De eerste drie zijn inmiddels succesvol afgezwaaid. Dit najaar volgt weer een plukje van zes. En daarna kan Nederland rekenen op een gestage stroom van Masters of Security in Information Technology: experts op het gebied van informatiebeveiliging, opgeleid aan de Postgraduate School van de Technische Universiteit te Eindhoven. Een van de slechts twee universiteiten in Europa die zo’n academische (deeltijd)studie aanbiedt.
Een sluwe inbreker kan het beste vertellen hoe u uw huis of kantoor goed kunt beveiligen. De studenten aan de nog jonge mastersopleiding Informatiebeveiliging aan de Technische Universiteit van Eindhoven kunnen echter absoluut niet vergeleken worden met inbrekers. Prof. dr.ir. Henk van Tilborg, programmaleider van deze opleiding: "Het zijn geen hackers die hier een beetje komen doorleren om daarna misschien een eigen bedrijfje te beginnen, maar gewaardeerde IT’ers uit het bedrijfsleven, die door hun werkgever in staat worden gesteld deze opleiding te volgen. Bijvoorbeeld om bij hun bedrijf een informatiebeveiligingsafdeling te gaan leiden."
| Twee jaar pittige studie De enkele jaren oude IT-beveiligingsopleiding aan de Postgraduate School van de Technische Universiteit te Eindhoven is opgebouwd uit vijftien, desgewenst ook los te volgen modules:
Een uitvoerige brochure is aan te vragen via de website: http://www.postgraduateschool.tue.nl. |
In de directiekamer
De postacademische opleiding Master of Security in Information Technology (afgestudeerden mogen MSIT achter hun naam zetten) ontstond vier jaar geleden in Eindhoven als spin-off van de afstudeerrichting cryptologie, een wiskundige discipline die zich richt op het beschermen van gegevens. "Een gespecialiseerd vakgebied, terwijl we merkten dat er juist behoefte was aan een veel bredere opleiding. En daar hebben we dan ook voor gekozen," vertelt prof.dr. Piet Cijsouw, programmadirecteur van de Postgraduate School. "Binnen de opleiding hebben kennis van wiskunde, informatica en elektrotechniek een plaats gekregen, naast juridische, organisatiekundige en gedragswetenschappelijke expertise. Een breedte die eigenlijk niemand in huis heeft. Nou ja, behalve onze afgestudeerden dan natuurlijk."
Zulke veelzijdig opgeleide beveiligingsdeskundigen zijn bij uitstek geschikt voor functies op directieniveau. Precies waar informatiebeveiliging thuishoort, vindt Cijsouw. Al zal het nog wel wat zendingswerk kosten om bedrijven tot dat inzicht te brengen. "Maar uiteindelijk zie ik toch een situatie ontstaan zoals in de chemie, waar de portefeuille veiligheid gewoonlijk beheerd wordt door een lid van de raad van bestuur. Iemand met gezag dus en als het moet ook vetorecht."
Wachten op echte ramp
Zover is het nog lang niet. Van Tilborg: "Zelfs bij grote ondernemingen staat informatiebeveiliging nog in de kinderschoenen. Er wordt wel wat aan gedaan, maar nog lang niet voldoende. Kijk alleen maar naar intranet, naar de communicatie tussen vestigingen. Zoals het nu over het algemeen geregeld is, is het onverantwoord om er vertrouwelijke bedrijfsgegevens over te laten lopen. Het wachten is op een groot ongeluk: een bedrijf dat echt totaal wordt platgelegd door tekortschietende informatiebeveiliging."
