Op 13 oktober 2011 debatteerde de Tweede Kamer over de DigiNotar-affaire in het bijzonder en de staat van de Nederlandse overheids ict in het algemeen. Ik heb het debat met grote belangstelling gevolgd. Het is goed dat informatiebeveiliging nu – eindelijk – op de radar staat van het Nederlandse parlement. De uitkomsten van het door minister Donner toegezegde onderzoek door de Onderzoeksraad van de Veiligheid zie ik met grote belangstelling tegemoet.
De Onderzoeksraad heeft in het verleden laten zien de kool en de geit niet te sparen, dus we kunnen nog wat vuurwerk verwachten.
Over het geheel genomen stelde het verloop van het debat mij echter teleur. De Kamer denkt nu over een meldplicht van ict-beveiligingsincidenten zoals we momenteel kennen voor Telecombedrijven die privacylekken moeten melden. Ik voorzie dat dit gaat leiden tot een oeverloos semantisch debat over wat een ‘incident’ dan precies is. Bovendien zal deze maatregel de nu toch al overbelaste security beleidsmedewerkers bij de overheid nog meer onder druk zetten.
De Kamer heeft een kans gemist om de lijnen uit te zetten naar een betere en veiligere ict-infrastructuur van de Nederlandse overheid. Het debat had naar mijn idee vooral een ‘hoe heeft het zover kunnen komen’ gehalte (terugkijken) in plaats van ‘wat moeten we doen om het niet meer te laten gebeuren’.
Regeren is vooruitzien; wat had de Tweede Kamer moeten eisen? Allereerst dient de security auditing veel serieuzer te worden uitgevoerd. Een jaarlijkse audit aan de hand van checklists is veel te mager. De frequentie moet omhoog, naar een een kwartaal- of maandfrequentie. In het ideale geval wordt in real-time gemonitord wat er gebeurt in de infrastructuur en waar policies niet worden nageleefd. De technologie is er al lang. De Kamer wil dat er ‘korter op de bal’ wordt gespeeld. Voilà….
Dan: de huidige aanpak van security – ook bij de overheid – is ‘Risc based’: men maakt een inschatting van de risico’s en maakt vervolgens de keuze in welke mate men maatregelen neemt. Die inschatting kan verkeerd zijn; calamiteiten komen altijd uit onverwachte hoek en hackers zijn vaak veel creatiever dan je vooraf kunt bedenken. Beter is het een ‘Principles based’ aanpak te kiezen, op basis van normen en policies. De Kamer zou minimumeisen moeten stellen aan websites en transacties. Stel als wettelijke eis dat elke overheidswebsite op zijn minst moet voldoen aan de normering van The Open Web Application Security Project (OWASP). OWASP houdt een top tien bij van de meest gemaakte beveiligingsfouten bij het bouwen van een website. De serie security lekken die onderzoeksjournalist Brenno de Winter momenteel publiceert, laat zien dat veel overheidswebsites uitstekend scoren in die top tien. En als er financiële of DigiD-transacties in het spel zijn, kunnen de normen van de creditcardindustrie (PCI-DSS) behulpzaam zijn. Deze normen zijn helder, ze hebben hun waarde in de praktijk bewezen en ze kunnen onmiddellijk worden toegepast.
Tenslotte zou de Kamer kunnen eisen dat in elke ict-business case van de overheid security expliciet dient te worden gebudgetteerd. De ervaring leert dat 8 procent van alle ict-investeringen aan informatiebeveiliging besteed zou moeten worden om een aanvaardbare mate van beveiliging te kunnen realiseren. Zorg ervoor dat security zichtbaar wordt. Staat er in de financiële onderbouwing onder het kopje ‘Security’ een 0, dan heeft de projectmanager wat uit te leggen…
Dit klinkt misschien als gekke maatregel, maar de overheid kent reeds een 1 procent regeling voor kunst bij het budget voor een nieuw gebouw.
De overheids-ict moet snel veiliger worden, anders gaat het onherroepelijk een keer grandioos mis. En het kan letterlijk om leven en dood gaan. De DigiNotar hack heeft in Iran mogelijk al levens gekost. Bovenstaande maatregelen vormen een goed begin. De Tweede Kamer heeft de sleutel in handen.
Rhett, ben het volledig met je eens. Ik vind dat de overheid moet stoppen met het wiel zelf uit te vinden. Men moet eens gaan shoppen bij bv de banksector die de wijze van beveiliging die jij voorstelt al lang in gebruik heeft. Ook zij zijn door een leerproces heen gegaan en de overheid kan gebruik maken van die hier opgedane praktische kennis en ervaring. Ik weet uit betrouwbare bronnen dat ze hier zeker voor open staan. Hiermee kan de overheid snel een veel hoger standaard beveiligingsniveau realiseren. Minder kosten, meer kwaliteit.
Daarnaast moet men veel meer kijken naar de vakspecialisten op dit gebied ipv de generalisten die alleen een papieren risicoanalyse kunnen uitvoeren. Veel van deze mensen weten niet eens wat de owasp top 10 inhoud.
Rhett,
goed gezegd, helemaal mee eens wat betreft vooruitzien ipv continu terugkijken (evaluatie wel nog steeds nodig)
Vooral je principles-based security spreekt mij aan, omdat ik dit ook al, voor het DigiNotar-incident, in mijn blog (zie onder) aan het verwoorden was, al was dit voor het vakgebied testen.
Ervaren security-testers, zoals gezegd in mijn laatste Computable-artikel kunnen wel degelijk een toegevoegde waarde zijn bij een IT-audit wegens hun operationele en testkennis.
Graag wil ik u, indien u dit wenst, helpen de principles-based aanpak verder uit te werken. U kunt mij bereiken via mijn Computable-profiel.
De banken weten dat ervaren gecertificeerde (CEH)securitytesters van belang zijn, nu de overheid nog.
Vriendelijke groet,
Cordny Nederkoorn
Immune-IT
http://testingsaas.blogspot.com
Rhett, prima betoog. Wat ik echter mis in je betoog is een noodzaak tot scheiding van rollen. Veel te vaak is dat niet geregeld in (overheids) projecten, waardoor dezelfden die het systeem ontwerpen, ook de security er wel effe bij doen. Je zag dit ook bij Diginotar, de Overheids-PKI en de eigen-PKI werden door dezelfde organisatie commercieel in de markt gezet, waardoor bij de afnemers de indruk werd gewekt dat beide aan dezelfde eisen voldeden. Niet dus. Dus zowel in Security alsook in Operationele en Commerciele zin meer en duidelijkere rollenscheiding aanbrengen
Op zich is dit wel een treffend voorbeeld van in hoeverre de Nederlandse politiek van de Nederlandse samenleving staat. Ze zijn toch wel heel veel introvert bezig naar zichzelf en haar procedures te kijken en ze hebben blijkbaar geen antwoord op de werkelijke problemen in het land.
Is het dan gek dat dan de mensen op populistische partijen gaan stemmen in de valse hoop dat die wel soelaas kunnen bieden? En de traditionele partijen zitten met hun handen in het haar en vragen zich af hoe ze weer stemmen kunnen winnen.
Begin eens weer echt naar je kiezers te luisteren en pak hun problemen aan door eens wat pragmatischer te gaan denken. Wat dat betreft geeft Rhett een nieuw punt voor je partijprogramma op een dienblaadje. Nu nog zorgen dat je het echt snapt.