Het is nevelig op Schiphol. Het uitzicht vanaf de hoogste verdieping van het business centrum Skyport is dan ook niet geweldig. Overigens hebben de deelnemers aan de discussie weinig oog voor wat er zich buiten afspeelt. Het gespreksonderwerp is ingewikkeld en interessant genoeg om de aandacht volkomen binnenskamers te houden. Het gaat namelijk over informatiebeveiliging. Met behulp van het CIA-principe moeten de risico’s voor ‘vertrouwelijkheid, integriteit en beschikbaarheid’ van de informatie beoordeeld worden.
Hoe belangrijk is informatiebeveiliging voor het bedrijfsleven? Hoe kan een brug worden geslagen van beveiligingsbeleid naar concrete beveiligingsmaatregelen? Dat zijn de twee belangrijkste vragen die aan de basis liggen van een discussie tussen een aantal beveiligingsexperts. Hoewel, ‘discussie’ is misschien een te zwaar woord. Want alle beveiligingsexperts vinden informatiebeveiliging belangrijk. Per definitie. Net zoals slagers het eten van vlees erg belangrijk vinden voor het wel en wee van de mensheid. De gesprekspartners Elsinga, Roos Lindgreen en Van Geel zijn het dan ook roerend met elkaar eens: informatiebeveiliging is een ‘must’ voor het bedrijfsleven en behoort een integraal onderdeel te vormen van goed risicomanagement.
Ben Elsinga maakt deel uit van Cap Gemini Technology Consulting, Edo Roos Lindgreen is universitair docent aan de VU en werkzaam bij KPMG EDP Auditors en John van Geel, nu IT-manager van het Heijmans-concern, is ook werkzaam geweest bij KPMG. Dat verklaart zijn hevige belangstelling voor de problematiek van informatiebeveiliging. Zou die interesse er ook zijn geweest, wanneer hij een andere achtergrond had? De omgeving waarin Van Geel als IT-manager opereert, is bijzonder turbulent.
Van vlees en beveiliging
Bij Heijmans, een bouwconcern bestaande uit 75 bedrijvenonderdelen, verdeeld over vijf divisies, is 1 september 1997 het project Infosystem 2000 gestart. Het project behelst ondermeer de implementatie van Baan IV bij 63 bedrijven, de realisatie van een nieuwe technische infrastructuur en de kantoorautomatisering voor alle divisies en werkmaatschappijen. Van Geel heeft begrepen dat het een van de grootste Baan IV-implementaties in Nederland is. Er zit, eufemistisch gesproken, enige druk op het project, aangezien Heijmans de hete adem van de euro en het ‘jaar 2000’-probleem in zijn nek voelt. Hoewel snelle actie noodzakelijk is, wil Van Geel de beveiligingsaspecten niet uit het oog verliezen. "Infosystem 2000 kent een hoge mate van complexiteit, terwijl de realisatiesnelheid hoog is. Dat geeft een extra risico op het gebied van de beveiliging. Omdat oud en nieuw door elkaar lopen, is het niet altijd mogelijk om alle beveiligingsaspecten goed op elkaar af te stemmen. We gaan bijvoorbeeld gefaseerd over van een situatie waarin veertig lokale servers staan opgesteld naar één centraal servercomplex. Het beleid is erop gericht om zo snel als mogelijk oude procedures, bijvoorbeeld op het gebied van toegangsbeveiliging, op te heffen en zowel de oude als nieuwe situatie in één procedure onder te brengen", aldus Van Geel die er aan hecht dat nieuwe systemen en modules binnen de werkmaatschappijen pas operationeel worden, wanneer de noodzakelijke beveiligingsmaatregelen zijn genomen. ‘Noodzakelijk’ betekent in dit verband ‘met hoogste prioriteit’, dat wil zeggen dat ondermeer het changemanagement, de beschikbaarheid van het systeem en de uitwijk geregeld moeten zijn, bovenop de meest elementaire maatregelen, zoals toegangsbeveiliging en backup. Wanneer ergens in 1999 het project is voltooid, zal de beveiliging verder worden geoptimaliseerd.
