Beveiligingsdeskundige Bruce Schneier kwam met de term 'securitytheater' op de proppen om de strengere maatregelen op vliegvelden van de afgelopen vijftien jaar te omschrijven. De term slaat op het invoeren van maatregelen vooral om mensen het gevoel te geven dat ze worden beveiligd, maar die eigenlijk weinig zin hebben.

Die term is ook van toepassingen op een hele reeks beveiligingsmiddelen en -maatregelen die worden aangeboden door leveranciers of worden uitgevoerd door organisaties: tools en middelen dus die de beveiliging niet daadwerkelijk verhogen. We spraken met een aantal beveiligingsdeskundigen om tot deze lijst van technologieën te komen die vooral voor die sier zijn.

1. Beveiligingsvensters online

Beveiligingsdeskundigen ergeren zich aan de vensters die websites tonen om gebruikers gerust te stellen dat ze een beveiligde verbinding openen. Bijvoorbeeld een splashscreen met iets als 'Contact met een beveiligde verbinding wordt gelegd' of 'Securely getting your account details'. "Het is zonde, want het is een toneelstukje als het om daadwerkelijke beveiliging gaat", zegt Orlando Scott-Cowley van e-mailbedrijf Mimecast. Soms worden deze vensters zelfs weergegeven in Flash, wat de nutteloosheid ervan nog eens extra onderstreept.

2. Antivirussoftware

De meeste pc-gebruikers beschouwen een antivirusproduct nog steeds als de basisbescehrming van de computer. Maar volgens de meeste specialisten is ook dit vooral theater. "Het doet niet genoeg aan malware en ransomware, maar is ondertussen wel een last voor gebruikers, vooral qua prestaties", zegt Ajit Sancheti van beveiligingsbedrijf Preempt. "Samen met prestatievermindering door OS-updates, is AV waarschijnlijk een hoofdoorzaak om hardware te upgraden."

Dat vindt Barry Shteiman van gedragsanalysefirma Exabeam ook. "Elk bedrijf maakt antimalware/antivirus een topprioriteit in het beveiligingsbudget. Het is de norm om op elke endpoint een flitsende AV-oplossing te installeren die gebruikers geruststelt dat ze worden beschermd. Dat is helaas simpelweg niet waar. Elke malware van vandaag de dag, vooral die van criminelen, zijn uitgerust met anti-antivirustools, waardoor de payload langs de endpoint-bescherming glipt."

3. Monitoringstools die niet worden gebruikt

Als we het toch over het negeren van de data hebt, wat dacht je van tools die monitoren wat er gebeurt met data als apparaten aan je netwerk worden gekoppeld? "Veel bedrijven willen vooral kunnen zeggen dat ze voldoen aan beveiligingseisen om het netwerk en de data erop te beschermen en zetten IPS, firewall, et cetera in", zegt Cedric Caldwell van IT-consultancy Adapture.

"Grote organisaties kijken meestal daadwerkelijk gedetailleerd naar de informatie die wordt geproduceerd door deze systemen, maar ik zie vaak dat MKB's daar de resources niet voor hebben. Ze vinken de lijst af en kopen de apparatuur, maar ze zetten niet de belangrijke stap op te zeggen: 'Oké, wat vangt deze tool nu eigenlijk op?'"

4. Wachtwoordongein

Volgens Dimitri Sirota van privacybeheerplatform BigID is een van de opzichtigste gevallen van securitytheater de beveiligingsmaatregel die je het vaakst tegenkomt: wachtwoorden. "Wachtwoorden dienen als een slot op een voordeur", zegt hij. Maar het is erg makkelijk om langs die sloten het huis binnen te glippen, omdat mensen zelf slechte sloten maken.

"Het is een zwakke schakel, omdat gebruikers een makkelijk te onthouden wachtwoord verkiezen boven een moeilijk te ontcijferen sleutel." Nigel Stanley van IT-consultancy OpenSky maakt zich vooral boos over de eis dat wachtwoorden vaak elke maand vervangen moeten worden. "Waarom zo kort? Wat gebeurt er na 30 dagen?"

5. Perimeter-beveiliging

Firewalls en andere maatregelen om de netwerkperimeter te beveiligen heeft volgens Gary McCracken van encryptiebedrijf WinMagic een theatraal randje. "Het is iets dat iedereen doet, maar voor informatiebeveiliging doet het niet zoveel", zegt hij. "Het kasteel is bestormd en de firewall houdt de barbaren niet meer buiten."

"De meeste bedrijven laten constant ongenode gasten binnen, waardoor we nieuwe strategieën en technologieën nodig hebben. Neem aan dat je netwerk genepetreerd is of dat dit gaat gebeuren. Detecteer dat, minimaliseer de impact en herstel snel." Hij adviseert daarom dat je "het bereik van de explosie minimaliseert in plaats van meer te investeren in uitgebreide perimiter-oplossingen of recente restorepunten hanteert met zeer frequentie back-ups."

6. Overvloed aan waarschuwingen

Te veel data over potentiële dreigingen kan overrompelend werken en leiden tot meldingsmoeheid, zowel bij gebruikers als IT'ers. "Meerdere beveiligingsmiddelen installeren die een hoop meldingen genereren waar vervolgens niets mee wordt gedaan is een typisch voorbeeld van securitytheater", zegt hij.

"Het zijn er vaak te veel om handmatig te behandelen. Dus beveiligingsteams horen constant alarmbellen rinkelen, maar ze zijn in staat om slechts vijf procent van de achterliggende incidenten te onderzoeken." Philip Lieberman van toegangsbeheersoftware Lieberman Software is het daarmee eens. "Er is een hoog aantal loze meldingen en niemand durft onmiddellijk maatregelen te nemen uit angst gebruikers te verstoren."

7. Beveiligingssimulaties

Sommige experts denken dat we al de mist in gaan met het voorlichten en trainen van gebruikers. Stu Sjouwerman van beveiligingsbedrijf KnowBe4, wat een trainingsplatform biedt, geeft het voorbeeld dat "bedrijven elke 3 maanden een phishingmail simuleren, maar verzuimen om werknemers van training te voorzien die het risico op internet echt uitleggen. Resultaat? Werknemers voelen zich lastiggevallen door simulaties die niets veranderen aan de daadwerkelijke phishingcijfers."

8. Harde taal

Stanley van OpenSky heeft geen goed woord over voor beveiligingsbedrijven die producten leuren met spannend klinkende bijvoeglijke naamwoorden die eigenlijk niets zeggen over wat het product daadwerkelijk doet of kan. "Dan denk ik aan military grade encryptie, 'kill chain' en andere militair ogende termen. Wat? Dit is niet beschrijvend en niet nuttig."

9. Verbieden in naam van security

J. Colin Petersen van identiteitsbedrijf Digital Identity vindt dat IT'ers een gebruikersvraag weigeren in de naam van beveiliging een stukje theater opvoeren. "Wanneer een eindgebruiker bijvoorbeeld toegang wil tot een bepaalde resource, denken sommige IT'ers er niet eens over na of er een beveiligde oplossing mogelijk is, maar antwoorden ze met iets als 'Sorry, dat kan niet vanwege beveiligingsredenen.'"

10. Threat Inteligence

Soms lijkt het delen van informatie over de datadiefstal waaraan je bent blootgesteld ook op een toneelstuk, zegt Shlomo Touboul, van beveiligingsbedrijf illusive networks. "Als een groot bedrijf wordt aangevallen, worden andere organisaties uit dezelfde sector onmiddellijk gewaarschuwd. Maar dat maakt ze niet veiliger", zegt hij.

"Elk bedrijf heeft andere aanvalsvectoren op het netwerk en bijna allemaal zien ze deze zelf niet, terwijl aanvallers er wel gebruik van maken. Informatie over het delen van aanvallen kan daarom nuttig zijn om bepaalde systemen te beschermen, maar ze laten de verscholen aanvalsvectoren niet zien, waardoor organisaties een vals gevoel van veiligheid kunnen ontwikkelen."

11. PR na hack

Het zijn niet alleen de technici die aantreden als er data is gestolen, herinnert Scott-Cowley van Mimecast ons. "De ergste misdaad is nog wel de gladde persverklaring van een bedrijf dat ze 'beveiliging van klanten zeer serieus' nemen. Dit hoor je van CEO's en PR-afdelingen zodra iemand de vaak niet serieus te nemen beveiliging heeft gepenetreerd."

"Vaak is er dan volgens de PR ook sprake van een geavanceerde of gecoördineerde aanval, wat ik absolute onzin vindt. De twee uitspraken gaan vaak samen als een bedrijf niet wil laten merken dat de beveiliging niet op orde was en dat malafide hackers zonder of met weinig moeite de data of resources te pakken kregen."

Doen alsof niet altijd zinloos

Het zou niet goed zijn als we hier niet ook een tegengeluid lieten horen: soms kan een beetje theater een hoop verschil maken. "Het is niet allemaal slecht", vertelt BigID's Sirota. "Het dient ook als afschrikmiddel. Agenten zijn ook niet ieder moment van de dag bezig met het arresteren van mensen, maar de aanwezigheid van blauw op straat werkt wel als afschrikmiddel. Je ziet hetzelfde met het leger. Die vecht niet altijd, maar een publieke oefening laat vijanden zien dat er wel paraat wordt gestaan."