Inhoudsopgave

1. Honderd procent beveiliging bestaat niet
2. Boze werknemers gevaar voor bedrijven
3. Efficiency kent geen goed of kwaad
4. Is beveiligen dan zinloos?
5. Natuurlijk gaat het niet om beveiliging 

1. Honderd procent beveiliging bestaat niet

Veiligheidsrisico’s zijn een onuitputtelijke bron van quasi-intellectueel gediscussieer op feestjes en partijtjes. Honderd procent beveiliging bestaat niet. Dus zijn er altijd risico’s.  Als iemand er toch in slaagt om deze risico’s te vermijden, dan verlangt hij acuut terug naar de situatie, waarin hij die risico’s wel liep. Iedere voorvechter van beveiliging, die ook maar suggereert dat elk risico vermeden kan worden, spreekt geen waarheid. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Laten we eens kijken wat Derk Wieringa, director van een groot accountantskantoor, gespecialiseerd in security en privacy ervan zegt. Uit het FD van 17 februari 2009 citeren we Wieringa: 

2. Boze werknemers gevaar voor bedrijven

‘De economische recessie en daarop volgende ontslagrondes vormen een wezenlijk gevaar voor elk bedrijf dat zijn gegevensbeveiliging niet goed heeft geregeld. De kans dat een ontevreden of ontslagen werknemer, die uit is op wraak of geldelijk gewin zich vergrijpt aan de digitale geheimen en intellectuele eigendommen van een organisatie, is zeer reëel. Enerzijds door een toenemende digitalisering van onze samenleving, anderzijds door de relatieve eenvoud waarmee waardevolle gegevens kunnen worden meegesmokkeld.
Ook bij eerdere economische teruggang zijn arbeidsplaatsen verloren gegaan. Onrust in organisaties voorafgaand aan een ontslagronde is dan ook niet nieuw. Nieuw is het feit dat de grootste geheimen van bedrijven en overheden als digitale gegevens zijn opgeslagen en dat deze tegenwoordig geld waard zijn.
Uit ons jaarlijks wereldwijd Veiligheidsonderzoek onder financiële instellingen is gebleken dat 33% van de ondervraagden het weglekken van waardevolle gegevens als groot risico ziet. Dat de dreiging reëel is, blijkt uit het feit dat 8% van de ondervraagden al eenmaal is getroffen door verlies van gegevens. En 9% zelfs meerdere malen! Dat is opmerkelijk, temeer omdat de interviews voor dit onderzoek zijn uitgevoerd midden 2008, toen de impact van de crisis nog nauwelijks merkbaar was.
Basaal kunnen twee motieven voor misbruik onderscheiden worden:

• wraak nemen op de werkgever door hem schade toe te brengen of
• gegevens stelen en die voor geld verkopen – als een wrange vorm van extra gouden handdruk.

Voorbeelden zijn er voldoende, zoals de oud-werknemer van het Ferrari Formule 1 team, die in juli 2007 de nieuwste ontwerpen doorverkocht aan het team van McLaren. Een minder bekend voorbeeld is een Intel medewerker, die vertrouwelijke informatie ter waarde van $ 1 mrd wilde meenemen naar zijn nieuwe werkgever AMD. Gelukkig gebruikte AMD deze informatie niet, maar zijn alle concurrenten zo ethisch?
Een derde voorbeeld is een direct resultaat van de economische malaise. Een werknemer van Countrywide Financial met een onzekere toekomst kon door falende beveiliging gegevens van bijna twee miljoen klanten aan derden verkopen.
De oplossing ‘bescherm je gevoelige gegevens’ lijkt helder, maar is dat in werkelijkheid niet. Wat zijn namelijk gevoelige gegevens? Op dit moment is bij veel bedrijven niet helder wat de waardevolle gegevens zijn. Daarnaast is het veelal onduidelijk waar deze gegevens staan en wie daar bij kan. De tijd dat alle belangrijke gegevens op een centraal mainframesysteem stonden, is voorbij. Tegenwoordig bevinden deze gegevens zich op het netwerk, laptops, USB-sticks, in e-mail en ook op smartphones.
Bewustwording van het gevaar van gegevensverlies (niet alleen) in tijden van onrust is een eerste stap. In Noord-Amerika zien we dat de nadruk ligt op het treffen van technische maatregelen. Maar voor het oplossen van dit probleem is techniek alleen niet voldoende, ook de processen en de menselijke factor vereisen voldoende aandacht.’ 

