Organisaties dienen alle medewerkers ervan te overtuigen dat beveiliging ieders verantwoordelijkheid is en niet alleen op het bordje van de it-afdeling ligt. Bij de productie van computers en inrichting van processen en diensten moet beveiliging een ontwerpuitgangspunt zijn: security by default. Aldus twee van de aanbevelingen die het McAfee-rondetafelgesprek op 11 december 2012 heeft opgeleverd.
Op het hoofdkantoor van McAfee Noord-Europa in Schiphol-Rijk spreekt een aantal mensen over beveiliging van computersystemen. Aanleiding is een onderzoek uitgevoerd door Keala Consultancy in opdracht van McAfee. Een opvallende uitkomst is dat (slechts) twee derde van de grote organisaties in Nederland stelt security als prioriteit te hanteren; niettemin heeft een groot deel van hen geen idee welke risico’s zij lopen. Onderzoeker Ruud Alaerds: ‘De it-manager is altijd bezig met dit onderwerp, maar hij voelt zich weinig gesteund door het algemeen management. Het is een veeg teken dat slechts 60 procent van de organisaties een actieplan heeft opgesteld voor het geval een digitale inbraak of verstoring plaatsvindt.’
Op de vraag of de overheid dwingender zou moeten optreden, zegt Jaap-Henk Hoepman daar weinig heil van te verwachten. Hoepman is senior scientist security, privacy and identity bij TNO en tevens universitair hoofddocent aan de Radboud Universiteit in Nijmegen. ‘Het is wel frappant te zien dat een groot deel van de organisaties wel ziet dat er risico’s zijn, maar geen actie daarop onderneemt. Wellicht zien ze niet hoeveel schade kan worden aangericht.’
Wim van Campen, vice president voor Noord-Europa bij McAfee, oppert het idee dat de overheid controleert of persoonsgegevens veilig zijn op websites, zoals de Nederlandse Voedsel- en Warenautoriteit de voedselveiligheid controleert.
Meldingsplicht datalekken
Het idee bestaat bij deelnemers dat organisaties en overheid pas in actie komen als ze een incident hebben meegemaakt. Alaerds verwijst naar een onderzoek naar business continuïteit. ‘Daar zagen we eenzelfde patroon. Ze zeiden dat ze goede maatregelen hadden getroffen, maar dat uiteindelijk weinig was geregeld, geen beeld was gemaakt van mogelijke schades, en dat de bestaande plannen maar eens in de twee, drie jaar werden geactualiseerd. We zagen wel dat bedrijven die een incident hadden meegemaakt, een significant actueler plan hebben. Ik verwacht dat iets dergelijks ook op het gebied van beveiliging speelt.’
Michel van Leeuwen, clustercoördinator bij de directie Cybersecurity van de Nationaal Coördinator Terrorismebestrijding en Veiligheid bij het Ministerie van Veiligheid en Justitie, is het met de anderen eens dat er een verschil is tussen bedrijfsgegevens en persoonsgegevens. Hij wijst erop dat er al veel regelgeving is – ook ‘Brussel’ is actief op dit vlak – maar dat de uitvoering wel wat beter kan. Van Leeuwen brengt naar voren dat er een meldingsplicht van datalekken komt voor organisaties via de nieuwe Telecomwet. Maar dit moet nog in de praktijk gestalte krijgen.
Aksel Dorèl, directeur van KPN Trusted Services, brengt in dit verband naar voren dat voor sommige data een bewaarplicht geldt. ‘In de Rotterdamse locatie van Vodafone die deze zomer met brand te maken kreeg, waren gegevens aanwezig waarvoor de bewaarplicht geldt. Vanuit het oogpunt van businesscontinuïteit zou je dan een plan verwachten, omdat de overheid speciale regels heeft uitgevaardigd. Hier is het levende bewijs dat de uitwerking in de praktijk te wensen overlaat.’
