Security is een voorwaarde voor innovatie. Best practices als security-by-design verkleinen de kans op incidenten en dragen bij aan zakelijk succes.
Innovatie gaat over het nemen van risico’s en het toepassen van de nieuwste technologieën. Bovendien is het vaak belangrijk om de innovatie zo snel mogelijk op de markt te brengen, zodat je de concurrentie voor bent. Security lijkt voor al die zaken vooral een vervelende sta-in-de-weg. Digitale veiligheid vraagt immers om behoedzaamheid, om het inbouwen van checks and balances en het gebruik van betrouwbare, doorgeteste componenten.
Technologie en tijd als risicofactoren
Daar komt nog bij dat innovaties steeds vaker gepaard gaan met elementen die de securityrisico’s kunnen vergroten. Zo hebben veel innovaties IoT als belangrijke driver. Sensoren, verbonden apparaten en edge computing zijn weliswaar onmisbaar als brug tussen de fysieke en digitale omgeving, maar zijn niet altijd goed beveiligd. Veel innovaties maken daarnaast gebruik van AI en analyse van datasets. Dat introduceert niet alleen securityrisico’s, maar vaak ook privacy-uitdagingen.
Ook een hoog ontwikkeltempo en een snelle marktintroductie brengen risico’s met zich mee. Ontwikkelaars grijpen niet zelden naar standaardcomponenten om de vaart erin te houden. Hoe veilig die componenten precies zijn, is lang niet altijd duidelijk. Wel staat vast dat veel apps uiteindelijk onveilig zijn. Zo bevat volgens onderzoek 85 procent van alle commerciële applicaties kritieke kwetsbaarheden, met name veroorzaakt door het gebruik van vrij beschikbare opensourcecomponenten.
Het serieus meewegen van security in innovatietrajecten lijkt dan ook een lastige zaak, maar is toch een onmisbare randvoorwaarde voor succes. Daar zijn drie ijzersterke argumenten voor:
1. Gebruikers vragen erom
De afgelopen jaren is het security- en privacybewustzijn flink toegenomen. Dat geldt zowel voor consumenten als zakelijke gebruikers. Niet alleen worden zij zich steeds bewuster van de risico’s van digitalisering, ook willen ze zelf bepalen met wie, wanneer en met welk doeleinde zij privégegevens delen.
Innovaties die niet zijn ontworpen met deze behoeften in gedachten, hebben dan ook weinig kans van slagen. Om nog maar te zwijgen van de imagoschade die ontstaat als een onveilig product bijvoorbeeld tot een datalek of ander securityincident leidt. Een zorgvuldige omgang met privacy en security wekt vertrouwen, en draagt zo bij aan de adoptiegraad en/of het marktsucces van een innovatie.
2. Wetgeving vraagt erom
Security- en privacymaatregelen zijn niet altijd een keuze. Steeds strengere privacywetgeving heeft deze zaken simpelweg tot verplichte kost gemaakt. Het laatste wat een organisatie bij een datalek kan gebruiken is een fikse boete. Bepaalde sectoren kunnen daarnaast ook te maken hebben met specifieke ISO- of NEN-normeringen. Denk aan de onderwijssector of gezondheidszorg. Innovatie komt dan ook niet zonder juridische verantwoordelijkheid. Compliance is simpelweg een must.
3. Het past bij maatschappelijk verantwoord ondernemen
Veel organisaties hebben naast hun winstoogmerk ook maatschappelijke doelstellingen. Ze willen vaak in brede zin een positieve bijdrage leveren aan de wereld. Datalekken en securityincidenten werpen een schaduw over deze goede bedoelingen, zeker als ze voortkomen uit nalatigheid.
In de nieuwste editie van het Cyber Security Perspectives magazine delen meerdere cybersecurityexperts hun visie over hoe we Nederland samen cyberveiliger kunnen maken. Het overkoepelende thema is de maatschappelijke relevantie van cybersecurity, en de belangrijke rol die ondernemend Nederland speelt bij het versterken van de veiligheid van onze samenleving.
Goede balans
Het is dan ook belangrijk een balans te vinden tussen innovatie en security. Enerzijds betekent dat de concurrentie voor zijn, experimenteren met nieuwe technologieën, het in productie brengen van proof-of-concepts, enzovoort. Anderzijds moeten R&D-afdelingen ervoor waken dat deze initiatieven vanaf het allereerste moment veilig zijn.
