‘Information wants to be free.’ Waarmee wordt beweerd dat informatiesystemen zo lek zijn als een mandje. Doordat de kosten van het beveiligen van bestaande systemen exploderen klinkt de roep om inherente veiligheid ofwel ‘security by design’ steeds sterker. Hoewel de nood steeds hoger wordt leert de geschiedenis dat zoiets er niet in zit.
In den beginne waren er geautomatiseerde systemen met gegevensbestanden. Ook toen al waren data vaak waardevol. Data zouden de ‘vijfde productiefactor’ zijn. Maar over beveiliging las je weinig want de mensen die bij de data konden waren insiders in afgesloten mainframe-omgevingen. Maar toen kwam het internet, de baudrate-explosie, het computervirus en verplaatsten wij ons leven naar cyberspace. Beveiliging was daarbij sluitpost. En nu probeert iedereen om de beveiligingsgeest weer in de fles te krijgen. Het nieuwe regeerakkoord telt maar liefst zesmaal het woord ‘cybersecurity’. Daarmee is zeker dat cybersecurity héél veel (belasting)geld gaat kosten.
Sluitpost
Dat er voorlopig niets gaat veranderen zien we al bij de ontluikende internet of things (IoT)-ontwikkelingen. De beveiliging van IoT-devices blijkt ook nu een sluitpost. Kennelijk zijn de makers hiervan niet bang voor weglopende of claimende klanten en toezichthouders en dat spreekt boekdelen. Toch klinkt steeds sterker de roep om beveiliging integraal onderdeel uit te laten maken van nieuwe informatiesystemen. Dus geen ‘end of pipe security’ zoals bij bestaande legacy en nieuwe IoT-producten maar systemen waarbij beveiliging het uitgangspunt is. De schone taak om dat te bewerkstelligen leggen we vervolgens neer bij dezelfde specialisten die nu de securityfeatures aan bestaande systemen plakken. En die lieden hebben helaas weinig verstand van data en databases.
Laten we eens heel fundamenteel kijken naar data. Een organisatie die gevoelige data registreert zou dat op eigenlijk één plek moeten doen. Natuurlijk is dat een open deur. Wie dezelfde gegevens in tien systemen plekken opslaat heeft tien potentiële lekplekken in plaats van één. Eenmalige gegevensopslag is echter een ideaal dat al lang geleden is opgegeven. Alle redenen om gegevens enkelvoudig te registreren – kosten, integriteit en veiligheid – blijken niet op te wegen tegen de ondertussen ingesleten praktijk van ‘kopietjes trekken en synchroniseren’. Het zou een wonder zijn als het toegenomen belang van databeveiliging daarin verandering brengt.
Het grote datakopiëren begon in de jaren ’90 met het data-warehouse-concept. Voor die tijd werden losstaande databases met deels overlappende, redundante, inhoud gezien als iets waar we vanaf moesten. Het ideaal was één alomvattende database – wel voor één organisatie natuurlijk – waar alle bedrijfsprocessen hun informatie uit haalden. Toen dat om allerlei, vooral niet-technische, redenen onhaalbaar bleek sloeg de sfeer om. Management-informatiebehoeften waren bijvoorbeeld opeens héél anders dan productionele en dus was het goed om een aparte data-warehouse-omgeving te hebben. Daarna kwamen database-goeroes vertellen dat die databases heel anders gestructureerd moesten worden (data-sterren). Sommige organisaties zijn zo ongeveer weer terug bij af: voor elke behoefte hebben ze een lokaal databaseje, een ‘data mart’. Dergelijke organisaties besteden doorgaans een fortuin aan het rondpompen van data tussen systemen; data die desondanks meestal verouderd zo niet corrupt zijn.
Slechte beveiligingspraktijken
Natuurlijk hebben de Ronald Prinsen en de Brenno de Winters van deze wereld gelijk als ze wijzen op de slechte beveiligingspraktijken en -mores van organisaties. Maar waar de deskundologen nooit op wijzen, wat altijd een vast gegeven is, is de eindeloze en voortgaande proliferatie van datakopieën binnen en tussen organisaties. Een voorbeeld. Uw en mijn persoonsgegevens uit de Basisregistratie Personen (BRP; nieuwe naam voor de GBA) worden door honderden organisaties opgehaald en lokaal opgeslagen. Binnen die organisaties gebeurt weer hetzelfde. U heeft het wettelijke recht om aan uw gemeente een overzicht te vragen aan wie uw gegevens zijn uitgeleverd, maar zo’n verzoek is dus nagenoeg zinloos. En er hoeft maar één van die systemen niet goed te zijn beveiligd of uw gegevens liggen op straat. En, o ja, vele gevoelige toepassingen beschikken niet over enige vorm van logging.
En het houdt niet op bij meervoudige gegevensopslag in systemen. Op allerlei plekken worden gevoelige gegevens voor nadere analyse en bewerking in excelletjes gestopt en rondgemaild, soms met een wachtwoord erop. Het is nog erger. Bij een overheidsclub die ik ken mag vrijwel iedereen met een e-mailadres vrijelijk de cliëntenbestanden downloaden, uiteraard met het BSN erbij. Diezelfde organisatie is erg gecharmeerd van een supersnelle analysetool waarbij complete databases in memory worden geplaatst, doorgaans nadat de data eerst op de notebook van de analist zijn geplaatst.
Afijn, zo kan ik doorgaan. Maar mijn punt is denk ik duidelijk: ‘security by design’ is niet alleen een kwestie van firewalls, software upgrades en password-discipline, enzovoorts maar begint en eindigt bij data-organisatie. Het is de hoogste tijd om deze niet meer over het hoofd te zien. Gevoelige data behoren geen kopieën te hebben. Wat data betreft is dat de basis van ‘security by design’.
(Deze bijdrage is afkomstig uit Computable Magazine, editie 02/2018.)