Het Nationaal Cyber Security Centrum (NCSC) deelde deze week een plan voor een ethische code voor de securitysector. Dat moet de kwaliteit van security-professionals borgen in de snelgroeiende sector voor ict-beveiliging. Moet het vak van de security-professional beschermd worden om het kaf van het koren te scheiden?
‘We moeten professionaliseren als sector en toe naar een situatie waar cybersecurity echt een vak is met professionals waar je op kunt rekenen.’ Dat vindt senior onderzoeker van het NCSC, Jeroen van der Ham.
Bedrijven die een ict-beveiliger inhuren kunnen volgens hem nu niet goed nagaan of dat bedrijf of die persoon de kwaliteit biedt die ze mogen verwachten. Een systeem dat vergelijkbaar is met de registratie van zorgaanbieders of advocaten kan uitkomst bieden. Of kun je ook prima je werk doen als je niet tot een ‘Orde van ict-beveiligers’ behoort?
In hoeverre volstaan huidige certificeringen en normeringen als ISO 27001 en Certified Information Systems Security Professional (CISSP) eigenlijk? Of stroomt de sector vol met zoveel aanbieders van security-diensten dat er behoefte is aan meer duidelijkheid? Bijvoorbeeld over de capaciteiten van al die security-experts, maar ook welke kaders voor gedrag en gezamenlijke (ethische) waarden worden nagestreefd. In een code kan ook plaats zijn voor beperkingen van bevoegdheden. Zeker nu er bijvoorbeeld op het vlak van incident response steeds meer wordt samengewerkt, lijkt het steeds belangrijker te worden dat er meer duidelijkheid komt.
Reageer:
Wat vind jij? Moet het vak van ict-beveiliger een beschermd beroep worden?
De kwaliteit bieden die verwacht wordt is nogal lastig want soms zijn verwachtingen niet haalbaar, de zorgaanbieder kan geen wonderen verrichten aangaande de genezing en hetzelfde geldt voor de advocaat. Beiden kunnen alleen een inspanningsgarantie geven en ik vrees dat een ICT-beveiliger uiteindelijk ook geen resultaatgaranties kan geven zoals dat NCSC geen garantie geeft in het bewaken van onze digital dijken. En ik denk daarom dat er beter manieren zijn om het kaf van het koren te scheiden want een bedrijf dat eventjes een ICT-beveiliger inhuurt heeft de beveiliging uiteindelijk niet hoog op de agenda staan. De inhuur zou meer moeten gaan om de vreemde ogen die dwingen want tekortkomingen constateren en er iets aan doen zijn twee heel verschillend dingen als we even naar de praktijk in het veld gaan.
Ooit was ik lid van een team dat audits aangaande de beveiliging deed en we deden dit niet alleen vanuit de techniek maar ook vanuit de processen, het vinden van de ‘olifantenpaadjes’ hierin gaat om de low-tech aanval die zich richt op de zwakste schakel. Organisaties die erg kwetsbaar zijn voor dit soort aanvallen kenmerken zich veelal door een hiërarchische bedrijfscultuur van macht en angst want in deze ‘afrekencultuur’ worden vooral papieren tijgers getemd omdat die niet brullen. En dat de papieren werkelijkheid vaak niet overeenkomt met de realiteit leverde vaak verbazing op bij de presentatie van de gevonden tekortkomingen. Een ieder die dat weleens gedaan heeft voelt direct de ongemakkelijke spanning die dan ontstaat want politieke spel van ‘Zwarte Pieten’ wordt een soort van blufpoker waarin opeens niemand zich meer herkent in gevonden tekortkomingen. Kortom, de presentatie is heel belangrijk om draagvlak te krijgen voor de feiten want het gaat om de olifant in de kamer omdat het uiteindelijk altijd de schuld van de techniek is.
De zorgaanbieder die de dominee moet genezen van een SOA heeft een zwijgplicht zoals dat de advocaat moet zwijgen over belastende feiten van zijn cliënt. De kaders voor gedrag en gezamenlijke (ethische) waarden zijn interessant als het om de definitie van professionalisering gaat want NCSC staat niet bekend om de informatiedeling. Ik meen me te herinneren dat hierover zelfs klachten zijn vanuit de Cyber Security Raad:
https://www.computable.nl/artikel/nieuws/security/7169196/250449/grapperhaus-haalt-woede-cyber-security-raad-op-de-hals.html
Hoe zit het eigenlijk met de bescherming van de klokkenluider?