De volgende aandachtspunten kunnen hierbij van waarde zijn:
1. Hanteer het security-by-design-principe
Dit principe betekent dat al je al bij de eerste potloodschetsen de securityaspecten van het beoogde eindproduct in ogenschouw neemt, en niet pas achteraf nadenkt over de beveiliging. OWASP, het opensourceproject rond computerbeveiliging, heeft hiervoor een checklist opgesteld. Denk aan het verkleinen van het aanvalsoppervlak en het kritisch benaderen van diensten en componenten van derden. Ook is het bijvoorbeeld verstandig gebruikers zo min mogelijk rechten toe te kennen.
Betrek daarnaast security-experts en privacy-officers al vanaf het eerste moment bij de ontwikkeling. Dat kunnen uiteraard mensen uit de eigen gelederen zijn, maar veel organisaties hebben hiervoor niet de juiste kennis en/of capaciteit in huis. Volgens het in maart 2022 verschenen rapport ‘Monitor Digitale Transformatie’ van Blauw Research is dat zelfs de meest genoemde uitdaging (24%) bij een digitale transformatie. Toch hoeft dat geen belemmering te vormen voor een innovatietraject. Je kunt immers gebruikmaken van kennis en expertise van externe partijen, zoals KPN Security.
2. Maak gebruik van automatische testen
Het doorlichten van technologie op kwetsbaarheden tijdens het ontwikkeltraject is een effectieve manier om ontwerpfouten te voorkomen. Dat is zonder hulpmiddelen echter een tijdrovende discipline die een snelle time-to-market in de weg zit.
Automatische testen kunnen een goede middenweg bieden. Hieronder vallen bijvoorbeeld gesimuleerde aanvallen, en pentesten en applicatiescans die technologie doorlichten op kwetsbaarheden. Deze testen kunnen grotendeels automatisch plaatsvinden. Ze geven ontwikkelaars waardevolle feedback waarmee zij kwetsbaarheden tijdens de ontwikkelfase kunnen dichten. Dat voorkomt onaangename verrassingen achteraf, zonder de time-to-market onnodig te verlengen.
3. Erken compliance als minimumeis, niet als eindstation
Wees je tijdens de ontwikkeling niet alleen bewust van de voor jouw industrie geldende compliance-eisen, maar ook van de wensen en eisen van gebruikers als het om security en dataprivacy gaat. Compliance is het absolute minimum, niet het eindstation. Voor een optimale gebruikservaring is het cruciaal dat gebruikers de volledige controle hebben over het delen van hun privégegevens. Geef daar in het ontwikkeltraject prioriteit aan.
4. Wees voorbereid op incidenten
Ondanks alle inspanningen zijn incidenten na de marktintroductie nooit uit te sluiten. Het is belangrijk hierop voorbereid te zijn. Een goed incidentresponsteam maakt hier het verschil. Dit team bestaat uit alle mensen die bij een security-incident in actie moeten komen. Dat zijn niet alleen IT’ers en security-experts, maar bijvoorbeeld ook communicatiestrategen. Oefen al tijdens de ontwikkelfase met gesimuleerde incidenten, zodat processen na een incident soepel verlopen en iedereen weet wat er van hem of haar wordt verlangd als het echt misgaat.
Innovatie kan niet zonder aandacht voor security en privacy. Wie werkelijk wil excelleren, moet ook op deze gebieden zijn verantwoordelijkheid nemen. Die inspanningen betalen zich uiteindelijk terug. Heb je zelf niet de capaciteit of kennis hiervoor in huis? Een externe partij kan hier bij assisteren, of je huidige situatie in kaart brengen en helpen met het opstellen van een goede security roadmap.
5. Zorg voor een security first-mindset in de hele organisatie
Bij alle dingen die je als organisatie doet, zou security op de eerste plaats moeten staan. Bij alles wat je doet, moet je je afvragen of het veilig is. Alleen organisaties met een security-first mindset kunnen daadwerkelijk veilig innoveren, en de innovatie ook veilig in de markt zetten en houden. Die mindset geldt niet alleen voor de mensen die direct betrokken zijn bij innovaties, maar voor de hele organisatie. Waar zitten bijvoorbeeld de zwakke punten in een digitale infrastructuur? En welke personeelsleden zijn te verleiden tot onveilige handelingen? Welke securitydiensten kunnen de belangrijkste risico’s afdekken? Uiteindelijk is je innovatie net zo veilig als de zwakste schakel in je organisatie.
Wil jij weten wat er speelt in de wereld van cybersecurity? Meld je dan gratis aan voor NLSecure[ID], het grootste security event van Nederland.