Nogal vaak bestaat mijn werk uit praten over wijzigingen op firewalls. Organisaties willen namelijk meer en meer met elkaar communiceren, maar omdat dat veilig moet, hebben ze hun firewalls stevig dichtgezet. Het is dus meestal praten als Brugman om de simpelste zaken geregeld te krijgen.
De kniepeesreflex van veel organisaties is om per definitie alles te verbieden als het gaat om elektronische communicatie met de buitenwereld. Vooral de firewalls en webservers worden extra zwaar en extra duur opgezet. Besloten netwerken worden nog eens extra versleuteld. Telewerkers worden met speciale apparatuur uitgerust die niet goedkoop is en redelijk veel beheer kost.
Maar als we op bezoek komen bij deze organisaties blijkt nogal eens dat mensen die daar al een tijd niet meer werken nog steeds toegangsrechten hebben, of dat de zogenaamd geheime mailtjes netjes afgedrukt in de prullenbak liggen. Lopend over de afdeling zien we onder diverse beeldschermen briefjes geplakt met lange reeksen van rare lettertekens. Dat moeten de extra sterke wachtwoorden zijn. Ook handig voor de collega's.
Het is net of deze organisaties de voordeur flink op slot hebben gezet, maar vergeten zijn dat de achterdeur wijd open staat. Maar het kan nog erger. In een poging om volledig uit te sluiten dat malware de organisatie binnendringt wordt alle mail uitgebreid schoongewassen en als dat niet kan gewoon geweigerd. Jammer dat daarmee de versleutelde mail ook wordt tegengehouden. Die is onleesbaar voor derden, dat was de bedoeling. Maar daarom kan die niet gescand worden op virussen. Helaas pindakaas, uw mail kan uit beveiligingsoverwegingen niet beveiligd worden.
Zo gaan we natuurlijk geen veilige it maken. Wat nodig is, is gezond verstand dat de risico's kent, weet welke maatregelen genomen kunnen worden en in het belang van de hele organisatie de juiste afweging maakt tussen de kosten van problemen en de kosten van maatregelen om ze tegen te gaan.
De conclusie is juist, maar dhr. van Eijk vergeet erbij op te merken dan het gezonde verstand niet een keer gebruikt moet worden maar continu. De bedreigingen zijn dynamisch te noemen en net als de “gewone” software aan verandering onderhevig. Aansluitend op een stuk elders over testers, neem een voorbeeld aan het pentagon. Zij testen met proffesionele hackers elk jaar hun beveiliging. Voor het bedrijfsleven zal dit sommigen wat zwaar over komen, echter zodra je te maken krijgt met bedrijfsspionage, toch wellicht zo gek nog niet (tenzij je een hekel aan patenten/copyrights hebt)