Wie zelf werkzaam is in de ict, heeft geen gevoel voor beveiliging, stelt directeur Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT. Binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter, constateert hij. ‘Juist ict’ers hebben een blinde vlek voor beveiliging.’
Directeur Ronald Prins van Fox-IT licht zijn visie op ict-beveiliging toe tijdens de eerste dag (27 november 2013) van het landelijk Architectuur Congres. Juist ict-architecten spelen een belangrijke rol bij het beveiligen van de systemen die zij ontwerpen. De manier waarop de beveiliging van systemen wordt ingericht kan een stuk beter, betoogt Prins.
Bij incidenten blijkt telkens weer dat bij de beveiliging vooral is gericht op het optrekken van een zo hoog mogelijke muur. ‘Vreemd’, vindt Prins. ‘Als een wolf de schapen van een boer opvreet, dan grijpt hij zijn geweer, trekt erop uit en schiet hij de wolf dood. Hij zet geen hoger hek rond de wei.’ In plaats van investeren in spullen, adviseert Prins te investeren in mensen. ‘De beste beveiliging is het aanstellen van een medewerker wiens taak het is elke dag de activiteit op het netwerk te monitoren en bij incidenten actief in te grijpen.’
Na een incident wil een directie meestal de ict-systemen van het bedrijf potdicht maken. ‘Dat is een illusie. Zo simpel is het niet. Maar dat is wel het beeld dat hard- en softwareleveranciers oproepen. Alsof het om iets simpels als een vliegtuig gaat. Veel bedrijven kunnen niet eens een tekening laten zien van hun ict-systemen. Zo’n systeem is namelijk dynamisch, er verandert dagelijks van alles. Dus moet ook de beveiliging dynamisch zijn.’
Security center
Grote bedrijven die de afgelopen tijd te maken hebben gehad met aanvallen van hackers, beginnen nu te kiezen voor de dynamische beveiliging die Prins voorstaat. ‘Kijk naar KPN. De trend is naar security centers waar een man of vijftien permanent op grote schermen de activiteit op het netwerk in het oog houden en klaar staan om direct in te grijpen bij incidenten.’
Zo’n security center moet wel de middelen hebben om in te grijpen, stelt Prins. Dat betekent dat de architectuur zo moet zijn ingericht dat het netwerk meerdere lagen kent, delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. ‘Niet één voordeur, maar meerdere voordeuren achter elkaar, die zijn voorzien van een bewegingsmelder.’
Extra werk
Het valt hem tegen hoe weinig ict’ers leren van incidenten. ‘Wij zitten niet om extra werk te springen, maar zouden best adviezen kunnen geven aan ict-architecten hoe zij systemen het best kunnen inrichten. Maar daarover worden wij nauwelijks benaderd.’
NAF-architectuurprijs 2013
Tijdens het Landelijk Architectuur Congres op 27 en 28 november 2013 wordt de jaarlijkse NAF-architectuurprijs uitgereikt. De prijs wordt toegekend aan een individu, groep of organisatie die een bijzondere vakmatige prestatie heeft geleverd op architectuurgebied. Stuur nu jouw architectuur in ter beoordeling! Projecten kunnen worden ingezonden tot 14 oktober 2013.
Als ik die discussies lees denk ik wel eens dat we beter af zouden zijn als ICT helemaal niet was uitgevonden. Dat we gewoon weer met ouderwets handwerk onze productie draaiden, onze (be)rekeningen maakten en onze dagelijkse dingen deden. En alles ging via de post en de telefoon.
Maar ja, posttreinen werden ook al overvallen, telefoons werden ook al afgetapt en rekeningen werden ook al vervalst.
Dus die hele discussie heeft niet zo heel veel zin, want we houden het toch niet tegen. 100% beveiliging bestaat niet.
Bovendien, de tegengestelde vraag is: als het mogelijk zou zijn iets 100% te beveiligen, zou er dan niet ook misbruik van gemaakt worden? Vergelijk bijvoorbeeld met het bankgeheim in Zwitserland. Jarenlang waterdicht, maar vooral voor minder frisse zaken als belastingontduiking.
