Overheden willen inzage in zoveel mogelijk gegevens. Cloud-providers zullen daardoor gedwongen worden om backdoors in te bouwen. Ik denk dan ook niet dat de beveiliging de komende jaren zal toenemen en eerder zal afnemen. Om de 'kroonjuwelen' toch te beveiligen is een goede inventarisatie met een holistische aanpak nodig.
De toekomst voorspellen is altijd lastig. Van ontwikkelingen die zich al hebben ingezet, kun je natuurlijk nog wel bedenken wat daarmee gaat gebeuren. Zo zullen er steeds meer zelfrijdende auto’s komen. Dat is geen verrassing. Toch is het interessant om die trends te extrapoleren en eens goed na te denken over de implicaties. Hoe hou je een zelfrijdende auto aan? Wie krijgt de bekeuring bij een overtreding? Offert een zelfrijdende auto zichzelf en zijn passagiers op om overstekende voetgangers te redden?
In het it-landschap zien we ook allerlei ontwikkelingen. Een hele belangrijke ontwikkeling is de wens van overheden om inzage te hebben in zoveel mogelijk gegevens. Hoewel het is bewezen dat terroristen en criminelen voornamelijk worden opgepakt door ouderwets politiewerk en niet door het aftappen van digitale gegevens, grijpen politici steevast elke aanslag en elk incident aan om allerlei wetten door te drukken die ze mogelijkheden geven om alle gegevens overal op te vragen. Het woord ’terrorist’ is dan een soort carte blanche om maar te mogen doen wat ze willen, zonder enige controle, een ultieme vorm van fear, uncertainty and doubt (red. angst, onzekerheid en twijfel), die de it-beveiligingsindustrie wordt verweten.
Backdoors
Dit is ernstig. Als eerste zijn we steeds meer gaan outsourcen en in ‘de cloud’ gaan doen. Cloud-providers zullen gedwongen worden om backdoors in te bouwen voor overheden en inlichtingendiensten. Het probleem met backdoors (en met kwetsbaarheden in het algemeen) is dat, zodra iemand de ingang gevonden heeft, alle gegevens van iedereen wijd open liggen. En zoiets wordt zo lang mogelijk stilgehouden.
Als je de diensten intern afneemt, je geen service provider bent en je bedrijf is niet groot genoeg om alsnog interessant te zijn voor inlichtingendiensten, dan kun je waarschijnlijk je gegevens nog redelijk veilig zelf opslaan en verwerken.
De dreiging wordt daar echter ook steeds groter. Jaren terug waren we nog bezorgd over hackers die banken afpersten of een lek bij een journalist aankaartten. Dat zijn nog steeds zaken waar je tegen wilt beveiligen, maar (buitenlandse) concurrenten of staten die veel middelen kunnen inzetten om jouw bedrijfsnetwerk te kraken zijn er genoeg, zoveel is inmiddels al wel duidelijk. Vroeger zorgde je ervoor dat er een spion als medewerker werd aangesteld, tegenwoordig kun je je spionage (relatief) eenvoudig via internet uitvoeren.
Uitbesteden blijft
Zullen we in de komende jaren zo verstandig zijn om in een grotegolfbeweging weer af te stappen van clouddiensten? Dat verwacht ik niet. Beveiliging is namelijk erg lastig. En als je je gegevens zelf verwerkt en opslaat, moet je ze ook zelf beveiligen. Dan is het veel handiger om dat aan een cloud-provider uit te besteden. De nieuwe wet op de meldplicht van datalekken zal alleen maar versterken dat we meer in de cloud gaan doen. Als je gegevens die bij de cloud-provider opgeslagen zijn op straat komen te liggen, dan ga je zelf vrij-uit (mits je goede afspraken met de cloud-provider had over de beveiliging).
Holistische aanpak
De gegevens in de cloud zijn vaak waardevol, maar de gegevens die je als ‘kroonjuwelen’ zou aanmerken worden normaal gesproken toch ergens intern gehouden. Het risico is immers te groot dat er iets mee gebeurt. Maar hoe hou je die gegevens dan veilig? It-beveiliging is zo complex, dat het welhaast ondoenlijk is huidige it-omgevingen veilig genoeg te krijgen. In de praktijk worden er allerlei tests uitgevoerd en patches aangebracht, maar eens een stapje terug doen om te kijken welke data belangrijk is, of je die überhaupt wel nodig hebt, wie erbij kunnen en hoe deze beveiligd is, gebeurt niet zo vaak. Toch is die holistische aanpak de beste.