Vraag een ervaren slager waarom vlees goed voor de mens is, en hij zal hoogstwaarschijnlijk het antwoord schuldig blijven. Ooit heeft hij het op de slagersvakschool geleerd. Nu is hij het vergeten. Hij weet alleen dát vlees goed is. Zo reageren ook beveiligingsexperts die al enige tijd in het vak meelopen, op de vraag waarom informatiebeveiliging eigenlijk ‘moet’. Het kost de heren die aan de discussie boven Schiphol deelnemen, dan ook enige moeite om de ‘waarom’-vraag te beantwoorden. Van Geel is er het meest pragmatisch in. "Een beveiligingsbeleid is noodzakelijk, omdat we bang zijn dat er iets mis gaat. Er kan van alles gebeuren, zowel intern als extern. Kijkend naar de algemeen bekende statistieken komt het grootste gevaar van binnen de organisatie. Wanneer informatie wordt ontvreemd of niet meer beschikbaar is, dan is dat voor een beursgenoteerde onderneming als Heijmans onacceptabel", aldus Van Geel, die eraan toevoegt dat het ook voor hem als IT-manager onacceptabel is. "Als er iets dergelijks gebeurt, dan weet ik wel wie er wordt aangesproken." Om die reden heeft Van Geel de werkmaatschappijen naar hun minimumeisen op het gebied van de beveiliging gevraagd. Die eisen worden meegenomen in de implementatie van Infosystem 2000 en later dit jaar vastgelegd in zogenoemde service level agreements.
Onveilige systemen
"Ondernemen is het benutten van kansen en het verantwoord omgaan met risico’s. Je probeert je tegen de belangrijkste gevaren in te dekken. Bij integraal risicomanagement neem je de vier productiemiddelen in ogenschouw: financiën, bezittingen, personeel en informatie. Net zoals je maatregelen neemt om financiële risico’s of risico’s op het gebied van personeelsbeleid te minimaliseren, zo doe je dat ook met je informatiesystemen. Het beveiligen van informatie is dus geen doel op zich, maar maakt deel uit van het ondernemen", aldus Edo Roos Lindgreen. Zoals Van Geel in de discussie de stem van de gebruiker vertolkte, zo verkondigde Roos Lindgreen het wetenschappelijke standpunt. Theorie en praktijk lopen echter bij het thema informatiebeveiliging door elkaar.
Roos Lindgreen promoveerde in het voorjaar van 1996 bij de onlangs overleden hoogleraar Herschberg. In zijn proefschrift, ‘A sense of secureness; approaches to information security’ heeft hij bestaande benaderingen voor informatiebeveiliging geanalyseerd, waarbij hij speciale aandacht schonk aan hun praktische toepasbaarheid. Hij poneerde enkele forse uitspraken die indertijd enige stof hebben doen opwaaien. Zo betoogde hij dat vanwege de hoge kosten en de lange doorlooptijd die gemoeid zijn met het ontwikkelen en ontwerpen van veilige IT-producten, onveilige systemen in commercieel opzicht een voorsprong hebben op hun relatief veilige concurrenten. Inherent onveilige systemen zijn tegenwoordig alom aanwezig, zo legde Roos Lindgreen uitvoerig uit. Die constatering vereist een nieuwe benadering van de beveiligingsproblematiek: meer dan ooit dienen organisaties het grootste deel van hun beveiligingsinspanningen te concentreren op systemen die van vitaal belang voor hun primaire processen zijn.
Welke informatie en welke informatiesystemen van vitaal belang zijn, kan voor elke organisatie verschillen. In geval van Heijmans is dat de calculatiemodule om op aanbestedingen te kunnen inschrijven. De beschikbaarheid is gewaarborgd door op een standalone PC een calculatiepakket te installeren dat in geval van een calamiteit kan worden gebruikt. Soms zijn het relatief eenvoudige maatregelen om uitwijk te regelen en beschikbaarheid te realiseren. Zoals een veiligheidshelm op de bouwplaats toch ook een vrij eenvoudig doch doeltreffend beschermingsmiddel is. Voor een IT-bedrijf als Cap Gemini dat veel specialisten in dienst heeft en aan productontwikkeling doet, zijn het personeelsinformatiesysteem en de onderzoeksdatabases van groot belang.
Spanningsveld
"De doelstellingen van informatiebeveiliging worden wel samengevat als het CIA-principe", aldus Roos Lindgreen. Daarmee bedoelt hij niet de Amerikaanse inlichtingendienst, hoewel bekend is dat deze veelvuldig in computersystemen inbreekt. Nee, CIA staat voor ‘confidentiality, integrity’ en ‘availability’. De risico’s en kosten met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie zullen in een beveiligingsplan gewogen en beoordeeld moeten worden.
Volgens Ben Elsinga van Cap Gemini bestaat een spanningsveld tussen vertrouwelijkheid en beschikbaarheid. "De beschikbaarheid van gegevens kan vanuit het perspectief van de vertrouwelijkheid geen goede zaak zijn. Andersom kan de vertrouwelijkheid van de informatie betekenen dat zij niet gemakkelijk beschikbaar is", aldus Elsinga die bij zijn klanten met een beveiligingsmodel werkt waarmee dat spanningsveld geëlimineerd wordt. Belangrijk is dat zowel mensen, organisatie, informatie, externe contacten als fysieke elementen in de risico-analyse worden betrokken. Het gaat immers niet alleen om technische onvolkomenheden die de beveiliging van informatie in gevaar kunnen brengen, maar ook om menselijke aspecten.
Hoezeer de menselijke factor een rol speelt, bleek het management van de Belastingdienst. Vorig jaar kwam de Algemene Rekenkamer met een alarmerend rapport ‘Informatiebeveiliging Belastingdienst’. Hierin staat te lezen dat de beveiliging van belastinggegevens ernstige tekortkomingen vertoont, omdat onbevoegden gemakkelijk toegang kunnen krijgen tot geautomatiseerde systemen. Kritiek die automatiseerders slechts ten dele is aan te rekenen. Nadere beschouwing van het rapport leert dat op veel afdelingen slordig wordt omgegaan met de persoonlijke wachtwoorden. Deze wachtwoorden zijn vaak voor iedereen
beschikbaar. Soms staan deze codes gewoon op een afdelingslijst genoteerd. Ook worden de wachtwoorden gewoon op de PC’s geplakt en hebben te veel mensen toegang tot vertrouwelijke informatie. De Rekenkamer had eveneens kritiek op de inbraakbeveiliging, de toegangscontrole van de gebouwen en de slechte naleving van de voorgeschreven backup-procedures. Eén van de stellingen die Edo Roos Lindgreen zijn proefschrift meegaf, luidde dan ook: ‘Systemen zijn niet onveilig bij gebrek aan goede technieken, maar bij gebrek aan een juiste toepassing daarvan’.
Computervredebreuk
De beveiligingsproblemen die de Rekenkamer bij de Belastingdienst signaleerde, zijn zeer basaal en herkenbaar. Onduidelijk is echter of deze beveiligingslekken ook daadwerkelijk tot misdadig of frauduleus gedrag aanzetten. Strafzaken komen hoogstzelden voor. De Wet Computercriminaliteit leidt bijvoorbeeld nauwelijks tot een strafzaak. Sinds deze wet in 1993 van kracht werd, heeft de rechter slechts een enkele zaak over ‘computervredebreuk’ afgedaan. Vorig jaar wisten twee medewerkers van het Centraal Bureau voor de Statistiek (CBS) in het CBS-blad Index te melden dat tussen 1993 en 1995 zo’n 150 gevallen van computer-vredebreuk bij het Openbaar Ministerie (OM) zijn ingeschreven. Het betreft hier het onbevoegd binnendringen en weghalen van gegevens. Veel ingeschreven zaken worden geseponeerd. Ondermeer omdat de Officier van Justitie denkt te weinig bewijs te hebben voor een veroordeling. De twee CBS-onderzoekers verklaarden in hetzelfde artikel het heel moeilijk te vinden om inzicht te krijgen in de omvang van de computercriminaliteit. Ze hebben de indruk dat de aangifte-bereidheid nog steeds gering is. Bedrijven komen er niet graag voor uit slachtoffer te zijn van computercriminaliteit.
