Op de heetste junidag ooit in Nederland gemeten stond ik ’s middags op
de rol om in een afdelings-MT uitleg te komen geven over de BIR compliancy
check en de IRAM risicoanalyse. Liefst begin ik iedere presentatie met een
ijsbrekertje, maar deze keer nam de gelegenheids-voorzitter dit voor zijn
rekening, door mij – bij wijze van jolige verwijzing naar het onderwerp – aan
te kondigen als “imam”. Waarop een andere deelnemer schaterde: “Ik zie een
nieuwe blog aankomen!” Dat gebeurt wel vaker, dat iemand iets spitsvondigs zegt
en dat iemand anders dan quasi-waarschuwend roept dat ik daar misschien wel over
ga schrijven. Omdat er wel degelijk een parallel is tussen mijn vak en en de
geestelijkheid – van welke geloofsrichting dan ook – pak ik deze handschoen op.
Maar eerst even, bij wijze van intermezzo, uitleggen waar die
afkortingen voor staan. De BIR is de Baseline Informatiebeveiliging Rijksdienst*.
De BIR bevat maatregelen die ons, als onderdeel van die rijksdienst, worden opgelegd.
We moeten daar simpelweg aan voldoen. Die maatregelen komen grotendeels uit de
internationale norm ISO27002, waar nog enkele tientallen specifieke maatregelen
voor de overheid aan zijn toegevoegd. En
IRAM, dat is de naam van de methode die we gebruiken voor risicoanalyses op het
gebied van de informatiebeveiliging. Het acroniem staat voor Information Risk Assessment
Methodology. IRAM bevat een standaard lijst van dreigingen, die we in een
IRAM-sessie langslopen om de mate waarin we er kwetsbaar voor zijn te
beoordelen.
Momenteel zijn we dus, als informatiebeveiligers, bezig met een tournee
langs onze afdelings-MT’s. Op die hete middag legde ik het verschil tussen BIR
en IRAM uit aan de hand van een metafoor. Stel, je wilt een carport laten
bouwen. Vanuit bouwkundig perspectief heb je in ieder geval twee eisen: het
bouwsel moet voldoende stevig en waterdicht zijn. De maatregelen om dat te
bewerkstelligen, vind je in de BIR. Het levert je wellicht een mooie, ranke
carport met een gewelfd kunststof dak op. Met een risicoanalyse kun je
achterhalen welke dreigingen er voor jouw carport gelden. De dreigingen ‘harde
wind’ en ‘regen’ heb je met de standaard BIR-maatregelen al afgedekt. Maar er
zijn ook nog andere dreigingen. Want wat als je die carport ook wilt benutten
als opstapje om dat ene, moeilijk bereikbare raam te wassen? Dan krijg je te
maken met de dreigingen ‘van de carport vallen’ en ‘door de carport zakken’. De
maatregelen die je daartegen treft, kunnen resulteren in een heel ander
ontwerp: niet gewelfd maar plat en niet van kunststof maar van hout.
De komende maanden gaan de teams van de verschillende afdelingen aan de
slag met BIR en IRAM. Dat doen ze onder eigen verantwoordelijkheid – wij zijn
er ‘alleen maar’ om aan te jagen en te helpen. “Dat leren ze jullie ook op
iedere cursus hè, om die lijnverantwoordelijkheid er bij ons in te rammen”,
verzuchtte een manager. Nee hoor, repliceerde ik, dat is niet nodig, want het
is vanzelfsprekend!
Er bestaan bedrijven waar ‘security evangelist’ een officiële functie
is. Het gaat daarbij vaak om medewerkers die hartstochtelijk hun best doen om
de organisatie vooruitgang te laten boeken op beveiligingsgebied. Mijn
officiële functiebenaming luidt dan wel heel saai ‘stafadviseur’, maar ik doe
toch erg mijn best om de rest van de organisatie voor mijn aspect te
enthousiasmeren. En ach, of je dat dan evangelist of imam noemt, is mij om het
even.
*: Tegenwoordig is er de BIO (Baseline
Informatiebeveiliging Overheid), die ook op lagere overheden van toepassing is.
Gemakshalve hanteren we nog graag de naam BIR.
Non-rectificatie
In de Security (b)log van vorige week noemde ik een bedrag van anderhalf
biljoen dollar, dat met cybercrime wordt verdiend. Meerdere lezers meldden dat
ik een vertaalfout had gemaakt, omdat het Engelse ‘billion’ niet een biljoen,
maar slechts een miljard is. Even ervan afgezien dat nergens uit bleek dat mijn
bron Engelstalig was: ik ben bekend met deze gril van het Engels. Maar wees
gerust: in mijn – inderdaad Engelstalige – bron was sprake van anderhalf trillion
dollar. En dat is in het Nederlands toch echt anderhalf biljoen.
En in de grote boze
buitenwereld …
... zijn terroristen vooralsnog niet sterk aanwezig in het cyberdomein.
... bleef een hack bij een Amerikaanse ziektekostenverzekering negen
jaar lang onopgemerkt. (Oude infosec-wijsheid: er zijn twee soorten bedrijven:
zij die gehackt zijn, en zij die het nog niet weten.)
... denkt iemand dat hij een computer kan bouwen die nooit kan worden
gehackt.
... geldt ook in ons vak de regel “goed is goed genoeg”.
... ziet een phishing-aanval er soms anders uit dan je zou verwachten.
... heb je alleen iets aan een back-up als die ook werkt. Hetzelfde
geldt voor drie back-ups.
... is het mogelijk om nepberichten te versturen via de Amerikaanse
tegenhanger van NL-Alert.
... werden in de laatste zeven jaar wereldwijd tien mobiele providers
gehackt.
... is IoT nog lang niet veilig.
... worden de onveilige IoT-apparaten in Nederland nu wel in kaart
gebracht.
... komt “verkeerd verbonden” ook voor in de cloud.
... heeft Amerika een cyberaanval tegen Iran uitgevoerd.
... gaan we dit soort aanvallen steeds vaker zien, zegt de AIVD.
... dient straks je telefoon als paspoort.
... krijgt ENISA een stevigere rol. En een nieuwe naam.
… kunnen straks meerdere partijen samenwerken aan versleutelde
documenten.