Nee, beveiliging heeft misschien nog wel meer met mores te maken. En dan vooral van hen die iets te beveiligen dan wel wat te verbergen hebben.
Mijn hoop voor de (verre?) toekomst is dat we juist steeds meer gaan delen. Wordt de wereld een stuk rustiger van. Kunnen we thuis de achterdeur ook weer gewoon open laten staan.
Dat mensen die zelf werkzaam zijn in de IT geen gevoel voor beveiliging hebben, vind ik onzin. Er zijn in elke sector mensen die verstand hebben van andere zaken en mensen die speciaal aangenomen zijn voor de beveiliging. Ook in de IT zijn mensen werkzaam die veel kennis van en ervaring met beveiliging hebben, maar dat geldt, uiteraard, niet voor iedere IT-er, zoals het ook niet geldt voor iedere bouwvakker of iedere HR-medewerker (om maar een paar willekeurige voorbeelden te noemen).
Of je beveiliging regelt door de deur goed op slot te doen, door een hek om je gebouw te zetten of door beveiligers in te huren, hangt ook af van wat je te beveiligen hebt: hoe hoger de waarde van wat beveiligd moet worden, hoe meer je eraan uit kunt en wilt geven.
Dynamische beveiliging is zeker mooi, maar je bent meer aan het bestrijden dan aan het voorkomen. De meeste organisaties hebben kwetsbare systemen en dan wil je inderdaad iemand in een wachttoren, maar liever nog wil je dat die systemen bestendiger zijn. Ronald’s advies is een goede, maar niet zonder maatregelen om veiliger systemen te maken en te onderhouden – anders is het dweilen met de kraan open. Als je die maatregelen neemt dan zul je zien dat ICT’ers vaak wel gevoel hebben voor beveiliging, maar dat ze niet goed worden aangestuurd. Beveiligingseisen ontbreken veelal, of ze zijn te vaag en ze worden maar beperkt gecontroleerd. Tja en dan ontstaat inderdaad die blinde vlek ten faveure van zaken die beter worden aangestuurd, zoals functionaliteit en time-to-market.
“In plaats van investeren in spullen, adviseert Prins te investeren in mensen.” Klinkt als een garantie om van de regen in de drup te raken. Zoals vrijwel altijd heb je op beide fronten kwaliteit nodig lijkt me.
Ergens word hier wel een aardig punt aangesneden maar dan wel, tenminste zo ervaar ik het, vanuit een ietwat ander perspectief. Er is een kern van ‘core’ IT-ers die van eigen veld vrijwel alles af weet. Maar diezelfde IT nerd is zo incommunicatief als de oude buizenradio, laat staan dat die zich bezig houd met….
Dan heb je een contingent professionals die aan IT ‘schurken’, zichzelf IT-er noemen, maar dat feitelijk niet zijn. Aardige generalisten soms maar…. ook zij bezitten geen keten kennis of werkelijke ervaring.
Dan heb je een hele hoop commerciële bedrijven en de cowboys die , om het even onder welke noemer, anderen van een bepaalde noodzaak willen overtuigen met als doel…. Sale Sale Sale.
Dan heb je een heel klein contingent mensen die wel degelijk oog heeft voor de gehele E2E ketens, intrinsiek natuurlijk niet altijd even diep ingevoerd in de onafhankelijke disciplines, maar wel weer bijzonder goed in het opstellen en auditten.
Dan hebben we nog het jong aanstormend talent. Daar word zeer veel van verwacht en gevraagd, tot op het ridicule af.
Kort om…. waar gaat dit artikel over? u zelf te verkopen? Gebruik dan niet KPN als voorbeeld ‘security wise’. Neem de gelegenheid te baat eerst te zorgen dat uw keten basis op orde is en u een duidelijke en implementeerbare processen heeft en ga er dan de boer mee op.
