Linke vinkjes

 

Afbeelding via Pixabay

Het was koud, donker en nat toen ik gisteren voor zevenen het huis verliet om naar Amsterdam af te reizen. Op weg naar een congres dat al om negen uur begon en pas om half zes zou sluiten. Ik overwoog om wat eerder weg te gaan, vooral ook omdat het laatste onderdeel een paneldiscussie was, wat ik zelden interessant vind. Gelukkig deed ik het niet.

In het panel zaten informatiebeveiligers uit de bank- en verzekeringswereld. De gespreksleider stelde zijn eerste vraag: “Wat zien jullie als de grootste bedreiging voor informatiebeveiliging?” Je zou de standaard antwoorden verwachten: ransomware, phishing, te weinig budget. Maar nee. Een deelnemer nam kordaat het woord en sprak: “Compliance is onze grootste bedreiging.” Boem! Zo reageerde de zaal niet, maar ik van binnen wel. Die man sprak mij recht uit het hart. Laat ik het uitleggen.

Compliance is, simpel uitgedrukt, het voldoen aan wet- en regelgeving. Begrijp me niet verkeerd – natúúrlijk moeten we voldoen aan wetten en regels, zeker als overheidsorganisatie. We zijn er echter in doorgeschoten, omdat we veel dingen niet meer doen om de organisatie optimaal te beveiligen, maar om alle vinkjes te halen en daarmee de auditors tevreden te stemmen.

Zo moeten we voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid. De BIO bestaat uit zo’n 250 regeltjes. Je moet aan ieder regeltje voldoen, tenzij je er een goed verhaal bij hebt (pas toe of leg uit/comply or explain). Je moet hoe dan ook al die regels langs, al was het maar om te bepalen of je eraan moet voldoen. Vervolgens moet je óf uitleggen waarom je er niet aan hoeft te voldoen, óf je moet bewijs leveren dát je eraan voldoet. Je gaat daarbij op zoek naar de gaten tussen de regels en de feitelijke toestand – je doet een gap-analyse.

En dan kun je ook nog naar drie verschillende stadia kijken: opzet, bestaan en werking. Opzet houdt in dat een maatregel is beschreven, bijvoorbeeld in beleid of een ontwerp. Bestaan betekent dat de beschreven maatregel ook daadwerkelijk is getroffen, en voor aantoonbare werking is het noodzakelijk dat de maatregel meerdere keren heeft bewezen effectief te zijn. Eigenlijk is ‘stadium’ niet het juiste woord. Het is namelijk niet per se eerst opzet, vervolgens bestaan en ten slotte werking. Ik ken talloze situaties waarbij een maatregel al jaren prima werkt zonder ooit beschreven te zijn. De werking scoort dan groen, maar de opzet rood.

In de afgelopen jaren hebben we die exercitie uitgevoerd bij ons datacenter. En dan niet lekker abstract over het hele datacenter heen, maar voor elke afzonderlijke dienst die dat datacenter aan zijn klanten levert: netwerken, mainframe hosting, endpoints (bijvoorbeeld jouw laptop) en nog talloze andere zaken waarvan ik vroeger het bestaan niet eens vermoedde. Los van het feit dat deze operatie ons heel veel inzichten heeft verschaft, was het ook een megaklus.

Onze organisatie is natuurlijk veel meer dan alleen een datacenter. En wat denk je: die hele organisatie moet aan de BIO voldoen. Dan kom je dus uit op dat hogere abstractieniveau. Een paar jaar geleden hebben we al die BIO-maatregelen verdeeld over de organisatieonderdelen. In een aantal grote overleggen werd voor elke maatregel bepaald bij welk onderdeel zij thuishoort. De IV-organisatie, waar ook het datacenter onder valt, oogstte 42 maatregelen (ik kan een knipoog naar The hitchhiker’s guide tot he galaxy hier op mijn boekenplank niet onderdrukken). De overige maatregelen vallen onder verantwoordelijkheid van andere organisatieonderdelen. En ondanks het beperkte aantal maatregelen waar wij iets over moeten roepen, is het een puist werk. Taai werk ook, want het is vaak lastig om de benodigde informatie te achterhalen. Ondanks het hogere abstractieniveau waar je iets over moet roepen, heb je toch detailinformatie nodig om je uitspraken te onderbouwen.

En al die compliance, zo verzuchtte het panel op het congres, slokt alle tijd en geld op, waardoor er niets meer over is om de beveiliging ook daadwerkelijk te verbeteren. In de jacht naar groene vinkjes sneeuwt het echte werk onder en ontstaat de illusie van veiligheid. We zijn zo druk met het blinkend poetsen van de auto, dat we er niet aan toekomen om tekortkomingen onder de motorkap op te lossen. Terwijl dat veel belangrijker is dan de buitenkant.

Laten we dat soort lijstjes toch vooral gebruiken om in praktische zin beveiligingsissues te adresseren en op te lossen. Compliance volgt dan vanzelf – niet als doel, maar als bijproduct.

 

En in de grote boze buitenwereld …

• zou iedere softwareontwikkelaar nu wel moeten weten wat SQL injection is, maar het kan nooit kwaad om het nog een keer uit te leggen.
• heeft groothandel Macro weer last van een aanval op het moederbedrijf, die in oktober plaatsvond.
• kun je straks je iCloud-backup zodanig versleutelen, dat Apple er zelf niet meer bij kan – en de opsporingsdiensten ook niet.
• treden Europese politiediensten hard op tegen geldezels.
• ondersteunt Chrome inloggen zonder wachtwoord.
• onderzoekt de overheid of er een nationaal anti-phishingschild moet komen.
• kun je natuurlijk ook een luidspreker hacken.
• vindt de staatssecretaris dat de Belastingdienst onvoldoende logt om corruptie effectief te kunnen bestrijden.