In het artikel wordt gesproken over registratie van security professionals, maar eigenlijk zou je die vraag breder moeten trekken: als ik (professioneel) een stopcontact wil installeren, moet ik een erkend installateur zijn, als ik een vrachtauto wil rijden, moet ik chauffeur zijn, maar als ik software bouw voor een bank, een verzekeringsmaatschappij, voor de overheid of voor een ziekenhuis, hoef ik helemaal geen enkele opleiding of certificering aan te tonen. Iedereen die in staat is een letter in te tikken in een editor mag software schrijven voor wat dan ook. Dat is de ene kant van het verhaal. De andere kant is dat de registraties en erkenningen in het verleden meestal ingesteld zijn vanuit de beroepsgroepen om hun eigen beroep te beschermen. In sommige andere landen zie je dat uit de hand gelopen beroepsbescherming de hele economie lamlegt, omdat het de markt sluit voor nieuwe toetreders. Die kant moeten we niet op, want daar worden we niet beter van.
Het instellen van een registratieverplichting of een erkenning, moet niet vanuit de beroepsgroep zelf komen, want dan is deze meestal ingegeven door behoefte aan bescherming van de beroepsgroep, maar moet vanuit de behoefte van de maatschappij komen. Als wij, als maatschappij, het prima vinden dat iedereen zich software developer mag noemen, dan is dat prima. Hetzelfde geldt voor security professional en voor artsen en advocaten. Laat de maatschappij, vertegenwoordigd in de politiek, over de hele breedte bepalen voor welke beroepsgroepen een erkenning nodig is, zonder dat daarmee de economie teveel lamgelegd wordt.
“Om deze vraag te beantwoorden wil ik graag onze eigen ervaring als voorbeeld geven. Als leverancier van digitale certificaten zijn we al vroeg begonnen met het behalen van eerst de ISO 27001-, en vervolgens de 9001-certificering. De initiele motivatie hiervoor was dat dit door de markt werd gevraagd. Ondanks, of juist dankzij het feit dat de implementatie erg veel werk is, zorgt het zeker voor een grote mate van professionalisering. Dit is juist bij – vaak snel groeiende- IT-organisaties belangrijk. Het zorgt ervoor dat alle medewerkers op het gebied van kwaliteit en informatiebeveiling betrokken worden bij de nieuwe werkwijze en deze ook bewust toepassen. Een structurele manier van werken die ook periodiek extern gecheckt wordt, zorgt voor een zo klein mogelijke foutmarge. Een ander voorbeeld is het regelmatig onderwerpen van je eigen systemen aan pentests. Uiteraard zal niet iedere ICT-beveiliger (alle) certificeringen nodig hebben, het geeft alleen maar aan dat bepaalde standaardeisen op het gebied van kwaliteit en informatiebeveiliging door klanten van iedere ICT-beveiliger verwacht mogen worden. In dat licht is het stellen van bepaalde minimumeisen, voordat je security-diensten aan mag bieden, naar onze mening zeker nuttig.”
Het opstellen van een ethische code/gids voor de cyberbeveiligingssector is een uitdaging en complex. De sector heeft al een overvloed aan regels, voorschriften en certificeringen om de risico’s voor organisaties te beperken. De invoering van verdere eisen kan de ondersteuning die de sector biedt in de weg staan in plaats van deze te versterken.
De sector heeft op dit moment onmiskenbaar te kampen met een tekort aan gekwalificeerde arbeidskrachten, dus het nadeel van de invoering van dit type certificering zou zijn dat het de kandidatenpijplijn voor cyberbeveiligingsleveranciers zou kunnen versmallen. Terwijl die toch al de moeilijke taak hebben om het veranderende cyberdreigingslandschap bij te houden, soms zonder dat ze daarvoor een volledig team hebben.