3. Efficiency kent geen goed of kwaad

Is het echter niet zo dat we juist gegevensverwerking en uitwisseling willen? Per definitie vormt dat dus niet de dreiging. Efficiency van processen en mensen is het doel.
Derk Wierenga zet in zijn betoog vraagtekens bij een serie verworvenheden uit de laatste jaren, die we allemaal zijn gaan gebruiken, omdat we als gebruikers op deze manier informatie gemakkelijker of efficiënter kunnen opslaan, transporteren en delen. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Die voordelen gelden natuurlijk niet alleen voor onszelf als reguliere gebruikers, maar ook voor onbevoegden die de gegevens misschien misbruiken. Maar juist door de inzet van technologie worden veel zaken ook veiliger:

• Door de toename van pinbetalingen wordt het steeds minder lucratief om banken of winkels te beroven.
• Door het gebruik van camera’s wordt het gemakkelijker om criminelen op te sporen.
• Dankzij het digitaal opslaan en backuppen van data is het vrijwel onmogelijk om nog gegevens te verliezen.
  Door thuiswerken, samenwerken op afstand en door telefonisch vergaderen wordt veel tijd en fileleed bespaard en wordt voorkomen dat data nodeloos fysiek worden verplaatst.
• Door gegevens versleuteld op te slaan wordt het risico op misbruik aanzienlijk verkleind.

Kortom, Johan Cruijff zei het al: ‘Elk voordeel heb ze nadeel’. Dat is hier ook nadrukkelijk van toepassing. Efficiency kan niet kiezen voor goed of kwaad. Slechts één ding is niet veranderd en dat is de mens zelf. Die mens is de zwakste schakel, waardoor ieder beveiligingssysteem onderuit gehaald kan worden. En vaak gebeurt dat nog niet eens opzettelijk.
Het zou niet de gebruiker moeten zijn, die moeite moet doen om zijn communicatiemiddelen te beveiligen. Beveiliging zou, net als de kooiconstructie, de veiligheidsgordel en de airbag in een auto, standaard moeten zijn. U installeert die ook niet zelf. De leverancier zou standaard een veilig product moeten bieden en alleen bevoegde gebruikers zouden de kennis moeten hebben om de beveiligingen uit te schakelen. Dus, veiligheid moet de standaard zijn en het moet moeite kosten om deze uit te schakelen.

• Waarom niet standaard encryptie op gegevensdragers?
• Waarom niet automatisch locken van niet-gebruikte PC’s en het kunnen inloggen met bijvoorbeeld een vingerafdruk?

Zolang beveiliging moeite en geld kost, zal het nooit populair worden. Bovendien, mijn creditcardgegevens zijn intussen al niet meer waard dan een paar euro. Het is voor criminelen dan ook nauwelijks meer interessant om ze te stelen en dus voor mij nauwelijks meer interessant om ze te beveiligen.
Helaas zijn veel ICT’ers intussen zo gedeformeerd, dat zij denken dat beveiliging hun probleem is, en dat zij dit probleem moeten oplossen. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.) En misschien was dat 20 jaar geleden ook wel zo. Voor de leveranciers echter zou dat tegenwoordig een gepasseerd station moeten zijn. Waar zitten al die inkopers van ICT-middelen? Of vindt u het echt niet belangrijk? 

4. Is beveiligen dan zinloos?

Natuurlijk ben ik de laatste die zal zeggen dat beveiligen zinloos is. Ik wil alleen maar aangeven dat net zoals er in uw auto standaard allerlei veiligheidsvoorzieningen zijn ingebouwd, die uitgebreid zijn vastgelegd in wet- en regelgeving, ook het beveiligen van informatiedragers eigenlijk standaard zou  moeten zijn. Natuurlijk is dan nog niet ieder risico afgedekt. Maar risk management is vooral het maken van een aantal afwegingen. We zullen dit toelichten aan de hand van enkele voorbeelden.

