen of de juiste controles er zijn.

Of, zoals je eerder zei, afwijkend gedrag: normaal werkt Arun van acht tot acht, zeven tot drie ‘s ochtends en downloadt één gigabyte data per dag. Nu logt hij om vier uur ‘s nachts in en downloadt tien gigabyte. Dan blokkeer je dat direct. Dus het is een brede coalitie van mensen, processen en technologische waarborgen die altijd samenwerken. Maar uiteindelijk,

Identiteit is de digitale perimeter. Zero Trust is de grootste coalitie. En SASE ook, want tegenwoordig zit je niet meer op kantoor, je werkt overal. Het kantoor is overal, dus SASE en anytime, anywhere authorized access, volledig borderless werken op een veilige manier.

Daarvoor heb je alles nodig waar wij het over hebben, als dat logisch klinkt.

Mike Crandall (24:48.898)
Ja, bij CMMC is dat de scope. En als ze geen SASE- of zero trust-oplossing hebben, zeg ik: als je thuis werkt, realiseer je je dat je kinderen nu op je bedrijfsnetwerk zitten? En dat moeten we adresseren. Ik hou van mijn familie, maar ik vertrouw ze niet. Dat is mijn zero trust.

Arun DeSouza (25:02.97)
Dank je

Patrick Spencer (25:03.534)
En buren,

Arun DeSouza (25:11.992)
Ha ha ha ha ha.

Patrick Spencer (25:15.79)
Hoe zorgen we, Arun noemde het al qua governance controls, maar we dachten altijd aan zero trust op het netwerk, vanwege Forrester, Palo Alto, enzovoorts. Maar nu moeten organisaties, en wij zijn daar groot voorstander van, het doortrekken naar de datalaag. Je hebt allerlei data en als je kijkt naar de top 11 datalekken, zijn dat verschillende soorten data.

We bespreken zo dataclassificatie en gevoeligheid, als we tijd hebben. Maar hoe trek je die zero trust laag door naar de data, niet alleen het netwerk? Daar moeten we heen.

Arun DeSouza (26:00.98)
Als ik daarop mag reageren: het begint ermee dat naleving van regelgeving, zoals in het rapport staat, een van de belangrijkste factoren is, samen met risico en datagevoeligheid. Je moet begrijpen welke regelgeving op jou van toepassing is. Als je dat weet, zie je een rode draad: je moet datasoevereiniteit respecteren.

Iedereen moet eraan geloven. Dus voor de toekomst geloof ik dat self-sovereign identity kan helpen, want nu hebben we 20 systemen, straks een digitaal paspoort. Maar zover zijn we nog niet. Op korte termijn: zoals Mike en Patrick zeiden, je kunt niet alles handmatig classificeren. Dus je moet beseffen dat er twee datakanalen zijn: data in transit

Dus je moet communicatie in transit versleutelen. Op netwerkniveau heb je AI en network observability nodig om anomalieën te zien, zoals jij zei, om data-exfiltratie te stoppen op basis van patronen of afwijkend gedrag. Maar de andere kant, data at rest, is eigenlijk saai. Data at rest is data in de cloud.

Dus we hebben governance nodig bij systemen in de cloud, zorgen dat je bij een vendor de juiste controles hebt. Of data op locatie. Maar om te snappen wat je hebt, want je kunt niet overal tegelijk naar kijken, heb je een AI-gedreven data-karakterisatie- en governanceplatform nodig dat anomalieën ontdekt

en het afstemt op je dataclassificatiebeleid, bijvoorbeeld: deze data lijkt op burgerservicenummers, maar is niet beschermd, of HR-data op een fileserver zonder bescherming. Dan moet je ingrijpen. Dus het hart van data en het data-karakterisatie- en governanceplatform moet kunnen classificeren, karakteriseren en met observability proactief,

Arun DeSouza (28:25.092)
het dataprobleem oplossen. We zijn er nog niet, maar het is een combinatie van alles. Mike, klinkt dat logisch?

