Het Nationaal Cyber Security Centrum (NCSC) deelt een plan voor een ethische code voor de securitysector. Dat moet de kwaliteit borgen in de snelgroeiende sector voor ict-beveiliging. ‘We moeten professionaliseren als sector en toe naar een situatie waar cybersecurity echt een vak is met professionals waar je op kunt rekenen.’
Dat stelt senior onderzoeker van het NCSC, Jeroen van der Ham, in een artikel in het NCSC Magazine dat vandaag verschijnt. Bedrijven die een ict-beveiliger inhuren kunnen niet goed nagaan of dat bedrijf of die persoon de kwaliteit biedt die ze mogen verwachten, licht hij toe. Volgens de security-onderzoeker, die onder het ministerie van Veiligheid en Justitie valt, moeten we toe naar een systeem dat vergelijkbaar is met de registratie van zorgaanbieders of advocaten.
‘Zij beschikken over een certificaat of opleiding en er zijn duidelijke regels waaraan zij zich moeten houden. Als ze dat niet doen, kunnen ze er uitgezet worden, zoals bij de Orde van Advocaten. Ook voor producten zijn waarborgen of een keurmerk nodig.’ Hij benadrukt dat het om een langetermijnvisie gaat waarin een ethische code voor een volgende stap in de professionalisering van de sector kan zorgen.
Uitwisseling van informatie
Zo’n ethische code is volgens Van der Ham vooral belangrijk nu binnen de incident-response-gemeenschap met veel meer partijen wordt samengewerkt dan voorheen. Bij die bestrijding en het oplossen van incidenten wordt vaak intensief opgetrokken met andere partijen en gevoelige informatie gedeeld. Maar de kaders waarbinnen dat gebeurt, zijn vaak niet helemaal helder.
‘In de ethische code moeten aanknopingspunten staan voor gedrag. Welke waarden spelen mee bij het bepalen van acties: Wat kan je verwachten van cybersecurityspecialisten? Maar ook: wat doen ze niet? We staan nog aan het begin’, verwijst Van der Ham naar de opzet die gepubliceerd is op de site Ethicsfirst.org. ‘Het is een handreiking en geen voorschrijven.’
Volgens Van der Ham nemen aanbieders van securitydiensten, verenigd onder Cyberveilignederland.nl, al het voortouw door een keurmerk in te stellen. Tegelijkertijd ziet hij Europees ontwikkelingen op certificeringsgebied. ‘Er komen waarschijnlijk certificeringen aan voor iot-producten. Diezelfde structuur is in de toekomst te gebruiken voor certificering van bedrijven of personen. Dat moet allemaal nog wel ontwikkeld worden.’
Vakgebied verbreed
Naast de groei van de sector, ziet Van der Ham ook de verbreding van het vakgebied als een belangrijke reden voor een ethische code. Toen hij zes jaar geleden bij het NCSC begon, was het werk met name gericht op techniek. ‘Begrijpen wat er technisch misgaat, hoe je dat kunt verbeteren en hoe je dat technisch op kunt lossen.’
Tegenwoordig merkt hij dat cybersecurity ‘heel veel breder’ is. ‘Het zit eigenlijk verweven in de hele organisatie, of zou dat moeten zijn. Het raakt dan ook aan risicomanagement, middelenmanagement, crisismanagement, beleidsvorming, aankoopbeleid en allerlei andere vakgebieden.’
Pentest Hof van Twente
Van der Ham, die naast zijn werk bij NCSC als professor verbonden is aan de Universiteit Twente, noemt desgevraagd een praktijkvoorbeeld van waar het in de praktijk mis kan gaan. Bijvoorbeeld als het voor een klant onduidelijk is wat hij van een security-partij kan verwachten. ‘Bij het Hof van Twente is er achteraf onderzoek gedaan naar het lek en hoe het had kunnen gebeuren. Het bleek dat er wel degelijk een pentest was uitgevoerd, maar dat die net een klein deel niet mee had genomen. Waarom is niet helemaal duidelijk, ook omdat er geen vaste structuur gebruikt werd binnen dat pentestbedrijf.’
Hij vervolgt: ‘Als opdrachtgever is het op dit moment moeilijk om de kwaliteit van een pentestbedrijf of van het resultaat in te schatten. En dat kunnen we ook niet van opdrachtgevers verwachten, want het is gewoon een complex vakgebied. Maar de impact van een lage kwaliteit kan dus wel groot zijn.’
Certificeringen
Twee certificeringen, die vaak worden gebruikt in de ict-beveiligingssector, zijn:
– ISO 27001. Die norm wordt vooral door securitybedrijven gebruikt en omschrijft een proces om te komen tot passende technische en organisatorische beveiligingsmaatregelen. Critici benadrukken dat alleen het informatiebeveiligingsproces wordt gecertificeerd en niet de beveiligingsmaatregelen die daaruit voortvloeien.
‘Een auditor neemt weliswaar enkele steekproeven, maar kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of de aanwezige maatregelen het totale informatiebeveiligingsrisico voldoende afdekken’, aldus zelfstandig security-professional Dennis Baaten in een opiniestuk dat eerder op Computable.nl verscheen.
– Certified Information Systems Security Professional (CISSP)-certificaat. Dit is een veelgenoemde certificering voor personen die actief zijn in de ict-beveiliging. De kritiek op die certificering is dat het om een meerdaagse cursus gaat waarbij de geldigheid van het certificaat afhankelijk is van een afgesproken termijn.
Wie doorbetaalt, kan dus het certificaat lang blijven voeren terwijl het de vraag is of de kennis nog wel up-to-date is. Bovendien is de certificering voor zelfstandige securityprofessionals vaak een forse investering die hen niet per se meer opdrachten oplevert in een markt waarin de vraag naar hun diensten toch al hoog is.