4.1 Willen/kunnen we het risico wel afdekken?

Voor nagenoeg iedere organisatie vormen de senior systeembeheerders een risico. Als ze goed zijn, kennen ze alle sterktes en zwaktes van de ICT-voorzieningen. Die kennis hebben ze immers nodig om adequaat storingen te kunnen verhelpen. Het betekent omgekeerd ook, dat ze hun kennis kunnen misbruiken. Door verregaand functies te scheiden is het mogelijk om dit risico te beperken. Dat betekent echter wel dat het oplossen van een storing altijd een project wordt met diverse betrokkenen, zowel wat betreft analyse als wat betreft uitvoering. Dat heeft praktisch gezien de volgende nadelen:

• Het oplossen van storingen duurt lang.
• Diverse specialisten werken langs elkaar heen als niemand het overzicht heeft.
• Niemand voelt zich verantwoordelijk voor het probleem.
• Er wordt gezocht naar oplossingen en niet naar work-arounds.

En last-but-not-least, als uw beheerders toch niet eens hun kwaliteiten mogen tonen, dan had u net zo goed junior systeembeheerders van een MBO-opleiding kunnen plukken. (Zie ook ‘ICT en functioneel beheer steeds meer logistieke processen’.)

4.2 Heeft het zin om het risico af te dekken?

Vertrouwelijkheid is natuurlijk een groot goed. Maar hoe belangrijk is het nu echt?

• We hebben uitgebreide wetgeving over privacy, maar mensen zelf zetten voor iedereen zichtbaar hun profiel in Hyves, Linkedin enzovoort. (Zie ook ‘Privacy, de dinosaurus in ons communicatietijdperk?’.)
• Overheden hebben vertrouwelijkheid hoog in het vaandel staan, maar moeten ook voldoen aan de Wet Openbaarheid van Bestuur (WOB), waardoor al de vertrouwelijke informatie gewoon opgevraagd kan worden. En zelfs zonder opgaaf van reden.
• Scholen maken continuïteitsplannen, meestal zonder dat er sprake is van gevolgschade door derving van inkomsten.

Daarom moet u zich de vraag stellen of het echt erg is, dat bepaalde gegevens op straat komen te liggen. Natuurlijk staat het niet echt professioneel. Maar lijdt er ook iemand daadwerkelijk schade? 

5. Natuurlijk gaat het niet om beveiliging

Het moet dan toch maar eens een keer gezegd worden: ‘Informatiebeveiliging gaat helemaal niet om veiligheid. 100% veiligheid bestaat immers niet. Informatiebeveiliging gaat om vertrouwen!’
De bewakers bij uw receptie hebben ook de uitdrukkelijke instructie om niets te doen in geval van geweld. Hun werking is vooral preventief. Het laat naar de buitenwereld zien, dat beveiliging een issue voor uw organisatie is en dat deze ‘in control’ is. Dat wekt vertrouwen.
Het uniform van deze bewakers zorgt ervoor, dat er niets uitgelegd hoeft te worden. Ook het saaie streepjespak en de stropdas van bankiers straalden vertrouwen uit. Zozeer zelfs, dat ook Wouter Bos zich weer toerustte met een stropdas. En ik heb altijd veel profijt gehad van mijn grijze haar. Dat straalde senioriteit en vertrouwen uit. En daar gaat het meestal om.
Natuurlijk moet deze façade niet bij het eerste zuchtje wind omvallen. Niet het incident zelf is daarbij van belang, maar vooral het verlies aan vertrouwen. Per definitie is beslissen over veiligheid dus niet een zaak van beveiligers. Want zij hebben er alle belang bij dat u vooral veel en ingewikkelde maatregelen neemt. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.)
Bedenk zelf waarom u wilt beveiligen. En vooral hoe u voorkomt, dat de beveiliging afbreuk doet aan de efficiency van uw bedrijfsproces. Immers, als dat het geval is, is beveiliging wel een heel dure maatregel. Uiteindelijk gaat het erom, dat u niet de voorpagina van de Telegraaf haalt met uw missers. En de jongensdroom van beveiligers, die met gevaar voor eigen lijf en leden de bezittingen van hun werkgever beschermen is allang vervlogen. Meestal staat de wetgever dit zelfs niet eens toe!
Natuurlijk zijn er ook situaties, dat er daadwerkelijk beveiligd moet worden. In 90% van de gevallen echter geldt, dat u slechts de blunders wilt voorkomen, die uw organisatie schade kunnen toebrengen door verlies aan vertrouwen. Zelfs dan heeft u voorlopig nog genoeg te doen (zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’), maar belast u uw organisatie in deze tijd van recessie niet met allerlei overbodige kosten.

Herziene versies: 11 februari 2010, 14 februari 2011

Bron:
Derk Wieringa , ‘Digitale geheimen makkelijke prooi’. In: Het Financieele Dagblad. 17 februari 2009.

Download: