Wie zelf werkzaam is in de ict, heeft geen gevoel voor beveiliging, stelt directeur Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT. Binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter, constateert hij. ‘Juist ict’ers hebben een blinde vlek voor beveiliging.’
Directeur Ronald Prins van Fox-IT licht zijn visie op ict-beveiliging toe tijdens de eerste dag (27 november 2013) van het landelijk Architectuur Congres. Juist ict-architecten spelen een belangrijke rol bij het beveiligen van de systemen die zij ontwerpen. De manier waarop de beveiliging van systemen wordt ingericht kan een stuk beter, betoogt Prins.
Bij incidenten blijkt telkens weer dat bij de beveiliging vooral is gericht op het optrekken van een zo hoog mogelijke muur. ‘Vreemd’, vindt Prins. ‘Als een wolf de schapen van een boer opvreet, dan grijpt hij zijn geweer, trekt erop uit en schiet hij de wolf dood. Hij zet geen hoger hek rond de wei.’ In plaats van investeren in spullen, adviseert Prins te investeren in mensen. ‘De beste beveiliging is het aanstellen van een medewerker wiens taak het is elke dag de activiteit op het netwerk te monitoren en bij incidenten actief in te grijpen.’
Na een incident wil een directie meestal de ict-systemen van het bedrijf potdicht maken. ‘Dat is een illusie. Zo simpel is het niet. Maar dat is wel het beeld dat hard- en softwareleveranciers oproepen. Alsof het om iets simpels als een vliegtuig gaat. Veel bedrijven kunnen niet eens een tekening laten zien van hun ict-systemen. Zo’n systeem is namelijk dynamisch, er verandert dagelijks van alles. Dus moet ook de beveiliging dynamisch zijn.’
Security center
Grote bedrijven die de afgelopen tijd te maken hebben gehad met aanvallen van hackers, beginnen nu te kiezen voor de dynamische beveiliging die Prins voorstaat. ‘Kijk naar KPN. De trend is naar security centers waar een man of vijftien permanent op grote schermen de activiteit op het netwerk in het oog houden en klaar staan om direct in te grijpen bij incidenten.’
Zo’n security center moet wel de middelen hebben om in te grijpen, stelt Prins. Dat betekent dat de architectuur zo moet zijn ingericht dat het netwerk meerdere lagen kent, delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. ‘Niet één voordeur, maar meerdere voordeuren achter elkaar, die zijn voorzien van een bewegingsmelder.’
Extra werk
Het valt hem tegen hoe weinig ict’ers leren van incidenten. ‘Wij zitten niet om extra werk te springen, maar zouden best adviezen kunnen geven aan ict-architecten hoe zij systemen het best kunnen inrichten. Maar daarover worden wij nauwelijks benaderd.’
NAF-architectuurprijs 2013
Tijdens het Landelijk Architectuur Congres op 27 en 28 november 2013 wordt de jaarlijkse NAF-architectuurprijs uitgereikt. De prijs wordt toegekend aan een individu, groep of organisatie die een bijzondere vakmatige prestatie heeft geleverd op architectuurgebied. Stuur nu jouw architectuur in ter beoordeling! Projecten kunnen worden ingezonden tot 14 oktober 2013.
uit het artikel: Wij zitten niet om extra werk te springen, ……….. worden wij nauwelijks benaderd.
op zich mee eens dat er meer zou moeten gebeuren, maar in het artikel wordt geen concrete aanleiding gegeven, waardoor de laatste drie zinnen wel een erg hoog WC eend gehalte heeft gekregen. Jammer dat zou FOX-IT beter kunnen doen, …..
“In plaats van investeren in spullen, adviseert Prins te investeren in mensen”. Dit vind ik, mits correct uitgevoerd, een goed punt. Ik vraag me alleen af of hij bij de architecten het juiste publiek voor zich heeft. Ik denk dat hij dit beter voorlegt aan de beslissers over ICT.
Blijf ik nog zitten met de vraag wie er dan volgens de heer Prins WEL oog voor beveiliging heeft, buiten Fox-it?