Ook is het de vraag hoe we objectief kunnen vaststellen wat “goed” is in termen van kwaliteit. Bij elk model om dit te beoordelen lopen we het risico dat het vanuit vooroordelen opgesteld wordt. Leveranciers en professionals zouden in theorie kunnen worden gehouden aan een gemeenschappelijke gedragscode (bijna een eed van Hippocrates), maar het afdwingen daarvan of zelfs het verzamelen van gegevens om de naleving daarvan te evalueren zou in de praktijk een uitdaging zijn.
Zoals in de meeste sectoren bouwen cyberbeveiligers in de loop der jaren een reputatie op, vaak onafhankelijk van de organisaties waarvoor ze werken, maar er is geen algemeen aanvaarde visie op de kwaliteit van doorlopend werk of zelfs onderzoek.
Jim Cox, Area Vice President, Benelux bij Proofpoint
Ik vind dat het kaft inderdaad van het koren moet worden gescheiden, maar ik weet alleen niet of een ethische code de manier is.
Persoonlijk ben ik meer voor een ‘certificering op basis van (jaren) ervaring dan op basis van een multiple-choice examen’…daarnaast ben ik van mening dat er teveel ‘wannabees’ in ons vakgebied rondlopen, die zichzelf cybersecurity expert of cybersecurity adviseur noemen op basis van een opleiding, een dansdiploma en een multiple-choice examen….zonder relevant cybersecurity ervaring in het veld.
Ik ben van mening dat een cybersecurity expert pas als ‘expert’ mag worden bestempeld als hij/zij aan een aantal criteria heeft voldaan. Het bekleden van een cybersecurity functie (security engineer, CISO, SOC analist, Threat analist, etc.) voor een minimaal aantal jaar zou een belangrijk criterium moeten zijn. Ook de daadwerkelijke werkervaring met een cybersecurity incident zie ik als criterium…..en zo kan ik er nog wel enkele noemen….
Inderdaad loopt het nu wel erg vol met allerlei zelfbenoemd specialisten en is de kwaliteit soms ver te zoeken. De vergelijking met klussers gaat goed op, ook daar ziitten charlatans tussen. Echter moet je het bij de beveiliger leggen, of verplicht je bedrijven security uit te voeren met een gecertificeerde instantie, vergelijk het met accountancy.
Een register voor security professionals klinkt aanlokkelijk. Maar dat verschuift het probleem; wie wordt toegelaten als geregistreerd professional.
Informatiebeveiliging is een ambacht. Het vereist kennis, vaardigheden en een visie.
In mijn omgeving kom ik security professionals tegen met dikke letters cissp in hun titel die niet bekend zijn met de algemeen aanvaarde beginselen van informatiebeveiliging. Dat zijn de professionals die in staat zijn om een organisatie volledig het bos in te sturen.
Een (NCSC) ethische code voor de securitysector is in de basis geen slechte ontwikkeling. Een belangrijke afweging hierbij is dat de gehele sector inclusief afnemers en toezichthouders moet gaan professionaliseren. Wat vormt de waarde van een “Orde van ict-beveiligers” of een nationaal ethisch keurmerk als er onderdelen in de keten liggen waaraan in deze code onvoldoende aandacht wordt besteed, creëren we dan geen schijnveiligheid? Ook belangrijk is; in hoeverre kan deze nationale ethische standaard opwegen tegen internationale afspraken, culturele verschillen en land overschrijdende activiteiten?
Wat als de security professional bijvoorbeeld conform proces correct heeft gehandeld maar het lek blijkt uiteindelijk in de oplossing te zitten die deze professional heeft geïmplementeerd of in het gebruik hiervan door de organisatie? Wie of wat gaat erop toezien of een toegepaste oplossing volledig correct, bijna correct of juist niet correct wordt gebruikt of deze een adequate afhandeling is op het signaal van de professional?
Cybersecurity is een gigantische groeisector waar veel geld in omgaat. Dit trekt ondernemers aan met oprechte bedoelingen omdat ze ergens in geloven maar ook ondernemers die alleen maar $$ zien. Tegen deze laatste categorie moet de sector en organisaties worden beschermd. Dit probleem is echter niet uniek en komt dagelijks voor in bijna alle sectoren. Ik ben bang dat met een dergelijk keurmerk of orde er praktisch niets gaat veranderen, hooguit dat de oprechte security professionals er de brui aan geven omdat ze niet door al die hoepels wensen te springen