Van binnenuit
Van Leeuwen stelt dat de uitkomsten van het Keala-onderzoek vergelijkbaar zijn met een studie die zijn organisatie eerder dit jaar heeft laten doen door Motivaction onder de vitale sectoren. Twee derde geeft aan dat ze voorbereid zijn op een cyber security-incident. ‘Je mag van de overheid verwachten dat zij in geval van een digitale inbraak of verstoring opspoort en aanpakt. Op dit vlak staat regelgeving op stapel. Maar het gaat ook om het bewustzijn, om detectie, crisisbeheersing en herstel. De aandacht moet liggen op bewustwording in de hele keten van organisatie.’
Martin Visser, senior security specialist bij it-dienstverlener Sogeti, haakt hierop in: ‘Ik juich alle regelgeving toe, maar daarmee alleen zal je er nooit komen. Het besef dat databeveiliging uiterst belangrijk is, moet van binnenuit komen. Te vaak zien organisaties security als een kostenpost, maar je kunt beveiliging ook zien als een kwaliteitsbevordering middel. Daarmee krijg je immers een heldere blik op de processen; dat is een andere invalshoek.’
Ketensamenwerking
Volgens Hoepman is het ketenaspect erg belangrijk. ‘Elke organisatie acteert in een keten. En vaak is niet helemaal duidelijk waar het risico zit en wie verantwoordelijk is. Dit gaat verder dan bewustwording. De ketenpartners moeten bij elkaar komen, plannen opstellen en stappen zetten.’
Dit aspect is vooral van belang bij publiek-private samenwerkingen, zo brengt Van Leeuwen naar voren. ‘In de fysieke wereld is er een duidelijk onderscheid tussen particulier, dan wel zakelijk eigendom, en de openbare ruimte. Maar in de cyberwereld bestaat nauwelijks openbare ruimte. Het lijkt een openbare ruimte, omdat internet vrij is en iedereen overal naar toe kan. Maar elke website is van iemand; elke server waarop die draait, is van iemand. Er is geen openbare ruimte. Dat vraagt dus om meer samenwerking tussen overheid en niet-overheid. Volgend jaar willen wij daarom op nationaal niveau een detectie- en responsuitwisselingsplatform instellen; samen met de bedrijven. We moeten informatie uitwisselen binnen de ketens.’
Visser ziet dit binnen een bedrijf de keten al doorbroken. ‘Op strategisch, zeg: directieniveau, is er aandacht. Op tactisch niveau nauwelijks, maar op de werkvloer leeft beveiliging weer wel.’
Risico’s in kaart brengen
Van Campen vindt het een denkfout dat security op het bordje van de it-afdeling hoort te liggen. ‘Dit onderwerp hoort thuis bij de risicomanager. Organisaties moeten helder krijgen welke risico’s ze lopen. Als je dat weet, dan komt de it-afdeling wel met technische middelen om de risico’s af te dekken.’
De gespreksdeelnemers vinden het allen zorgelijk dat te veel organisaties niet weten welke risico’s ze lopen, niet weten wat ze allemaal in huis hebben, niet weten waar welke data hoe staan opgeslagen. Een eerste taak van organisaties is hun risico’s in beeld te brengen en data te classificeren. ‘Er zijn bedrijven die weten dat een buitenstaander in hun netwerk is binnengedrongen, heel goed in de gaten houden waar hij naar toe gaat en voorkomen dat hij bij de zogenoemde kroonjuwelen komt. Het is niet erg dat iemand inbreekt als je weet dat hij geen kwaad kan. Maar dan moet je dus wel de risico’s helder hebben’, aldus Dorèl.
Hoepman gooit wat olie op het vuur met de stelling dat mensen in zijn algemeenheid heel slecht zijn in het inschatten van risico’s.
Mobiele beveiliging
Waarbij die risico’s alleen maar toenemen, zo stelt Van Campen. ‘Want zodra LTE – de snelle draadloze communicatiestandaard – actief is, zullen er veel meer data via slimme telefoons en tablet gaan lopen. Dan pas gaat mobiele beveiliging echt een rol spelen.’
Dit aspect dient onderdeel te zijn van het bewustwordingsproces. Hoepman: ‘Beveiliging is belangrijk, maar dan moet je de mensen ook de middelen geven. Het is treurig te constateren dat fabrikanten vaak niet nadenken over de beveiliging van een nieuw product. En het is echt niet zo moeilijk. Apparatuur moet standaard zo veilig mogelijk staan ingesteld.’ De komende jaren zal volgens de deelnemers het thema verschuiven van secturity by default naar security by design.