Sinds de gebeurtenissen van 11 september vorig jaar is het bedrijfsleven wel wat bewuster over die mogelijkheid gaan nadenken. En terecht, vindt Cijsouw, een terroristische cyberattack is een reële optie. "Sterker nog, tijdens de oorlog in Joegoslavië is aangetoond dat het heel wel mogelijk is om op die manier een land volkomen lam te leggen. Tegelijk is het veel te eenzijdig om de IT-beveiliging alleen op terrorismegevaar af te stemmen. Ook criminaliteit en vandalisme vormen risico’s. Net zoals gewone bedrijfsongevallen: brand, personeel dat slordig omspringt met wachtwoorden, het plotseling wegvallen van iemand die vertrouwelijke, en dus moeilijk toegankelijke elektronische informatie beheert."
De kracht van een academisch opgeleide IT-beveiliger is volgens de Eindhovense hoogleraren dat hij of zij in staat is dit hele veld van risico’s te overzien en een passende architectuur van (technische) beveiligingsmaatregelen te ontwikkelen. "En daarbij heel nadrukkelijk ook de menselijke factor betrekt. Je kunt van alles bedenken, maar je zult tegelijk moeten werken aan bewustwording en aan de bereidheid van mensen om op een veilige manier hun werk te doen. Zonder daarbij overigens de leefbaarheid uit het oog te verliezen."
| Enige alternatief in Londen In Nederland is de Technische Universiteit te Eindhoven de enige instelling die een IT-beveiligingsopleiding aanbiedt op universitair niveau. Wel kunnen elders mbo- en hbo-opleidingen worden gevolgd. In Europa is slechts één andere universiteit die Masters of Security in Information Technology opleidt: de University of London. Het studieprogramma is sterk vergelijkbaar met dat in Eindhoven. |
Risico’s onderschat
Een goede maatvoering is essentieel. Wat dat betreft is er niet zo veel verschil met bouwkundig beveiligen, vinden beiden. "Het is altijd een balans, die je zoekt. Waar bescherm ik me tegen en wat kost het, in geld uitgedrukt maar ook in gebruiksvriendelijkheid? Honderd procent beveiligen is onzin, ook in de IT."
Hoe groot de risico’s zijn die bedrijven en overheden lopen met hun IT-toepassingen, wordt volgens Cijsouw ernstig onderschat. "E-commercebedrijven zoals Amazon.com, waar enorme hoeveelheden creditcardnummers liggen opgeslagen en waar dus echt wat te halen valt, staan in feite continu bloot aan gevaar. Maar denk ook aan energiebedrijven. Er is alle reden voor om het informatieverkeer rond gas-, water- en elektriciteitsvoorzieningen zeer zorgvuldig te beveiligen."
Van Tilborg: "Een heel ander voorbeeld: elektronisch stemmen doen we in Nederland op een manier die eigenlijk heel onveilig is. In een land als Irak zou ik met zo’n machine niet op een oppositiepartij durven stemmen. Of neem het betalingsverkeer. Sinds we elektronisch zijn gaan betalen, zijn we er qua beveiliging in feite alleen maar op achteruit gegaan. Op een pinpas en chipcard staan al onze gegevens. Terwijl dat echt niet hoeft. Er zijn prachtige systemen te bedenken om anoniem elektronisch te betalen, waardoor we niet de fraude-ellende zou hebben die zich nu openbaart rond de pinpas. Een typisch voorbeeld van een systeem dat in orde lijkt, zolang er geen misbruik van wordt gemaakt."
Kosten in ander daglicht
Er zou al heel veel gewonnen zijn, vinden de twee hoogleraren, als het topmanagement van bedrijven bereid was op een andere manier te kijken naar de kosten van een solide beveiliging van IT-toepassingen. Nu worden die nog overwegend gezien als uitgaven die de winst drukken, kosten zonder opbrengst. Cijsouw: "We moeten gaan denken: we willen een dienst aanbieden en dat kan alleen als we beschikken over goede beveiligingsmiddelen. Die ontwikkel je dan als noodzakelijk onderdeel van het dienstenpakket. Kosten komen daarmee direct in een heel ander daglicht te staan. En beveiligers groeien in zo’n benadering uit tot mensen die voor het werk zorgen."
Dick Groenendijk freelance medewerker.
