In de ict-beveiliging is het bon ton te klagen dat gebruikers niet goed luisteren wat ze moeten doen. Maar misschien is het wel andersom, want de beveiliging is een erg gesloten wereld. Een oplossing: integreren met de fysieke beveiliging.
Vorig jaar onderzocht infrastructuurspecialist Verizon een incident bij een farmaceutisch bedrijf waarbij verkoopinformatie gelekt was naar de concurrent. Alle systemen werden onderzocht, maar een gat werd niet gevonden. Uiteindelijk bleek dat de informatie gepresenteerd was voor de eigen marketeers, middels een powerpoint-presentatie op een groot scherm, dat zichtbaar was vanuit de receptie.
‘Dan is het niet ons probleem', zijn ict-beveiligers geneigd te denken. Het lek was immers niet elektronisch. Van die gedachte zouden ze afmoeten. De grens tussen fysieke en digitale veiligheid is niet alleen kunstmatig, ze is ook aan het vervagen. Dat wordt vanuit de fysieke kant beter onderkend dan vanuit de ict.
Verschillende culturen
'Toen wij vorig jaar een deel van Lehman Brothers overnamen, was de integratie van de cctv-systemen een van de grootste problemen', vertelt Stephen Jackman, die bij de Barclays bank hoofd is van de afdeling 'global corporate security'. 'Daarom hebben we nu ook it'ers in ons team zitten.' De gesloten televisiecircuits zijn een cruciaal onderdeel van fysieke beveiliging. Tegenwoordig zijn de camera's steeds meer van wifi voorzien, met alle beveiligingsrisico's vandien. Jackman: 'Integratie van fysieke en ict-beveiliging vindt nog onvoldoende plaats. Soms is er een 'chief security officer', maar dat is vaak niet meer dan iemand met twee separate afdelingen onder zich.'
Een probleem hierbij is de totaal verschillende cultuur bij ict'ers en fysieke beveiligers. 'De disciplines zijn volwassen binnen hun eigen zuil', analyseert Martin Smith, voorzitter van de Security Awareness Special Interest Group, een Amerikaans overheidsorgaan dat integraal veiligheidsdenken wil bevorderen. 'Ze zullen echter moeten samengaan om te kunnen redeneren vanuit het belang van hun klanten. Die moeten nu namelijk het gat vullen dat tussen beide zuilen bestaat. '
Als voorbeeld noemt Jackman personeelsbeleid. Hij zit tegenwoordig in de sollicitatiecommissie voor de belangrijkste ict-beveiligingsposten, omdat daar traditioneel vooral gescreend werd op technische competentie, en niet op integriteitskwesties waar in de andere beveiligingstak de nadruk op ligt. Dat is belangrijk, omdat aanvallen van binnenuit weliswaar een minderheid vormen, maar dan wel de grootste schade aanrichten.
Beroerd
De noodzakelijke integratie van fysieke en ict-beveiliging was niet het enige punt waarop de ict'ers een spiegel voorgehouden kregen door diverse sprekers tijdens de vakbeurs Infosecurity 2009 in Londen. Ook naar de gebruikers moet beter geluisterd worden.
'Wij zijn niet de experts die weten welke informatie uitgewisseld mag worden', aldus Bart Vansevenant, directeur strategie bij Verizon. Hij pleitte voor een aanpak waarin de gebruikersbehoefte het uitgangspunt is, in plaats van het technische aanbod van de beveiligers. 'We doen het weliswaar goed op infrastructuur, maar beroerd op data.'
De bescherming van die data staat echter wel nummer één op het prioriteitenlijstje van bedrijven. Cybercriminelen zijn steeds effectiever bij het stelen ervan, en slaan daarbij totaal geen acht op de schotten die in de beveiligingsbranche tussen de disciplines staan. Zo duiken ze met speciaal ontwikkelde malware steeds gerichter in het gat tussen ict'ers en gebruikers. Onderzoek ('2009 Data Breach Investigations Report') van Verizon laat zien dat weliswaar slechts zeventien procent van de aanvallen complex genoemd mag worden, maar deze zijn wel verantwoordelijk voor 95 procent van het dataverlies. Driekwart van de aanvallen is bovendien gericht op een specifieke organisatie.
In Verizons onderzoek zitten echter niet de gevallen van verloren of gestolen laptops en usb-sticks, die in één keer buiten welke firewall dan ook om miljoenen records lekken. Cryptografie is een goede technische bescherming tegen dergelijk verlies, maar het is eigenlijk een lapmiddel.