Wiens brood men eet, wiens woord men spreekt. De business wordt niet voldoende afgerekend op beveiligingsproblemen en lijdt niet genoeg pijn. En dat sijpelt door naar de ict-architectuur waar men feilloos doorheeft wat de opdrachtgever wil. Beveiliging is lastig, duur, en wordt niet gevraagd.
Nederland kan nog wel een paar Diginotars gebruiken.
Absoluut eens, security awareness is nog steeds een grote issue onder ICT gebruikers maar tevens onder ICT´ers zelf. Ronald Prins geeft aan dat het potdicht maken van ICT systemen een illusie is en ik ben het hier volledig mee eens. In de wereld van vandaag is juist openheid van systemen van belang, aangezien informatie voorziening en beheer plaats- en tijd onafhankelijk moet kunnen geschieden. Daarom is het van belang dat awareness wordt ontwikkeld en men nadenkt over de te gebruiken policies en gedragsregels.
Daarnaast ben ik van mening dat we binnen ICT security teveel leunen op de mens en zijn gedrag. Inmiddels heeft voortschrijdend inzicht en technologische ontwikkeling ervoor gezorgd dat veel security risico´s te mitigeren zijn, eenvoudig door policies automatisch af te dwingen via ICT systemen. Dit verminderd niet de noodzaak van awareness maar dient wel als belangrijke aanvulling op het verbeteren van IT beveiliging.
Ronald heeft gelijk, uit de hele set van maatregelen op de vlakken preventie, detectie, repressie, correctie wordt binnen IT vaak vooral gekozen uit de preventiehoek, en als het dan toch verkeerd gaat, gaan we de boel dweilen (correctie). Dit vooral maakt dat je niet kunt meten of er iets aan de hand is – en dus ook niet kunt regelen dat er gewerkt wordt aan vroegtijdige blokkades of beperkende maatregelen. En verantwoording afleggen aan het management is dan ook moeilijk.
Zelf denk ik dat het leerpunt niet zit bij de incidenten, maar dat IT-ers zich zouden moeten inspannen om te begrijpen wat het bedrijf met de IT doet. Dat bepaalt veel meer welk hek rond de wei staat, wie bevoegd is met het geweer te jagen op indringers en waar de deuren met bewegingsmelders horen te komen.
Ik ben het volledig eens met de in het artikel geponeerde stelling dat technologie niet zalig makend is. Het geautomatiseerd afdwingen van policies is echt niet voldoende. Daarvoor zijn mensen veel te vindingrijk.
Ik ben het ook eens met de stelling dat IT-infrastructuren beter ontworpen moeten worden. Het loopt m.i. fout op de stelling dat een Informatie Architect een ict-er is. Ict-ers zijn toch wat meer gericht op hun eigen (technische) gebied dan je van een architect zou mogen verwachten.
Naar mijn mening moet een architect een veel bredere kijk op zaken hebben en ook ervaring met ‘de business’ hebben. DÃ t is nou net de schakel die er voor kan zorgen dat er meer awareness bij de ict-ers zelf op gang komt.
Een belangrijk onderdeel bij moderne beveiliging zou m.i. moeten komen uit het business process management in combinatie met infrastructuur beheer. Dit is een typische combinatie voor een architect en biedt de flexibiliteit die een organisatie nodig heeft. Niet alleen om infrastructuren om te kunnen schakelen, maar ook om de organisatie hier mee om te laten gaan.
Beveiliging en toetsing hierop moet al een belangrijke rol spelen bij ontwerp van de architectuur. Hier kun je al mogelijke risico’s en maatregelen (oa policies)in kaart brengen om deze verder in het ontwikkelproces te mitigeren/toe te passen. Dit vergt een samenwerking over alle bedrijfsonderdelen heen en moet goed gemanaged worden. Coomitment hiervan op C-level is hierbij noodzakelijk.
Meneer Prins snapt toch wel dat wolven schaars zijn en niet doodgeschoten maar doodgereden worden en boeren dus meer last hebben van vossen. Nu valt niet te ontkennen dat er veel te verbeteren valt maar dat kan hij beter tegen de boekhouder zeggen dan de gemiddelde ICT-er. Dus al brengt meneer Prins 20 voordeuren aan, zolang de achterdeur niet op slot zit lost het niets op.