Volgens berichten van de FBI wordt in Amerika door computercriminaliteit jaarlijks voor honderden miljoenen dollars aan intellectueel eigendom ontvreemd. De inlichtingendienst baseert zich bij het noemen van deze cijfers op zaken die aan het licht zijn gekomen. De omvang van wat de FBI niet weet, is waarschijnlijk nog veel groter. Dat geldt ook in Nederland. Het zijn niet alleen de rondslingerende papiertjes met wachtwoorden of openstaande deuren die het kwaadwilligen gemakkelijk maken om in te breken. Gebrek aan functiescheiding, onvoldoende toegangsbeperkingen en gebrekkige controlemaatregelen zijn eveneens oorzaken van computerfraude, of beter fraude met behulp van de computer. Het gaat in de praktijk vaak helemaal niet om opzienbarende zaken. Het doorsluizen van geld via simpele computerkassa’s of het ingeven van ‘fake-orders’ die, nadat ze zijn verwerkt, weer worden gewist. Ook gegevensfraude is een regelmatig voorkomend verschijnsel. Dat gaat van het bevredigen van een ongezonde nieuwsgierigheid naar de optieregeling van de directeur tot en met het ontvreemden van bedrijfsgeheimen om die te verkopen aan de concurrentie.
Stroomstoring
Het grootste gevaar komt van medewerkers die willens en wetens informatie pikken, wissen of verminken. Daarnaast moet in een beveiligingsbeleid ook rekening worden gehouden met onverlaten die van buitenaf proberen in te breken in de informatiesystemen. Met het inbreken in computersystemen van buitenaf is het eigenlijk van hetzelfde laken een pak als met interne computercriminaliteit: niemand wil het echt aan de grote klok hangen. Exacte cijfers ontbreken derhalve. Het heeft er alle schijn van dat de georganiseerde misdaad nog niet zo ver is dat zij via computerinbraken zichzelf tracht te verrijken. Bedrijfsspionage of het inbreken in een informatiesysteem met de bedoeling gegevens te wissen of te wijzigen, zijn fenomenen die in Nederland relatief onbekend zijn. In Amerika schijnen in 1997 volgens onderzoek van de FBI bij 42 procent van de Fortune 500-bedrijven elektronische inbraakpogingen te zijn geweest. Hierbij kreeg 82 procent van de hackers toegang tot het systeem. Volgens onderzoek van de Amerikaanse National Computer Security Association werd vorig jaar 98 procent van het Amerikaanse bedrijfsleven getroffen door virussen. Hierbij leed 29 procent ‘belangrijk financieel verlies’.
Het beveiligingsbeleid behoort niet alleen te zijn afgestemd op het beschermen van de vertrouwelijkheid en integriteit van de informatie. Ook de beschikbaarheid van de gegevens speelt een belangrijke rol. Uit onderzoek van KPMG EDP Auditors blijkt dat Nederlandse ondernemingen in het algemeen onvoldoende zijn voorbereid op mogelijke calamiteiten, zoals stroomuitval en computerstoringen en diefstal. Nog geen 30 procent van de bedrijven kent een beveiligingsbeleid. Een bedrijfsnoodplan dat volgens de Arbeidsomstandighedenwet (Arbo) verplicht is en de veiligheid van de werknemer moet waarborgen, ontbreekt bij ruim 40 procent van de bedrijven. Uit hetzelfde onderzoek blijkt dat bijna de helft van de ondervraagde bedrijven regelmatig last heeft van stroomuitval. Het gemiddelde schadebedrag is bij kleine bedrijven ongeveer 45.000 gulden en bij grote bedrijven 100.000 gulden.
