Als je op een verjaardagsfeestje vertelt dat je werkt op de afdeling informatiebeveiliging van een grote bank, hoef je niet te rekenen op enthousiaste reacties. Er zijn niet veel mensen die zich daar iets bij kunnen voorstellen. Toch is dat vak erg boeiend, vindt Sjaak Boone, security officer bij Bank Nederlandse Gemeenten.
Om die reden schreef hij de afgelopen jaren diverse artikelen over informatiebeveiliging. Aangevuld met enkele nieuwe artikelen zijn de verhalen gebundeld in het boek ‘Informatiebeveiliging in metaforen’, dat onlangs verscheen. De stelling van Boone is dat het beveiligen van informatie van alle tijden is. Het beveiligen van de inhoud van brieven, telegrammen en archieven kent dezelfde problemen als de huidige informatiebeveiliging.
Via geestige metaforen legt Boone uit dat technieken, die nu als nieuw worden aangeprezen, al erg oud zijn. Zo noemt hij Roodkapje een gebruiker van biometrie avant la lettre. De wetenschappelijke definitie van biometrie is ‘de mogelijkheid om aan de hand van lichaamskenmerken de identiteit van iemand vast te stellen’. Toen Roodkapje opmerkte dat grootmoeder plotseling een erg grote mond had, maakte ze gebruik van die wetenschap. Nieuwe beveiligingssystemen zijn gebaseerd op het herkennen van personen op basis van hun iris.
Boone behandelt in zijn boek tien thema’s. Via vergelijkingen slaagt hij erin kernbegrippen van informatiebeveiliging helder uit te leggen. Veel verhalen spelen zich af in het Frankrijk van de vorige eeuw. Uit die periode komt een anekdote die we nu zouden bestempelen als ‘handel met voorkennis’.
In 1836 kwamen de Franse kranten met een opmerkelijk bericht. Een zieke telegrafist kreeg te horen dat hij nog maar kort te leven had. Uit gewetensvroeging bekende hij aan een collega dat hij zich schuldig had gemaakt aan het versturen van vervalste berichten via de optische telegraaf, die destijds in een groot deel van Frankrijk het financiële berichtenverkeer verzorgde.
De telegrafist biechtte op dat hij zich had laten omkopen door het effectenkantoor van de tweelingbroers Blanc. Door de beurskoers te manipuleren met valse informatie behaalden deze twee broers in twee jaar tijd enorme winsten. Dat leidde tot geruchten over fraude. Het ministerie van Binnenlandse Zaken verrichte daarop een onderzoek, maar dat leverde niets op. De bekentenis van de telegrafist leidde tot een proces, waarin de broers als verdediging aanvoerden dat zij maar een klein effectenkantoor hadden. Zij wezen erop dat anderen die rijker waren, zoals de Rothschilds, ook handelden met voorkennis. De Rotschilds hadden een informatievoorsprong door een eigen duivenpost en andere methoden, zoals een snel zeilschip dat over Het Kanaal voer. De rechter vond dat verweer redelijk en veroordeelde de tweeling alleen maar tot de kosten van het proces. Dit spraakmakende proces haalde de literatuur. Alexandre Dumas sr. beschreef de telegraaf als ‘het insect met de zwarte klauwen en de vreselijke naam’. In zijn boek ‘De graaf van Monte Christo’, verwerkt hij het verhaal van de handel met voorwetenschap. De op wraak beluste graaf koopt een telegrafist om voor 25.000 francs. De telegrafist moet een vals bericht naar Parijs sturen waardoor de Spaanse aandelenkoers inzakt. Als gevolg daarvan wordt zijn aartsvijand Danglars geruïneerd.
Via historische gebeurtenissen beschrijft Boone een groot aantal gevallen waarin hij uitlegt dat nieuwe technieken kansen bieden, maar bijna altijd fraudegevoelig zijn. In sommige voorbeelden draaft hij een beetje door, zoals prinsesjes die elkaar schrijven in geheimschrift. Vervolgens legt hij dan nogal omslachtig uit dat er een verband is tussen geheimschrift en encryptietechnieken. In de meeste verhalen slaagt hij er echter wel in een helder verband te leggen tussen oude technieken en de methoden die nu gemeengoed zijn bij het beveiligen van informatiesysteem.
Het meest praktische voorbeeld van beveiliging geeft Boone aan de hand van de brand die zondag 5 mei woedde in het hoofdkantoor van Crédit Lyonnais in Parijs. Op het moment van de brand waren technici bezig een nieuw informatiesysteem in te voeren. Het uitwijkplan werkte wel, maar er kwamen talloze feilen aan het licht. De brand was waarschijnlijk gesticht om fraude te verdoezelen.
Veel praktische maatregelen werkten niet. Gepantserde deuren die bij brand open hoorden te gaan, deden dat niet. In de loop der jaren waren er in het honderd jaar oude gebouw door het hele pand valse plafonds aangebracht zonder brandvrije tussenwanden. Overal bleken gaten te zijn geboord voor kabels en andere leidingen. Daardoor kon het vuur zich horizontaal en verticaal snel verspreiden.
Na de eerste positieve berichten over de uitwijkvoorzieningen barstte de kritiek los. Een ex-directeur wees erop dat in het verleden foute keuzen zijn gemaakt. Zo koos men voor het werken met ‘profit centers’, door kleine filialen te ontwikkelen die geacht werden snel op marktontwikkelingen te kunnen inspelen. Het tegendeel bleek het geval: de besluitvorming verliep star en de structuur van de informatie vertoonde grote leemten. Daardoor gingen er bij de brand veel gegevens verloren.
Sjaak Boone: Informatiebeveiliging in metaforen. Ten Hagen & Stam Uitgevers, Den Haag.
ISBN 90-71694-77-I.