In plaats van een stap terug doen, grijpen mensen graag naar een kant-en-klare oplossing die wordt aangeboden. Na SIEM (security information & event management) is op dit moment ‘Threat Intelligence’ modewoord. Je koopt dan lijsten met ip-adressen of domeinnamen die in verband zijn gebracht met aanvallen, zodat je die kunt blokkeren. Helaas kan een aanvaller dit eenvoudig omzeilen. Je zult echt veel meer werk moeten steken in het tegenhouden van je concurrent die echt binnen wil komen. Zo blijven we aan symptoombestrijding doen.
Een holistische aanpak betekent dat je wat meer fundamenteel moet nadenken over je gegevens. Wat sla je op? Hoe minder je opslaat, hoe minder risico je loopt. Wat heb je opgeslagen, maar kun je weer weggooien? Zo’n vraag wordt maar zelden gesteld, het is makkelijker om grotere disks te kopen om meer op te slaan dan om de vraag te stellen. Toch wil ik pleiten voor zo’n holistische aanpak waarin je op meer fundamenteel niveau kijkt naar je gegevens. Misschien komt zelfs de vraag ‘wegen de kosten van het beveiligen van deze website nog wel op tegen de winst?’ dan uit de taboesfeer.
Bring your own device
Het zijn echter niet alleen de websites, zoals gezegd zijn veel gegevens te vinden op het interne netwerk. Meer en meer bedrijven gaan over op byod (bring your own device), niet alleen om af en toe thuis mail te lezen, maar om dag in, dag uit mee te werken. De beveiliging is dan grotendeels in de handen van de medewerker. Toegegeven, er zijn technische hulpmiddelen om byod veiliger te maken, maar uiteindelijk kan een eindgebruiker die de controle over zijn of haar eigen device heeft, daar alles mee. En dat geldt dus ook voor malware die op dat device draait.
Conclusie
Kortom, mijn verwachting is dat de beveiliging de komende jaren niet zal toenemen en eerder afnemen. Het belangrijkste om te doen is om te starten met een goede inventarisatie van de gegevens, de waarde ervan en de risico’s die ermee samenhangen. Gebruik daarbij een holistische blik, schuw geen fundamentele vragen over het opslaan van gegevens en houdt rekening met geavanceerde aanvallers.
De titel maakte mij erg benieuwd naar wat die holistische blik is en vooral tot welke aanpak dat leidt. Eerlijk gezegd kan ik het antwoord in deze tekst niet vinden:
– waaruit bestaat “wat meer fundamenteel nadenken over gegevens”?
– bestaat dat uit het beantwoorden van de vragen “wat sla je op?” en “wat kun je weggooien?”
Ik denk ook dat een holistische blik op informatie hard nodig is. Holistisch in de context dat zo veel mogelijk aspecten en ontwikkelingen worden meegewogen.
Dat service providers worden gedwongen om anderen toegang te geven tot de data die voor klanten bij hen is opgeslagen is al lang geen geheim meer. Dat hardware en software leveranciers zich laten verleiden tot het inbouwen van achterdeuren evenmin. De vraag betreft dus niet alleen cloud opslag maar ook lokale opslag. Zodra een computer met internet is verbonden mag je er eigenlijk van uit gaan dat je gegevens voor anderen beschikbaar zijn. En ik denk zelfs dat encryptie daarbij slechts een kleine drempel is gezien het feit dat ook die keys doorgaans op computers worden opgeslagen en de encryptie algoritmen meer en meer onder controle staan van diezelfde ‘anderen’.
Ik gebruik bewust de term ‘anderen’ omdat ik nog wel enig vertrouwen heb in overheden. Die zijn eigenlijk gewoon te traag om een serieuze bedreiging te vormen. Daarbij hinderen ze zichzelf omdat het gebruik van de gegevens zou leiden tot publicatie van het ‘aftappen’ en dat moet vermeden worden.
Enige angst heb ik voor het feit dat potentiële klokkenluiders op voorhand monddood gemaakt zullen gaan worden.