Mike Crandall (28:32.162)
Ja, en ik denk dat het probleem nu is dat we allemaal wel eens aan een klant vragen: wat is je belangrijke data en wat niet? En dan zeggen ze: alles is belangrijk, of juist: niks is belangrijk. En zo behandelen ze het ook op hun systemen. Ze hebben een repository waar 90% van de medewerkers bij kan. Totdat we intern zero trust toepassen, zoals

bijvoorbeeld: Arun hoeft dit bestand niet te zien, dat is niet relevant voor zijn werk, en we kunnen dat goed afschermen. Dan kunnen we dat extern ook doen, met alle tools die je noemt. Maar het moet intern beginnen: deze data hoeft maar door 10% van het bedrijf gezien te worden. En daarnaast: wat is je schaaldata? Arun, als je het hebt over data at rest, hebben we

Arun DeSouza (29:25.06)
Mm-hmm.

Mike Crandall (29:27.886)
waarschijnlijk minder dan 20% van de bestanden en data die we regelmatig gebruiken. Dus hoe kunnen we data die we moeten bewaren, maar niet meer gebruiken, archiveren in cold storage? Zo is het buiten bereik en kun je het segmenteren. Dan is je beschermingsoppervlak veel kleiner omdat je oude data apart hebt gezet.

Arun DeSouza (29:52.026)
Absoluut. Nielsen.

Patrick Spencer (29:53.484)
Goed punt. Wij zouden zeggen, Arun noemde data in transit en data at rest, maar wij zeggen: data in gebruik, zoals jij zei Mike. Je hebt data die wordt gebruikt, die 20% of welk percentage dan ook, intern maar ook extern door derden, wat ook in het rapport staat. Je geeft allerlei derden toegang tot data. En als je niet de juiste governance controls gebruikt, zoals Arun zei,

Arun DeSouza (30:01.722)
Mm-hmm.

Patrick Spencer (30:22.22)
stel je jezelf bloot aan risico omdat mensen data zien die ze niet hoeven te zien. Ze kunnen het doorsturen of aanpassen terwijl je dat niet wilt. Wat is jouw gevoel bij risico door derden? Is governance, volledige governance, het antwoord op dat probleem?

Mike Crandall (30:43.884)
Governance is een goede stap, maar soms gebruiken we governance in plaats van security. Je hebt governance mét security nodig. Ik grap wel eens: twee-factor authentication, zoals eerder genoemd, mijn vrouw die mij ‘s ochtends herkent is geen factor. Dat telt niet als security. Maar ik kan wel zeggen dat ik compliant ben met twee-factor authentication. Dus we moeten naar compliance kijken

Arun DeSouza (30:44.021)
Arun DeSouza (31:03.555)
Dank je

Mike Crandall (31:13.086)
en governance op een manier dat het tanden heeft en echt security-gedreven is, niet alleen een vinkje zetten.

Arun DeSouza (31:25.782)
Dus een van de dingen die…

Patrick Spencer (31:26.062)
En de toename van boetes en sancties die we de afgelopen jaren zagen en dit jaar, ik heb de samenvatting voor 2024 nog niet gezien. Het hangt af van de regelgeving, maar ze stijgen. Denk je dat dat zorgt voor meer naleving, of is er nog een lange weg te gaan?

Arun DeSouza (31:50.746)
Ik denk het wel, want wat ik eerder wilde zeggen: ik had het over encryptie voor data in transit, maar je hebt ook encryptie voor data at rest nodig. En dat is nu extra belangrijk, want met quantum computing heb je sterkere encryptie nodig. Ik ben geen expert in quantum-encryptie, maar bijvoorbeeld homomorphic encryptie.

Patrick Spencer (32:18.156)
Encryptie, ja.

Arun DeSouza (32:20.056)
En over multi-factor: we moeten mensen trainen om af te stappen van low-tech multi-factor, zoals beveiligingsvragen. Die kun je hacken via social media of sms, dus overstappen op sterkere methoden zoals authenticators of biometrie, zoals je gezicht. Ik bedoel dat niet cynisch, ik besef dat je guardrails rond AI nodig hebt, maar ook

dezelfde zorgvuldigheid vanuit privacy bij biometrie. Maar alles gelijk, je biometrisch paspoort en handtekening zijn heel belangrijk. En dat zeg ik omdat bij sommige breaches, zoals bij Change Healthcare, het hele ecosysteem werd geraakt, precies zoals je zei.