Best practices
Om het bewustwordingsproces te versterken, zo doet Dorèl een voorzet, is het nuttig best practices onder de aandacht te brengen. ‘Laat zien hoe organisaties het hebben opgelost.’ ‘En laat ook zien dat best practices bedrijfsvoordelen opleveren’, vult Visser aan.
Hij beveelt overigens aan om personeel te laten ervaren hoe beveiliging in elkaar steekt. ‘Laat ze maar binnen komen in het bedrijf en merken hoe lastig of juist hoe makkelijk dat is. Laat ze maar een bestand proberen te krijgen op alle computers van het bedrijf. Dan merken ze wat security is.’
Van Campen doet de suggestie usb-sticks op het parkeerterrein te laten slingeren. ‘Dan weet je meteen wie de stick in zijn computer stopt. Vervolgens kun je een positieve boodschap meegeven om het bewustzijn te vergroten.’
Hoepman erkent dat de eindgebruiker natuurlijk zijn verantwoordelijkheid moet nemen. ‘Maar ik heb er wel moeite mee als bijvoorbeeld een bank alle verantwoordelijkheid bij de gebruiker neerlegt. Organisaties mogen zich niet vrijpleiten op die manier.’
Wees voorbereid op inbraak
Na de breedvoerige discussie komt een aantal aanbevelingen. Hoepman: ‘Als je zegt dat security bij it blijft, dan moet je er wel voor zorgen dat zij de vertaalslag kunnen maken van proces- en technische risico’s naar bedrijfsrisico’s. Want uiteindelijk gaat het daar om.’
Van Leeuwen brengt naar voren beveiliging niet te zien als een kostenpost, maar als een kans om processen te verbeteren. Visser stelt dat het belangrijk is security tussen de oren te krijgen van alle medewerkers binnen een organisatie.
Dorèl ziet het meest in security by default. ‘Je moet dit onderwerp in de genen van ontwerpen, fabrikanten en gebruikers krijgen.’
Een laatste tip van Van Campen: ‘Wees erop voorbereid dat de beveiliging kan falen. Zorg dat je dan een plan hebt hoe je dit gaat oplossen.’
Het is heel simpel in mijn optiek:
Veiligheid is verantwoordelijkheid nemen.
Wie zijn er uiteindelijk verantwoordelijk. De grote bazen of eigenaren.
De schuld ligt bij hen en zij moeten worden aangesproken.
Het is de verantwoordelijkheid van “de baas” om te zorgen dat degene onder hem verantwoordelijkheid neemt en er voor zorgt dat diegene daaronder ook weer verantwoordelijkheid neemt enzovoorts.
De uiteindelijke invulling is maar mijn visie bijzaak. Hoe je het doet doe je het zolang het maar goed gebeurt en anders je verantwoordelijkheid nemen en vertrekken.
Denkfout, ingegeven door de kern-activiteit van de schrijvers/opdrachtgevers van het artikel.
Beveiliging is een belangrijk onderdeel van een product (niet in alle gevallen, maar laten we dat even terzijde laten), en deze beveiliging moet in dienst staan van de bestaansreden van het product: de functionaliteit.
De functionaliteit moet het ontwerpsuitgangspunt zijn, met heel, heel veel non-functional requirements die de beveiligings-requirements omvatten.
Je hebt niets aan een product dat ontzettend veilig is, maar verder functioneel niets uitvoert.
En inderdaad, vragen aangaande de beveiliging van het ontwikkelde product moet een constante aanwezigheid hebben achterhoofd van zowel de ontwikkelaar als de gebruikers/opdrachtgevers EN de managers van deze mensen. Vooral het laatste wil nog wel eens een uitdaging zijn als er een bonus voor de neus van de managers wordt gehangen door /nog/ hoger management om het product toch vooral voor datum x te hebben ingevoerd. In dat geval worden heel wat projecten onder grote druk gezet om “het af” te krijgen en dan maar te snijden in tests en wat minder secuur aan het werk te gaan (“dat kan toch nooit meer dan een week duren!?”)…