Mijn diepere angst ligt echter in het feit dat al die gekoppelde systemen, waaronder auto’s, drones en andersoortige robots een gezamenlijk bewustzijn krijgen. Die/dat hebben/heeft dan alle gegevens uit het enorme mobiele netwerk, IoT devices, overheids en sociale media databases etc beschikbaar. Plus de gezamenlijke rekencapaciteit om snelle besluiten te nemen. Én ook nog eens de ’tools’ om in te grijpen.
Wellicht dient de term ‘monddood’ dan een nieuwe definitie te krijgen.
En het is niet de vraag óf maar wannéér dat ‘bewustzijn’ bestaat. De inlichtingendiensten, Doubleclics, Facebooks en Googles van deze tijd doen hun uiterste best steeds slimmere analyse algoritmen te bedenken om personen te classificeren. Het moment dat dat gebruikt gaat worden om autonoom in te grijpen kan niet ver meer zijn.
We leven in interessante tijden.
Interessant stuk over de benadering van data en gegevensbeveiliging. Terecht dat er aangestuurd wordt op een holistische benadering: maar wat betekent dat als je spreekt over kroonjuwelen? Welke gegevens classificeren we als “kroonjuweel”? Zo’n 10 jaar geleden gaf Rob Creemers in zijn presentaties de uitspraak “privacy bestaat niet meer over 20 tot 25 jaar”.
En dat is misschien een startpunt om te beginnen met denken over beveiliging van gegevens. Welke gegevens wil je wel beschermen en wie bepaalt dat en waar ligt die verantwoordelijkheid? Veel individuen geven graag (soms onbewust) gegevens, om daar op andere terreinen (tijdelijk) beter van te worden (webwinkels, social media, klantkaarten, informatie-aanvragen, etc). In een andere context of met behulp van algoritmische analyses met andere doeleinden (gekoppeld aan andere gegevens), geven die gegevens andere mogelijkheden en een totaal andere waarde aan data. Die dan weer interessant is om leveranciers uit te dagen of te verplichten om backdoors in te richten, zoals Walter aangeeft in zijn artikel.
Is dat dan te voorkomen? Vaak zijn we ons niet bewust van de mogelijkheden en ontwikkelingen op dat gebied. En belanden we in een soort schizofrene modus: wel de voordelen willen ontvangen en (privacy-gevoelige) gegevens verstrekken of verwerken, echter tegelijkertijd ook het recht om vergeten te kunnen worden (als het andere situaties betreft).
Daarnaast verwachten mensen dat bijvoorbeeld publieke organisaties al veel weten of vastgelegd hebben. Denk aan concepten als “niet vragen naar de bekende weg” en “administratieve lastenverlichting” zoals die binnen de overheid de afgelopen jaren ingezet zijn. En dat roept weer interessante vragen op over wie eigenaar is van gegevens en met welk doeleinde die ingezet mogen worden en op welk moment. Dient er een beschermende rol te blijven? En wie gaat die invullen? Is het in de hoeveelheid informatiesystemen die beschikbaar zijn, nog mogelijk om echt een waarde toe te kennen aan bijvoorbeeld een datalek? En dan wordt het ook interessant om met een wat grotere afstand naar beveiliging te kijken. Is de definitie van “kroonjuwelen” en daarmee de beveiliging ervan, niet altijd context- en tijdafhankelijk? En inderdaad, we leven in interessante tijden: zit er nog iemand aan het stuur?
Onlangs werd in een reactie verwezen naar een eerder verschenen opiniestuk, dat opende met een wel zeer fraaie omschrijving: “Een architect ontwerpt een ruimte waarin het aangenaam is om te leven…”.
Deze fraaie openingszin is te vinden in:
https://www.computable.nl/artikel/opinie/overheid/2998823/1509029/architecten-terug-naar-de-blokkendoos.html
Uit deze zin: “Een architect ontwerpt een ruimte..” is precies de blik te destilleren die nodig is als aanvulling op een holistische blik, namelijk: een architecturaal-ruimtelijke blik.
Dat deze blik architecturaal-ruimtelijk moet zijn blijkt alleen al uit begrippen als applicatielandschap en functionaliteitengebouw, en de vraag hoe deze te ontsluiten door middel van selfservice.
Opvallend overigens dat in voorgaande reacties wordt gesproken van “interessante tijden”;
ik ervaar de huidige tijd toch vooral als zeer zorgwekkend. Moet maar eens wat minder vaak naar het 8-uur journaal kijken 🙂