Mike Crandall (33:04.942)
Dank je

Patrick Spencer (33:13.358)
Niet voor Mars.

Arun DeSouza (33:15.62)
Een ketting is zo sterk als de zwakste schakel. Hoe beoordeel je de risico’s van al je leveranciers? Dat is heel lastig, want grote bedrijven sturen je een vragenlijst van 300 vragen of 20 pagina’s en zeggen: vul maar in, we kunnen je auditen. Maar dat is niet de manier. Het is een partnerschap. Je moet eigenlijk

Mike Crandall (33:15.718)
Maar in sommige gevallen waarschijnlijk niet zo

Mike Crandall (33:27.703)
Dank je

Arun DeSouza (33:45.211)
Hier kunnen publiek-private en private-private samenwerkingen helpen, met branchegerichte coalities. Zoals je community clouds hebt, kun je dat principe toepassen op de leveranciers- en productie-ecosystemen: communities of practice waar mensen alles delen.

Niemand weet alles. Dus we moeten niet alleen focussen op technologie en encryptie, maar ook op partnerschappen tussen publiek, privaat en privaat-privaat, zodat we samen kunnen werken in wat ik de kracht van federatie noem.

Mike Crandall (34:28.812)
Klopt. Ik zeg altijd: het probleem is dat veel bedrijven zich een eiland voelen, maar denken dat ze cybersecurity hebben omdat ze geld hebben uitgegeven. Maar cybersecurity is een mythe, je komt er nooit. Het is een reis zonder eindpunt. Je kunt niet genoeg uitgeven.

Arun DeSouza (34:39.95)
Mm-hmm.

Patrick Spencer (34:51.97)
Het blijft zich ontwikkelen.

Arun DeSouza (34:54.254)
Goed gezegd.

Mike Crandall (34:55.598)
Je kunt het niet overtreffen. Begrijp je risico en wat je doet om het te voorkomen, maar weet dat er altijd iets nieuws komt. Quantum, zoals Arun zei: het opent een blik wormen. Encryptie is dood. Want dat is het. We moeten uitzoeken wat het volgende is. Als we altijd zeggen: ik heb uitgegeven, dus ik ben veilig,

Arun DeSouza (35:12.186)
Hoef ik niet.

Mike Crandall (35:24.999)
dan ben je er niet, je moet altijd vooruit blijven kijken.

Patrick Spencer (35:28.684)
We keken ook naar security maturity, documentatie en encryptie. Dit is muziek in jullie oren. We publiceerden onlangs een rapport over de staat van CMMC 2.0 maturity of preparedness in de DIB. Organisaties die met ervaren derde partijen zoals jullie werken,

hadden veel meer, soms wel twee keer zoveel, uitgebreide security controls en encryptie op orde. Waarom denk je dat dat zo is? En vergeten te veel organisaties die stap bij CMMC? Je ziet het vast, Mike: ze raken in paniek, hebben geen CMMC-compliance, dreigen hun business te verliezen bij de

DoD als ze niet voor het einde van het jaar compliant zijn, en als je dan gaat kijken is het een puinhoop omdat ze niet met een ervaren derde partij als jullie hebben gewerkt.

Mike Crandall (36:34.894)
Ja, en dat komt doordat veel senior leiders denken dat de IT-afdeling alles weet van alles wat met IT te maken heeft. Ze denken: zij regelen het wel. Maar als je kijkt naar sommige regelgeving en de implementatie daarvan, is het zo genuanceerd dat een IT’er, hoe goed ook, vooral bezig is met zorgen dat alles werkt: printers printen,

de baas tevreden is, en dan zeggen ze: ja, we doen dat. We hebben two-factor, maar wat is het precies? Voldoet het aan de bedoeling van de control? In CMMC bijvoorbeeld, de doelstellingen onder de controls. Veel mensen die geen expertise inhuren, vertrouwen op hun eigen experts, die goed zijn in hun werk, maar niet het hele complianceplaatje snappen. En

daar zit het gat: ze doen het niet omdat ze niet willen, maar omdat ze niet volledig begrijpen wat er echt nodig is.