Anders blijft he inderdaad een verkopverhaaltje met een hoog WC eend gehalte, ook al heb ik het grootste Respect voor Prins van Fox. Want dan heb ik nog wel een paar hele eenvoudige vragen voor hem waarvan ik nu al weet dat hij daar ook niet meteen het antwoord op zal hebben.
Jammer een dergelijk verhaal zo tegen het weekend.
@Johannes
Mijn complimenten aan de redactie. Dit is toch het artikel met het hoogst aantal gemiddelde reacties per uur. En dat op een stukje tekst waar nagenoeg niets nieuws in staat.
Ik zie het meer als nog meer bewijs hoe het container begrip ‘ITC-er’ aan het verloederen is.
Ik meen op mijn opleiding nog bij programmeren uitgelegd hebben gekregen dat ‘strncpy’ voorkeur kreeg over ‘strcpy’ zodat buffer-overflows niet meer mogelijk waren.
De mensen die bij FOX-IT de IDPS apparatuur inrichten en beheren zijn ICT-ers, maar de mensen die spreadsheets maken over hun bevindingen ook.
Op eerste aanblik lijkt het een goed stuk. Na herlezing gaat het kriebelen en na nog eens lezen ….
Meestal vraag ik me af wat de reden is van een bevinding. Het lijkt logisch dat je iets meer aandacht voor fysieke beveiliging hebt als je op een boorplatform zit zo’n 60 mijl uit de kust. In een compound ergens in Uruzgan zal de aandacht voor beveiliging ook wel hoger zijn dan in Havelte. Het verschil tussen “involved” en “committed” zeg maar.
De vergelijking van de boer en de wolf is heel aardig maar de goede oplossing ontbreekt. Een hoger hek gaat niet helpen terwijl dat wel gesuggereerd wordt. Bovendien is dat investeren in spullen wat nou juist niet moest. De boer zou 2 dingen kunnen doen: bij het hek gaan posten en iedere wolf afknallen of hij kan investeren in personeel, in dit geval herdershonden, die de zaak deskundig in de gaten houden en zelfs preventief zullen werken. Maar, zoals ook anderen stellen, dat is een toegesneden oplossing die voor schapen werkt maar waarschijnlijk niet voor koeien of ander vee. De vorm van de beveiliging moet dus passend zijn voor het te beveiligen object en dat zal lastig zijn te doen met mensen die naar een scherm zitten te kijken. De “echte” kennis zal ontbreken en je komt dan al gauw op generiekere oplossingen dan je feitelijk zou willen. Bovendien is het toch weer een reactieve benadering van beveiliging. Je bent beter bezig door systemen intrinsiek veilig te maken. Ingrijpen blijft dan beperkt tot echte incidenten. In feite kunnen de mannen in het Security Center dan op dezelfde wijze hun werk doen als de mannen van de TV-commercial die de boef gadeslaan bij een inbraakpoging. Maar op die manier ontwerpen en ontwikkelen vereist een omslag in denken, voor iedereen en niet alleen voor ICT-ers.
De schrijver heeft voor een groot gedeelte wel gelijk. Security by design is nog steeds niet gemeengoed en zorgen dat het personeel goed bekend en wellicht zelfs geschoold wordt in veilig gedrag is nog veelal te schaars.
Maar zelfs als je dat wel goed hebt zitten in de organisatie is het nog knap lastig om gebruik te maken van producten waar géén achterdeurtjes voor de NSA in zitten.
Ronald Prins, de hooggewaardeerde schrijver, geeft hierbij een impuls aan de gedachte dat logische security en fysieke security meer zullen gaan samensmelten en van elkaar kunnen leren. In mijn gesprekken met Security Experts heb ik geleerd dat dit wel wordt (h)erkend maar dat dit nog niet de praktijk van alledag is. Ik zou dan ook graag een verzameling van best practices tegemoet zien waar beide security proposities hand in hand gaan. Het zou voor veel ondernemingen de efficiency verhogen en de kosten besparen.