Cybercrime is in opmars. Dagelijks zijn er berichten over gehackte databases, identiteitsdiefstal en andere overtredingen wereldwijd, zoals de recente DDoS aanvallen op grote telefoonaanbieders en retailbedrijven in Europa. Het veilig houden van cyberspace is onze gezamenlijke verantwoordelijkheid.
Dit komt door onze digitale levensstijl. Elke dag produceren wij met z’n allen 2,5 quintiljoen bytes aan data. Dat is een enorme hoeveelheid data en het is een teken van het continu groeiende aantal computers, sensoren en beeldschermen om ons heen. Deze tijd van technologie betekent een verbetering van de manier waarop mensen over de hele wereld leven, werken en spelen. Het probleem is dat niet alleen brave burgers van deze voordelen profiteren.
Een ding dat moet gebeuren is dat de publieke en privé-sectoren meer moeten doen om het groeiende aantal beveiligingslekken tegen te gaan. Bedrijven en personen moeten zich proactief opstellen bij het beveiligen van hun data en netwerken en overheidsinstanties moeten helpen bij het voorkomen van misdaad en het handhaven van effectieve wet- en regelgeving. Iedereen heeft hierbij een eigen rol, van individuele gebruikers tot it-fabrikanten, netwerkaanbieders, applicatieontwikkelaars, normalisatie-instituten en toezichthouders vanuit de overheid.
Het goede nieuws is dat veel van deze partijen ondertussen samenwerken aan technologisch onderzoek en technologische ontwikkelingen voor it-beveiliging die niet alleen innovatief zijn, maar ook praktisch. Zo heeft AMD bijvoorbeeld de krachten gebundeld met Honeywell, Intel, Lockheed Martin en RSA. Door samen te werken hebben ze de Cyber Security Research Alliance (CSRA) gevormd, een privaat, non-profit-onderzoeksbureau dat tegemoet komt aan de vraag naar publiek-private samenwerking voor het oplossen van problemen rondom cyberveiligheid. De CSRA werkt samen met experts in de branche en academici aan het opzetten van een onderzoeksagenda voor het beter beveiligen van een breed scala aan technologieën, zoals openbare voorzieningen, communicatienetwerken en andere gevoelige activiteiten die steeds vaker het doelwit vormen van cyberaanvallen.
Door experts en middelen uit het bedrijfsleven, de wetenschap en de overheid samen te brengen zorgen we met zijn allen voor een vermenigvuldigingseffect dat ervoor kan zorgen dat gebruikers en bedrijven cyberaanvallen een stap voor blijven.
Ik ben er dan ook van overtuigd dat een transparante en open ontwikkeling van beveiligingsstandaarden zorgt voor meer vertrouwen bij gebruikers. Ik denk dan ook dat dit de beste gezamenlijke mogelijkheid is om te zorgen voor een juiste functionaliteit en voor krachtige beveiligingsmogelijkheden, zonder dat hierbij reeds bekende kwetsbaarheden worden ingebouwd.
Ik denk dan ook dat we met zijn allen goed op weg zijn! Maar het blijft een feit dat snel groeiende risico’s in cyberspace niet kunnen worden aangepakt door één bedrijf of één overheidsinstantie. Deze taak is te groot voor één organisatie, bovendien is de beveiliging van data een gezamenlijke verantwoordelijkheid. We moeten daarom samenwerken om cyberspace veilig te houden. Het is onze verantwoordelijkheid!
Sex sels, Fear too…..
Ja, je hebt hier een punt, nee, je moet het niet opblazen. In 1995 heb schreef ik al white papers voor IT en Non IT management met als topics ‘Clean Desk Policies’, ‘Green Security book’, Simple User IT, little purple book.
Zorg dat je bureau altijd leeg is aan het eind van de dag. Zorg dat je PC gelockt is wanneer je je plek verlaat. Een groen boekje hoe je veilig met de apparatuur van de zaak om dient te gaan en het Puple Boekje? Een hulpvaardig boekje dat bij de werkplek werd geleverd met informatie over hoe wel en hoe niet met de IT werkplek om te gaan en bij wie voor ondersteuning aan te kloppen.