Patrick Spencer (37:46.988)
Komt het doordat cybermensen zich nog niet volledig met compliance hebben verbonden? Ze focusten op cyber en beseffen nu dat compliance eraan gekoppeld moet worden. Is dat het?

Mike Crandall (38:03.914)
en het begint nu te groeien.

Ja, vaak doen we gewoon het werk. Maar bij compliance komt veel papierwerk en bewijs. “Patrick doet het want hij is admin” is niet genoeg, of “Patrick monitort de logs”. Prima, maar laat zien wat je laatst hebt gedaan. “Vorige week heb ik iets gedaan.” Nee, het moet gedocumenteerd zijn. We moeten

Welke acties heb je ondernomen? Waren die goedgekeurd? Ging het via change management? Je moet die richtlijnen integreren en het gaat verder dan alleen je werk doen.

Arun DeSouza (38:38.308)
Dank je

Arun DeSouza (38:49.828)
Ja, dat moet veranderen. Neem OT-security in productie: OT’ers versus IT’ers, niet overal, maar vaak werkt ieder voor zich. Dan kun je breaches krijgen via leveranciers die via onveilige netwerken binnenkomen. Ik stel dat bedrijven moeten beseffen dat er een overkoepelende paraplu is: enterpriserisico.

Als je dat accepteert, vallen security, privacy, audit, governance daaronder. Normaal is enterpriserisico in bedrijven vooral een vinkjeslijst, maar uiteindelijk moet er programmatische samenwerking zijn tussen die functies, want het is een multidisciplinair probleem.

Geen enkele functie weet alles van de ander. Maar als het mandaat van de board, auditcommissie of chief risk officer komt: jongens, werk samen, wat is onze balanced scorecard om risico te minimaliseren? Wat zijn de doelen, initiatieven, processen, investeringen? Dat wordt het gesprek. Dus komen we weer uit bij

partnerschappen binnen het bedrijf, intra-company partnerships, die vaak niet plaatsvinden omdat we allemaal druk zijn. Maar we moeten steeds meer doen met minder. Als iedereen op zijn eiland blijft, werkt het niet. Ik las laatst op LinkedIn dat de CISO wordt gedegradeerd in organisaties,

die al onder IT viel, nu soms nog lager, soms onder infrastructuur. Dat is voor mij het tegenovergestelde van het idee dat enterpriserisico centraal moet staan om de missie en visie van het bedrijf te realiseren.

Patrick Spencer (40:46.915)
Hmm.

Patrick Spencer (41:06.358)
Hoe zorg je dat al die eilanden verbonden zijn? Dat er bruggen zijn tussen die eilanden? Anders dan hier in de Pacific Northwest, waar we geen bruggen bouwen en je met de boot naar het volgende eiland moet. Hoe bouw je die bruggen? Heb je suggesties?

Arun DeSouza (41:18.785)
Hahaha!

Arun DeSouza (41:24.474)
Nou, als er geen corporate sponsor is zoals de CRO of board audit committee, dan vind ik persoonlijk dat de chief information security officer die evangelist en relatiemanager moet zijn, want niemand anders doet het. Het is belangrijk om die partnerships te bouwen, relatie voor relatie, want als je relaties bouwt,

dan stijgt iedereen met het tij mee. Dus als we allemaal op dezelfde golf surfen, gaat het beter. Dus niet: wat kunnen we zelf doen, maar: wat kunnen we samen doen? De CISO moet dat trekken. Sommige bedrijven zijn daar al, waar de security officer gelijkwaardig is aan de CIO, of direct onder de chief risk officer valt. Want als er corporate sponsors zijn, moet je het gesprek naar een hoger niveau tillen. Anders blijft het bij “de straffen stoppen niet”, dat werkt niet. Je kunt geen zondebok zijn, je moet gelijkwaardig partner zijn. Maar dat gebeurt niet altijd. Dus als je succes wilt, moet je investeren in tijd en moeite. Niet iedereen wordt een vriend, dat hoeft ook niet.

