Wie zelf werkzaam is in de ict, heeft geen gevoel voor beveiliging, stelt directeur Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT. Binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter, constateert hij. ‘Juist ict’ers hebben een blinde vlek voor beveiliging.’
Directeur Ronald Prins van Fox-IT licht zijn visie op ict-beveiliging toe tijdens de eerste dag (27 november 2013) van het landelijk Architectuur Congres. Juist ict-architecten spelen een belangrijke rol bij het beveiligen van de systemen die zij ontwerpen. De manier waarop de beveiliging van systemen wordt ingericht kan een stuk beter, betoogt Prins.
Bij incidenten blijkt telkens weer dat bij de beveiliging vooral is gericht op het optrekken van een zo hoog mogelijke muur. ‘Vreemd’, vindt Prins. ‘Als een wolf de schapen van een boer opvreet, dan grijpt hij zijn geweer, trekt erop uit en schiet hij de wolf dood. Hij zet geen hoger hek rond de wei.’ In plaats van investeren in spullen, adviseert Prins te investeren in mensen. ‘De beste beveiliging is het aanstellen van een medewerker wiens taak het is elke dag de activiteit op het netwerk te monitoren en bij incidenten actief in te grijpen.’
Na een incident wil een directie meestal de ict-systemen van het bedrijf potdicht maken. ‘Dat is een illusie. Zo simpel is het niet. Maar dat is wel het beeld dat hard- en softwareleveranciers oproepen. Alsof het om iets simpels als een vliegtuig gaat. Veel bedrijven kunnen niet eens een tekening laten zien van hun ict-systemen. Zo’n systeem is namelijk dynamisch, er verandert dagelijks van alles. Dus moet ook de beveiliging dynamisch zijn.’
Security center
Grote bedrijven die de afgelopen tijd te maken hebben gehad met aanvallen van hackers, beginnen nu te kiezen voor de dynamische beveiliging die Prins voorstaat. ‘Kijk naar KPN. De trend is naar security centers waar een man of vijftien permanent op grote schermen de activiteit op het netwerk in het oog houden en klaar staan om direct in te grijpen bij incidenten.’
Zo’n security center moet wel de middelen hebben om in te grijpen, stelt Prins. Dat betekent dat de architectuur zo moet zijn ingericht dat het netwerk meerdere lagen kent, delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. ‘Niet één voordeur, maar meerdere voordeuren achter elkaar, die zijn voorzien van een bewegingsmelder.’
Extra werk
Het valt hem tegen hoe weinig ict’ers leren van incidenten. ‘Wij zitten niet om extra werk te springen, maar zouden best adviezen kunnen geven aan ict-architecten hoe zij systemen het best kunnen inrichten. Maar daarover worden wij nauwelijks benaderd.’
NAF-architectuurprijs 2013
Tijdens het Landelijk Architectuur Congres op 27 en 28 november 2013 wordt de jaarlijkse NAF-architectuurprijs uitgereikt. De prijs wordt toegekend aan een individu, groep of organisatie die een bijzondere vakmatige prestatie heeft geleverd op architectuurgebied. Stuur nu jouw architectuur in ter beoordeling! Projecten kunnen worden ingezonden tot 14 oktober 2013.
Security leeft wel degelijk bij de ICTers, maar zolang de business er geen meerwaarde in ziet (oftewel een ROI kloppend gemaakt kan worden), dan is er gewoon geen budget beschikbaar.
Ronald Prins spreekt over zinnige zaken maar maakt van het betoog een wel erg zielig verhaal. Durft Ronald Prins zijn klanten niet de essentie te vertellen? Hij beweert dat juist de ICT’er een blinde vlek heeft voor security (behalve die paar van Fox-IT natuurlijk). De ICT’er is de weak spot en niet de (leiding van de) organisatie waarvoor hij werkt. Die leiding is alleen zo dom om op de verkeerde mensen te vertrouwen.
Wat is waar van de beweringen? Heeft juist de ICT’er een blinde vlek voor security?
Dat is niet mijn beleving of wat ik van niet-ICT’ers hoor. ICT’ers hebben net zo veel aandacht voor security als de rest. Bijvoorbeeld, bij de grote banken werken ICT’ers heel nauwgezet aan de beveiliging. M.b.t. DDoS ging het bij banken echter goed mis. Reden hiervoor was dat de directies niet voldoende wilde investeren, tot pakweg een half jaar geleden. Ja, toen ging DDoS echt pijn doen.
De grootste security lekken zitten overigens niet bij de ICT van de banken. De grootste security missers daar zijn transacties waarbij bevoegdheden vaak al geruime tijd overschreden werden (en we praten over vele miljoenen tot miljarden per jaar per bank). Ook wordt er regelmatig geld weggesluisd door medewerkers die daarna snel verdwijnen. We lezen er heel zelden over, want de commerciële schade door fraude wordt groter geacht dan de financiële. Fox-IT weet dat maar al te goed, want zij worden regelmatig gevraagd om te helpen de rotsooi discreet op te ruimen. Zo kan ik nog veel meer voorbeelden geven.
En dan de opmerking dat “binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter”.
Bij de chemische industrie en vooral de opslagbedrijven en van chemicaliënverpakkingsbedrijven is de fysieke beveiliging bedroevend laag gebleken. Rotterdam/Pernis en Moerdijk zijn diverse keren net aan grote rampen ontkomen. Recycling- en saneringsbedrijven doen het niet beter. Ook Schiphol, waar fysieke beveiliging heel belangrijk is, is meerdere keren een gatenkaas gebleken.
Ronald Prins geeft dus geen fair oordeel over zijn vakgenoten. Misschien voelt hij zich beter door anderen naar beneden te trappen, maar professioneel is het niet?
Fox-IT zou ook wel eens eerlijker mogen zijn tegenover hun reguliere klanten. Als zij bijvoorbeeld aan Fox-IT vroegen hoe veilig internet was of er backdoors waren in bekende programma’s, dan kregen ze jarenlang niet het juiste antwoord. En dat kwam niet doordat Fox-IT niet beter wist. Nee, want Fox-IT werkte al jaren nauw samen met inlichtingendiensten en met fabrikanten van afluisterapparatuur en die van spyware voor overheden en is vaak co-producent van oplossingen.
Een gemiste kans voor een consultancy bedrijf.