Mitsubishi Electric is een Japanse multinational die onder andere airco’s, halfgeleiders en systemen voor transport, bouw, ruimtevaart en de automobielindustrie maakt. In hun Information Security Report 2019 staat een opmerkelijke zin: “Mitsubishi Electric’s business sites mutually check each other’s status of information security management.” Daar gaat dus het ene kantoor bij het andere kantoor controleren hoe het gesteld is met informatiebeveiliging.
Helaas staat er niet bij hoe dat in z’n werk gaat, alleen dat ieder
bedrijf binnen de groep ook een self assessment doet aan de hand van een
checklist. Veel dingen gaan anders in Japan, dat is algemeen bekend. Maar ik
heb onvoldoende informatie om daar een inhoudelijk oordeel over te kunnen
vellen. Wat ik hieronder opschrijf is dan ook gedreven door nieuwsgierigheid,
verbazing en fantasie, en poogt een projectie te zijn van dat ene zinnetje op
onze eigen cultuur.
Stel, je werkt bij de Building Systems Group, waar ze liften en
roltrappen maken. Op beveiligingsgebied heb je dan niet alleen te maken met de
beveiliging van je gegevens, maar ook met de beveiliging van de
procesautomatisering. Je wilt niet dat zo’n slimme liftinstallatie, die grote
groepen mensen efficiënt – zonder teveel tussenstops – naar hun bestemming brengt,
gehackt wordt en vervolgens de hele rit van de top van een wolkenkrabber naar
de kelder in vrije val aflegt (gun me dat ik mijn gedachten even de vrije loopt
laat – er zijn ongetwijfeld/hopelijk mechanische beveiligingen die dit horrorscenario
verhinderen).
En nu is jouw bedrijfsonderdeel aan de beurt voor een controle. Die
wordt deze keer uitgevoerd door de Living Environment & Digital Media
Equipment Group, waar ze onder andere airco’s, huishoudelijke apparatuur en
Internet of Things-dingetjes maken. Dat voelt als een heel andere tak van
sport, veel minder industrieel en zo. Hoe zouden die beide bedrijfsonderdelen
tegenover elkaar staan? Zien ze meerwaarde in deze min of meer onafhankelijke
controle? Of vinden ze het een ongemakkelijke, van bovenaf opgelegde inmenging
in hun zaken? Koelkasten en roltrappen staan weliswaar redelijk ver van elkaar
af, maar op het gebied van informatiebeveiliging zullen ze niet zoveel
van elkaar verschillen: er zijn gegevens over personeel, klanten, producten en
bedrijfsprocessen, en die zullen allemaal een bepaalde mate van beveiliging
vereisen – waarbij “bepaalde mate” heel letterlijk te lezen is. Tegen die
vooraf bepaalde gewenste mate van beveiliging kun je redelijk goed toetsen.
Ik kom veel over de vloer bij operationele teams van ons datacenter.
Bijvoorbeeld om hen te helpen bij de uitvoering van BIO compliancy checks,
waarbij onderzocht wordt of hun systeem voldoet aan de Baseline
Informatiebeveiliging Overheid. Zij doen dat vanuit hun inhoudelijke expertise,
ik sta hen bij met specifieke kennis van informatiebeveiliging en regelgeving
enerzijds, en het vermogen om me enigszins in hun omgeving in te leven
anderzijds. Op die manier kan ik een brug slaan tussen de vaak abstract
geformuleerde maatregelen en de concrete mogelijkheden die te techniek biedt.
Dat is heel iets anders dan dat ik daar met een vinkenlijstje naar binnen stap
en het team de maat neem. Waar ik het in de vorige alinea over ‘bepaalde mate’
had, gaat het helaas zelden over harde meetwaarden, maar juist vaak over het professional judgement van zowel de
techneut als de informatiebeveiliger, waarbij die laatste de ander uitdaagt om
scherp na te denken.
Hoe zou dat er in Japan aan toegaan? Gebruiken ze daar wel afvinklijsten
voor de onderlinge controles? En hoe
komen ze dan aan de antwoorden? Vuurt iemand van LE&DME vragen af en geeft
zijn collega van BS daar braaf antwoord op, en halen ze aan het einde van de
exercitie opgelucht adem omdat ze klaar zijn met het verplichte nummer? Als het
er zo aan toegaat, dan twijfel ik aan de meerwaarde. Als er daarentegen dialoog
ontstaat, waarbij de controleur intelligente vragen aan de gecontroleerde
stelt, die daar open en eerlijk op antwoordt, dan kan deze werkwijze wel
degelijk helpen om de ook door Mitsubishi gehanteerde PDCA-cyclus (de
plan/do/check/act-cyclus van Deming) draaiend te houden. Om slimme vragen te
kunnen stellen, lijkt het mij wel noodzakelijk dat de vragensteller enige
kennis heeft van de specifieke omstandigheden én producten van het lijdend
voorwerp.
Oppervlakkig bezien lijkt het misschien tegenstrijdig: openheid en informatiebeveiliging.
Maar als je tegenover vertrouwde personen open bent, dan kan dat juist helpen
om inzicht in de beveiliging te krijgen en deze vervolgens aan de hand van de
verkregen inzichten te verbeteren. Laten we optimistisch hopen dat het bij
Mitsubishi zo werkt, en erover nadenken wat wij van zo’n model kunnen leren.
En in de grote boze buitenwereld …
- leverde de Bing-zoekmachine niet alleen waardevolle informatie aan haar gebruikers.
- analyseert dit artikel de Twitter-hack van 15 juli.
- zijn kinderen best wel handige ICT-helpers, maar verlies de regels voor privacy en security niet uit het oog als je je kroost om hulp vraagt.
- hangen chauffeurs, die voor Amazon werken, mobieltjes in bomen om het opdrachtverstrekkingssysteem om de tuin te leiden.
- laat de toezichthouder op de inlichtingendiensten zich kritisch uit over aangelegde bulkverzamelingen.
- publiceert de AIVD bovengenoemd rapport op zijn website, met een kanttekening erbij over het nut van bulkdatasets.
- hebben opsporingsdiensten een flinke slag geslagen in de strijd tegen het kopen en verkopen van illegale goederen.
- dreigt Facebook ermee Europa te verlaten als de privacytoezichthouders zich niet koest houden.
- brengt iOS14 een hoop nieuwe beveiligingsfeatures naar de iPhone.
- waren cybercriminelen er als de kippen bij om de coronacrisis te gelde te maken.
- zijn overheden en de financiële sector wereldwijd het best bestand tegen hackers.
- maakte de BBC deze reportage over dodelijke cyberaanvallen.
·