Je wilt laten zien: ik ben je bondgenoot, partner, ik help je, laten we samenwerken. Sommigen doen niet mee, maar de meesten wel. Dus de principes zijn: visie, samenwerking, uitvoering. Schets de visie, bouw relaties, committeer aan samenwerking, nodig ze uit voor lunch, koffie of je eigen roundtable.

Bijvoorbeeld een CSO-roundtable eens per maand. Als je dat doet, kun je de strategische roadmap om enterpriserisico te minimaliseren en het securityplan goed uitvoeren met balanced scorecards. Patrick, klinkt dat logisch?

Mike Crandall (43:21.816)
Klopt.

Patrick Spencer (43:35.596)
Ja, dat is uitstekend. Dat is een heel whitepaper waard. We transcriberen het, stoppen het in de cloud of ChatGBT en hebben een whitepaper van alles wat je zei. Dat was geweldig.

Arun DeSouza (43:39.076)
Het volgende deel zul je

Mike Crandall (43:46.798)
Precies. Ik wilde net zeggen: we werken hard, spelen hard. Dat is militaire training. Je doet het werk, maar bouwt ook je team na werktijd. Je moet die verbinding als mens hebben.

Patrick Spencer (44:03.026)
Heel waar. Een van mijn collega’s, een programmeur, klaagt dat als hij naar bedrijfsevenementen gaat, iedereen hem aanspreekt en nu weten hoe slim hij is, dus komen ze bij hem voor hulp bij hun projecten. Misschien veroorzaakt dat een aanval.

Mike Crandall (44:20.018)
Hij moet gewoon leren om zich in het openbaar dommer voor te doen. Dat is alles. Je moet je grenzen kennen. Het hoort bij teambuilding.

Patrick Spencer (44:27.278)
Precies. We zijn bijna door de tijd. Fascinerend gesprek. Voor we afronden: Arun, heb je nog gedachten over het rapport? Iets wat we gemist hebben, belangrijke punten? Jullie hebben al veel genoemd, maar is er nog iets wat je wilt benoemen?

Arun DeSouza (44:47.642)
Ik heb een paar dingen in gedachten, uitgaande van enkele grote aanvallen, in willekeurige volgorde. De API-economie: we hebben het daarover gehad, ook in de vorige podcast, API-security. Sommige breaches hadden voorkomen kunnen worden met sterkere API-beveiliging.

Je noemde cloud-misconfiguratie. Mensen nemen dingen te snel aan. We moeten de beveiligingsstatus versterken. We hebben het er vaak over gehad: identiteit is de digitale perimeter, maar identity-based attacks blijven toenemen. Onze controls houden geen gelijke tred. We adopteren zero trust niet snel genoeg. We gebruiken verouderde multifactor. En patchmanagement: hoe vaak zijn breaches het gevolg van misconfiguraties en kwetsbaarheden?

Interessant is dat sommige breaches niet one-and-done zijn. Zoals je eerder zei: ze wachten geduldig, zitten in stealth-modus in je netwerk. Hoe pak je dat aan? Ze zitten er gewoon. Dus wat kunnen we doen? Commit aan zero trust. En Patrick, je noemde het eerder: dataminimalisatie, het minimum noodzakelijke. Of het nu data in gebruik is, at rest of anders, het moet gebaseerd zijn op data-karakterisatie en proactieve governance via een AI-gedreven platform.

En natuurlijk investeren in advanced threat protection-technologieën. Waarom zouden alleen de slechte jongens AI mogen gebruiken? De goeden moeten het ook inzetten.

Patrick Spencer (46:55.822)
Mike, aanvullingen op Arun’s punten? Jouw gedachten?

