Als een ondernemer zijn diensten of producten aan gemeentes en overheidsorganen wilt verkopen wordt hij/zij vaak flink door de mangel gehaald. Je mag je hele doopceel lichten en als klap op de vuurpijl voldoen aan een lange lijst met voorwaarden. It-certificatie is steeds vaker een van hen. Onzin of niet?
Ik deel de mening van sommige mensen dat een certificaat niet kan voorkomen dat je bedrijf wordt aangevallen. Sterker nog, het behalen van een certificaat betekent al helemaal niet dat je bedrijf ineens beter of veiliger wordt. In mijn ogen moet dat ook helemaal je insteek niet zijn. Ieder bedrijf moet gewoon zorgen dat ze hun zaakjes op orde hebben. De overheid gelooft nu eenmaal niet iedereen op zijn of haar mooie blauwe ogen. En daar ben ik het zeker mee eens.
De eigenlijke vraag en afweging is dus tweeledig. Weet je zelf zeker dat je je zaakjes op orde hebt en wil je dat ook aan anderen aantonen? Ik hoor nog regelmatig dat it geen eenduidig antwoord heeft op vraagstukken als informatiebeveiliging. De andere kant op kijken zorgt er niet voor dat het probleem weg gaat. En je moet wel heel zeker weten dat je altijd geluk zult hebben voordat je daar op kan vertrouwen. Een beetje preken voor eigen parochie, maar het halen van een certificaat zoals ISO/IEC 27001, lukt je alleen als je alles op orde hebt en dient gelijk als bewijs voor je (potentiële) klanten dat de organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang. Want ook al kan een DDoS-aanval niet voorkomen worden, beheersmaatregelen kunnen de gevolgen wel aanzienlijk beperken.
Om het belang van it-certificatie te onderstrepen en om zeker te weten dat jouw organisatie of klanten hun zaken op orde hebben sluit ik deze opinie af met een aantal praktijkvoorbeelden waarbij een goed informatiebeveiligingsbeleid een kritieke rol speelde.
Diginotar Hack
In juni 2011 lukte het een hacker in te breken bij commerciële certificaatautoriteit DigiNotar. Als gevolg van deze hack gaf DigiNotar op 10 juli 2011 een certificaat voor het Google-domein uit aan onbekende personen in Iran. Eind juli 2011 was DigiNotar al op de hoogte van de uitgifte van dit certificaat, maar het bedrijf maakte daar geen melding van. In een onderzoek naar het incident kwamen diverse fouten in de procedures en systemen van DigiNotar aan het licht. De uitkomsten van dit onderzoek leidden ertoe dat het aanvankelijke standpunt van de overheid dat de PKI-overheidscertificaten veilig waren, werd ingetrokken en dat de overheid op 2 september het vertrouwen in DigiNotar volledig opzegde.
De onderzoeksraad voor de veiligheid heeft hierna een adviesrapport opgesteld voor overheidsinstanties, waarbij gekeken is naar geldende standaarden. Het belangrijkste advies is dat de overheid zelf beter zou moeten voldoen aan de ISO 27001 norm door de implementatie van een Informatiebeveiliging management systeem.
KPN (1)
De DigiNotar-crisis zorgde ervoor dat organisaties alerter zijn geworden. Deze alertheid wordt getoond door een incident bij KPN in november 2011. KPN, een van de vier providers van PKI-overheidscertificaten, staakte uit voorzorg tijdelijk de uitgifte van veiligheidscertificaten. Tijdens een intern onderzoek ontdekte KPN een aantal logfiles waaruit bleek dat vier jaar eerder de webserver van KPN gecompromitteerd was. Het incident bleek voor KPN en zijn klanten geen directe gevolgen te hebben, omdat KPN in dit geval goede voorzorgsmaatregelen had getroffen.
KPN (2)
Nadat aanvallers zich toegang verschaften tot de systemen van KPN in november 2011, circuleerde in februari 2012 een claim dat bij de hack van KPN inloggegevens van e-mailboxen waren gelekt. Omdat er op internet ook daadwerkelijk gegevens van ruim vijfhonderd mensen met een KPN e-mailaccount waren gezet, leek deze claim echt. Dit leidde ertoe dat KPN 24 uur lang de inkomende e-mail van twee miljoen klanten blokkeerde. Meer dan duizend klanten hebben bij KPN melding gemaakt van geleden schade als gevolg van het buiten werking stellen van inkomende e-mail.
Lektober
In het kader van ‘Lektober‘ werden in oktober 2011 29 lekken bij bedrijfsleven en overheid openbaar gemaakt. Een van de gevallen betrof een lek in vijftig gemeentelijke websites, die gevolgen had voor het veilig gebruik kunnen maken van DigiD. De diverse sites bleken te draaien op een oude Windows-versie, die zo open stond dat het letterlijk mogelijk was om dos-commando’s via de webbrowser uit te voeren. Hierdoor was het niet alleen mogelijk om informatie op te halen, maar ook om bestanden aan te passen of te wissen. De actie heeft bijgedragen aan het bewustzijn dat dergelijke kwetsbaarheden vrij eenvoudig uitgebuit kunnen worden en grote consequenties kunnen hebben.
Het zou al helpen als er een algemeen geaccepteerde handreiking zou zijn dat je security en privacy by design verwacht. En daarop wil kunnen controleren. Daar verwijs je naar. Dan hoeft een leverancier ook niet aan een hele wildgroei aan voorwaarden te voldoen. Om meteen 2700x compliance te verwachten gaat nu nog te ver.
Jan,
Ik zal het nog sterker vertellen, informatiebeveiliging IS struisvogelpolitiek. Want hoeveel steken niet hun kop in het zand om de mol te vertellen dat het prachtig weer is door te roepen dat ze ‘in control zijn’ maar in werkelijkheid nog een Tenalady ICT architectuur hebben?
Dus meneer de auditor, ISO27001 geeft geen enkele zekerheid dat de getroffen maatregelen voldoende zijn om de risico’s in de hele stack af te dekken. Een certificaat zegt dus ook niets en het is zelfs mogelijk om ISO-gecertificeerde betonnen zwemvesten te maken, je zinkt als een baksteen maar voldoet wel aan de eisen. Want hoeveel organisaties hebben het configuratie annex patch management nu echt op orde?
ISO en ander certificaten is een noodzakelijke, maar zeker niet voldoende voorwaarde om zonder struisvogels te kunnen leven….
Het is meer een bewustwordingsmethode dan de oplossing van zaken. Er zijn stapels bedrijven die failliet gegaan zijn, terwijl ze toch een paar kilo certificaten/ISO normen hadden.
Een aanval van buiten af, laat staan de wapening daartegen heeft weinig met de interne certificering te maken helaas.
Security en compliance zijn 2 verschillende zaken. De security van je ICT platform moet je ook niet door “boekhouders” laten controleren.