Later werden beide boekjes gestandaardiseerd en gedigitaliseerd en, voor mij heel gewoon, stierven de initiatieven een zachte dood nadat ik de betreffende organisatie verliet. Mensen zijn gewoontedieren die je continue moet blijven ‘prikken’ om een bepaalde mate van discipline op niveau te houden.
Is dat moeilijk? Ik verwijs hier graag naar een E2E procedured die we voor Shell in 1995/96 hebben ontwikkeld en geimplementeerd dat later is gekoppeld aan het veiligheidsbeleid. Het is namelijk heel eenvoudig gebleken elkaar gewoon op veiligheid aan te kunnen spreken. Bij de Shell gaat dat ver. Heb je de railing van de trap niet beet tijdens traplopen, word je daar op gewezen. Overkill? Misschien.
Het is wel zo dat men binnen de Shell van dit soort problemen helemaal niet zoveel last heeft. En men heeft nogal wat expads in allerlei landen waar de systemen een vergiet zijn.
Waar gaat het mis?
Het gaat mis op het moment dat de commercie suggereert dat ‘gebruikers’ het beleid van IT mogen te gaan bepalen. Lees hier dat we dus met zijn allen aan de byod gaan … neen, u moet mee, er is geen weg terug… anders blijft u achter…
Hoe het wel moet?
Met beleid is het precies hetzelfde als met het onderhouden van een eigen orgnisatie. Je wil dat zaken goed verlopen en problemen of verstoringen, zoveel mogelijk uitsluiten. Daar maak je beleid voor en…. beleid rol je in processen en procedures uit en……???
Dan hebben de mensen dat gewoon te volgen. Zo eenvoudig is dat en dat geld een beetje dubbel in IT. Ook dan zijn er ontwikkelingen mogelijk maar wel op een solide en doordachte manier. Geen hypes, geen commercieel gehijg, geen mensen die ent doen of zij verstand van zaken hebben en dan plots roepen dat zaken faliekant en duur mis gaan…..
Ab Klink (EPD), Eelco Block (Hacker KPN), Piet Hein Donner( Diginotar), Ivo Opstelten (C2000, 112, etc.), Vodaphone (Brand in Rotterdam, geen backup) de rij is lang en word gewoon langer en de prijskaartjes duurder en duurder.
Wetmatigheden
Me geen kennis van zaken, ik bedoel dit niet hautain, aanmatigend of arrogant, bedoel ik weten wat IT is, hoe het zich beweegt, en hoe je daar het best mee om kunt gaan. De consequenties van die wetmatigheden somde ik hiervoor even op maar die gelden voor ALLE processen in IT.
Degenen die zich daar niets van aantrekken, commercie en zij die er gewoon geen verstand van hebben maar doen en roepen dat ze dat wel hebben.
Data, controle en beveiligen
Laten we wel zijn. De eigenaar van data, dus ook IT afdelingen, immers, zij beheren de data voor…., die zijn de aangewezen professionals om zorg te dragen voor beveiliging van data. Hier koppel ik wel een hele grote MAAR aan. Dat is namelijk dat zij het beleid technisch bepalen en de processen hiervoor ook uitrollen.
Hierme bedoel ik dan niet een manager van een afdeling, hiermee bedoel ik niet een prince2 manager maar hiermee bedoel ik dat de boardroom en MT erkennen dat de IT te strategich is om data beveiliging gewoon aan derde, commerciele partijen, over te laten. Dat is hetzelfde als je sleutel van de woning aan de buurman op de hoek geven waar je verder geen enkele relatie mee hebt.
‘Let ff op mijn huis wil je? Wij zijn op vakantie, hier heb je de sleutel.’ Dat gaat vast wel goed komen. Zorgeloos op vakantie….
Toch?