Mike Crandall (47:00.952)
Ja, voor mij: deze rapporten verschijnen en veel senior leiders denken: dat ben ik niet. Ik heb geen 9 miljoen records, geen honderd miljoen records. Ik wil dat mensen beseffen: dit is de top 11, maar breaches zijn als Ocean’s 11, de film. Wat we in het nieuws zien zijn de grote, complexe hacks met veel impact,

maar we horen niet hoeveel kleine bedrijven vannacht zijn overvallen. Dat ben jij als bedrijf. Je haalt de top 10 of 11 niet, je komt niet in het nieuws, maar geloof me: er zijn er veel meer. Dit waren niet de 11 hacks van 2024, maar de top hacks. Er zijn letterlijk honderdduizenden, zo niet miljoenen meer. En dat ben jij. Dus leer hiervan, maar kijk niet weg.

en denk niet: dat overkomt mij nooit. Je hoort erbij.

Patrick Spencer (48:09.496)
Goed punt, want dit zijn de gevallen met de meeste kwaadaardige activiteit en grootste impact. We kunnen lessen trekken uit elk van deze cases en toepassen in onze eigen organisatie. Dit zijn dingen die je moet dichttimmeren, hardenen. Zorg dat je governance controls op orde zijn om risico’s te minimaliseren. Je krijgt het risico nooit weg. Maar je kunt het wel minimaliseren.

Arun DeSouza (48:09.647)
Ja.

Mike Crandall (48:31.234)
Precies. En als je zegt: dit zijn de grootste impacts, bedoel je op schaal, maar niet per se de grootste impact. Een klein bedrijf dat gehackt wordt kan failliet gaan, wat een veel grotere impact is dan een miljardenbedrijf dat schade opvangt.

Arun DeSouza (48:34.254)
Maar.

Patrick Spencer (48:53.154)
Heel waar. Mijn belangrijkste takeaway was een hashtag van Mike: PW no dogs.

Arun DeSouza (48:54.178)
En ja.

Mike Crandall (49:03.662)
Precies. Hoeveel honden kun je hebben in huis? Je kunt niet zoveel honden hebben als het aantal keren dat je je wachtwoord kwijtraakt.

Arun DeSouza (49:14.138)
Mag ik nog iets aanvullen, want ik was mijn gedachte kwijt: als je enterpriserisico wilt minimaliseren, focus dan op de driehoek van monitoring, continue monitoring, maar niet alleen passief, maar embracing observability zodat je corrigerend kunt bijsturen. Robuuste toegangscontrole die continu wordt bijgesteld en adaptieve cybersecurity-frameworks.

Want zo kun je voldoen aan regelgeving en je bedrijfsdoelen realiseren.

Patrick Spencer (49:53.551)
Goede punten. Die continue monitoring en observability over je hele omgeving is cruciaal. Mike, hoe kunnen mensen contact met je opnemen als ze met jouw organisatie willen werken? Wat is de beste manier?

Mike Crandall (50:09.626)
Het beste is om mij te benaderen via LinkedIn of via onze website, www.digitalbeachhead.com.

Patrick Spencer (50:16.898)
En Arun, voor jou waarschijnlijk hetzelfde?

Arun DeSouza (50:19.866)
Ja, vooral via LinkedIn. Daar vinden mensen me het snelst, denk ik. Iedereen zit daar. Dankjewel Patrick voor deze kans. En Mike, bedankt voor de samenwerking. Het was echt leuk. Ik had geen idee waar het over zou gaan, maar het was een geweldig gesprek en erg leuk.

Patrick Spencer (50:40.394)
Ik denk niet dat we het draaiboek hebben gevolgd dat we hadden opgesteld, maar het was een boeiend gesprek en hopelijk vond het publiek het nuttig. Het rapport, kijk ernaar via de link onderaan de podcastpagina en bekijk Mike’s organisatie en Arun’s profiel op LinkedIn. Neem contact op, want deze heren zijn zeer deskundig en hebben jarenlange ervaring in cyber en compliance. Voor wie meer Kitecast-afleveringen wil luisteren: ga naar kiteworks.com/kitecast. Bedankt voor het luisteren en tot de volgende Kitecast.

Arun DeSouza (51:17.924)
Dank je wel.

Mike Crandall (51:18.552)
Dank je wel.