Ook de Gartner Group wijst op het belang van een goede noodstroomvoorziening als onderdeel van een informatiebeveiligingsbeleid. Het Amerikaanse onderzoeksbureau zegt dat de ondervraagde bedrijven vorig jaar verliezen leden tussen de 5000 en 500.000 dollar per uur.
Het rapport van Gartner noemt naast stroomstoring nog andere oorzaken voor het plat gaan van netwerken. Na stroomstoring (50 procent) volgen brand en storm, hardware- en softwarefouten en foutieve handelingen door mensen – inclusief sabotage.
Code voor Informatiebeveiliging
In Skyport wordt langzaam maar zeker duidelijk dat een goed informatiebeveiligingsbeleid belangrijk is. De beveilingsexperts die aan de discussie deelnemen, hebben daarvoor overtuigende argumenten op tafel gelegd. Blijft de vraag staan, hoe de goede bedoelingen van automatiseerders en algemeen management daadwerkelijk in de praktijk uitvoerbaar zijn. De consultant Elsinga meent dat hier een drietrapsraket behoort te worden gebruikt. Eerst op conceptueel niveau onderzoeken wat er beveiligd moet worden, vervolgens op logisch niveau de vraag beantwoorden op welke wijze de beveiliging gestalte moet krijgen om tenslotte op het fysieke niveau met producten een concrete invulling te geven. Deze fasering maakt deel uit van AD-DSE, hetgeen zoveel betekent als ‘architecture design-distributed secure environments’. De wetenschapper Roos Lindgreen meent dat beveiliging vooral een kwestie van ‘gezond verstand’ is, indachtig de stelling ‘Een goede verdediger denkt als een aanvaller, ook bij informatiesystemen’.
Zowel de consultant en de wetenschapper als de praktijkman kunnen zich heel goed vinden in de mening dat de Code voor Informatiebeveiliging een hele goede basis vormt voor een heel praktisch en goed uitvoerbaar beveiligingsbeleid. Deze code is ontstaan in Engeland als een samenbundeling van ‘best practices’ voor informatiebeveiliging. Hij is met de steun van het ministerie van Economische Zaken ook ingevoerd in Nederland. De code biedt een gemeenschappelijke basis voor bedrijven om beveiligingsbeleid te ontwikkelen, maatregelen te selecteren en de nodige plannen op te stellen om tot ‘beveiliging op maat’ te komen. De code begint met de inrichting van het management-raamwerk voor beveiliging. Voor organisaties die nog weinig aan beveiliging hebben gedaan, is een soort ‘starterspakket’ aan activiteiten en maatregelen gedefinieerd. Er worden veel beveiligingsmaatregelen voorgesteld die organisaties redelijkerwijs zouden moeten treffen. Zonder uitgebreide risico-analyse kan men al snel tot een redelijke selectie komen. Voor een totaaloverzicht en voor specifieke maatregelen is wel een risico-analyse nodig.
"De code vormt een goede basis voor je informatiebeveiligingsbeleid. Maar met het volgen van die code ben je er nog niet. Er staan geen concrete maatregelen in. Je zult hem dus moeten aanpassen aan je eigen situatie", aldus Van Geel, wiens opmerking door Roos Lindgreen treffend wordt vertaald in: "De code is voor informatiebeveiliging wat het A-diploma voor zwemmen is. De code verdient geen schoonheidsprijs, maar je kunt er goed mee uit de voeten.
Cok de Zwart, freelance medewerker Computable
De Horizon
Onder deze naam organiseren Cap Gemini Technology Consulting, Het Financieele Dagblad en Computable een serie ronde-tafelgesprekken over recente ontwikkelingen in de informatietechnologie.
Als locatie voor de bijeenkomsten is gekozen voor de oude verkeerstoren van Schiphol. Zodat tour d’horizon in dit geval ook letterlijk mag worden genomen.
