Banken, accountants en it-auditors overwegen een jaarlijkse veiligheidscontrole van de it-systemen in te voeren. Het plan roept de nodige weerstand op onder securityexperts. Is zo’n jaarlijkse security-apk een slecht idee? Of moeten we het een kans geven?
Norea, de beroepsorganisatie van it-auditors, is bezig met de ontwikkeling van de IT-Auditverklaring. Deze verklaring moet organisaties in de toekomst ‘aanvullende zekerheid’ geven over de weerbaarheid van hun it. In hoeverre is een bedrijf bestand tegen hackers en ernstige it-problemen? Wat wordt er gedaan om herhaling van incidenten te voorkomen?
Een gespecialiseerde it-auditor, bijvoorbeeld van een groot accountantskantoor, zal de verklaring uitgeven. Het is nog niet bekend wat er precies in staat.
Voor- en tegenstanders
De kritiek vanuit de securityhoek is niet mals, meldde het FD. Zo denkt Roel van Rijsewijk, directeur cyberbeveiliging bij Thales, dat een dergelijke verklaring vooral tot een hoop bureaucratie leidt. Dat zou juist afleiden van de verdediging tegen cyberaanvallen.
Alex Bik, technisch directeur van BIT Datacenters, sprak zelfs van een ‘ontzettend dom idee’. Hij zet vraagtekens bij de motieven van de initiatiefnemers. ‘Dit klinkt als de financiële wereld die probeert meer geld te verdienen.’
Toezichthouder Agentschap Telecom is juist positief over het plan. Dat geldt eveneens voor brancheorganisatie Digitale Infrastructuur Nederland. ‘Dit is typisch een reactie van techneuten’, vindt directeur Michiel Steltman. ‘Hun kritiek is vaak dat het management de zaken niet op orde heeft. Deze audits richten zich daarop, daar zouden ze juist blij mee moeten zijn.’ Steltman verwacht dat een positieve it-verklaring de kans verkleint dat een bedrijf gehackt wordt.
Technische expertise niet aanwezig
Het is logisch dat accountantskantoren enthousiast zijn over het plan. De markt voor cybersecurity groeit jaarlijks met bijna tien procent. Wellicht zien zij mogelijkheden om hiervan te profiteren. Maar laten we wel zijn: it-security is niet hun specialisme. Een oppervlakkige audit van it-processen is echt iets anders dan een volwaardige securityanalyse. Gaan accountskantoren dan ook op zoek naar technische kwetsbaarheden, bijvoorbeeld via pentests? Die expertise hebben zij niet in huis.
Je kunt je ook afvragen in welke mate een jaarlijkse it-controle zekerheid geeft over de digitale weerbaarheid van een bedrijf. Cybersecurity is geen eenmalige oefening, want de bedreigingen evolueren. Als securityexpert ben je continu bezig met het inventariseren van risico’s en het aanscherpen van securitymaatregelen. Een dergelijke verklaring kan tot gemakzucht leiden. ‘We hebben een voldoende gekregen, dus voorlopig zitten we weer goed.’ Zo creëer je een gevoel van schijnveiligheid.
Er zijn ook praktische obstakels. Kennis van cybersecurity is duur. Een diepgaande beveiligingscheck kost al gauw vele duizenden euro’s. Grote multinationals kunnen dat zich welllicht nog veroorloven, maar de rest van het bedrijfsleven zal hier moeite mee hebben. En mocht zo’n verklaring voor elke organisatie verplicht worden, wie gaat al die technische controles uitvoeren? Zijn er in Nederland wel genoeg securityexperts die dit kunnen? Waarschijnlijk niet. Dit personeel moeten we eerst opleiden.
Laagdrempelige controle
Toch mag de securitybranche dit idee niet zomaar afschieten. Ja, er zijn twijfels over de huidige opzet en misschien komt dit initiatief uit de verkeerde hoek. Maar het idee zelf is niet verkeerd. Cybercriminaliteit is een van de grote uitdagingen van deze tijd. De schade voor het bedrijfsleven en de overheid is immens. Er moet iets veranderen. Elke organisatie zou de basisbeveiliging op orde moeten hebben. Het is goed als daar strakker op wordt toegezien.
Waarom beginnen we niet met een soort ‘light’-variant? Een laagdrempelige scan gericht op de belangrijkste it- en securityprocessen. Denk hierbij aan essentiële zaken zoals het wachtwoordbeleid, het tijdig installeren van beveiligingsupdates en het maken van backups. Juist op die punten gaat het vaak fout. Zo’n controle vergroot de bewustwording en is betaalbaar voor elk bedrijf. Bovendien kan een it-auditor of accountant deze relatief eenvoudige check prima uitvoeren.
NLdigital, een collectief van digitale dienstverleners in Nederland, stelt in het FD-artikel dat een jaarlijkse controle te vroeg komt. Het zou beter zijn om te wachten op een Europese standaard voor een dergelijke controle. Maar Europese regelgevingstrajecten duren doorgaans lang, terwijl de urgentie hoog is. Nederland kan hierin toch best het voortouw nemen?
Onderdeel van de oplossing
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt al jaren dat Nederlandse organisaties onvoldoende weerbaar zijn tegen cyberdreigingen. Dit probleem lossen we niet zomaar op met een jaarlijkse controle. De strijd tegen cybercriminaliteit vereist een langetermijnstrategie, een internationale aanpak en publiek-private samenwerking.
Wel zorgt zo’n check ervoor dat elk Nederlands bedrijf aandacht besteedt aan cybersecurity. Dat is alvast een stap vooruit.
Michiel Steltman bekritiseert techneuten maar heeft geen actieve herinneringen aan de organisaties die met een positieve IT-audit alsnog gehackt werden door een misplaatst vertrouwen in deze papieren tijgers. De operationele realiteit van een veranderlijke IT en een bestuurlijke inertie aangaande het groeiende achterstallige onderhoud los je nu eenmaal niet op met de vrijblijvendheid van een audit.
Vreemde ogen moeten dan ook allereerst kunnen dwingen om geconstateerde tekortkomingen op te lossen. Bestuurlijk niet onbelangrijk in de ketenproblematiek waar organisaties kwetsbaar worden door security through obscurity. Misschien dat Michiel daarom de jij-bak om moet draaien door eerst de informatiedeling te verbeteren. Cybersecurity is duur door een schaarste in kennis, les één in de marktwerking.
Ik ben het dan ook absoluut eens met de opmerking over opleiden van personeel maar er is misschien ook een kortere weg. Te vaak steken struisvogels zoals Michiel hun kop in het zand om tegen de mol te zeggen dat het prachtig weer is waardoor er niet meer naar de techneuten geluisterd wordt. Een jaarlijkse APK lost niks op als je als bestuurder niet naar ‘rammelende’ geluiden luistert en de rode lampjes op het dashboard negeert.