Ik ben het niet eens met de stelling dat ICTers een lager besef van beveiliging hebben. Er wordt een vergelijk gemaakt met fysieke beveiliging en dat het daar veel bewuster en beter wordt opgepakt. Dat is niet helemaal een eerlijke vergelijking. Fysieke beveiliging is namelijk al honderden jaren een issue en zit daarom veel meer in onze genen. In dit artikel wordt onbewust wel de vinger op de zere plek gelegd. Beveiliging van ICT moet namelijk ook niet het issue zijn maar beveiliging van bedrijfsprocessen en bijbehorende assets. ICT beveiliging is daar slechts een onderdeel van. Het bewustzijn voor beveiliging moet dan ook niet zozeer bij de ICTers aanwezig zijn maar bij de business! Een overkoepelende visie en beleid is richtinggevend aan de maatregelen die de ICTers moeten inpassen en controlleren. Ik ben het wel hartgrondig eens dat bedrijven veel meer security monitoring moeten overlaten aan de specialisten. Om dit goed toe te kunnen passen is namelijk tooling, kennis en ervaring nodig die voor de bedrijven onder de absolute top in Nederland niet realiseerbaar zijn. Dan is de investering in een externe managed dienst achteraf voordeliger en effectiever. Bovendien gaan we dan meer naar proactief security management.
Kunnen omgaan met dichotomie.
Over het punt dat Prins maakt, dat het niet mogelijk is security potdicht te maken, is geen discussie. Je moet dat ook niet willen. Ook de vergelijking is heel sterk; als er direct resultaat (of zoals in de vergelijking gevaar) is, dan pas handelen mensen. Deze kortzichtigheid heeft tot gevolg laksheid op zaken waarvan het resultaat niet direct zichtbaar is. Maar ik zou dat graag breder willen trekken. Uiteraard moet de basis goed gelegd zijn en gecombineerd met time based security is het mogelijk een veel dynamischer en effectiever security beleid te realiseren. Dan hebben we te maken met bottom up security en dat is wel de trend die langzamerhand zien ontwikkelen. Maar daar is (veel meer) kennisdeling voor nodig. Daar is mentaliteitsverandering voor nodig en dat is een cruciale aanvulling op het punt wat Prins maakt. Mensen moeten niet alleen de kennis hebben binnen hun vakgebied, maar vooral ook om kunnen gaan met deze dualiteit zodat ze voorbereid zijn en kunnen handelen op het moment dat dit nodig is. Dit houdt in dat al in een heel vroeg stadium deze ontwikkeling begeleid en gestimuleerd moet worden om mensen die competenties te laten ontwikkelen om dit te kunnen. Dat moet al gebeuren op de lagere school. Kinderen leren gebruik te maken van de digitale wereld en om te gaan met cybercriminaliteit. Dan ontwikkel je – op den duur – experts die leren in the face of ambiguity de vraagstukken op te lossen in plaats van alles dicht te timmeren. Om kennis en informatie te kunnen blijven delen, moeten we dus beginnen om onze eigen kennis en informatie te delen. Hiervoor is een cultuuromslag in onze samenleving nodig. Het is de reden dat ik een advies heb ingediend (als lid van de expertgroep van Ministerie van Onderwijs) bij Sander Dekker om het onderwijs zodanig aan te passen dat het oplossings- en innovatieve vermogen ontwikkeld kan worden. Het is de reden waarom wij investeren in (gratis) gastlessen op scholen (basis t/m WO) en talent ontwikkeling. Om de kern van het probleem op te lossen. Omdat er niet alleen op korte termijn resultaten afgerekend wordt, maar om lange termijn tot oplossingen te komen. En inderdaad, om niet alles dicht te laten timmeren, maar om kennis en informatie te brengen en ontwikkeling te stimuleren zodat men om kan gaan met de dichotomie van de mogelijkheden die de digitale wereld met zich mee brengt.
Sander Dekker kan hier verandering in aan brengen, Prins kan hier verandering in aan brengen en zo zijn er nog veel meer. Maar dat vraagt concrete stappen, gezamenlijk. Als je echt die verandering wilt realiseren.