De onzichtbare koning

Afbeelding via Pixabay

Het heeft Zijne Majesteit de Koning behaagd ons met een bezoek te vereren. Hoewel ik gisteren zelf ook een bijeenkomst op kantoor had, heb ik hem niet gezien. De sporen van het koninklijke bezoek waren wel zichtbaar: ik werd ’s ochtends door veel beveiligers opgewacht en ’s middags waren er bijna geen zitplaatsen in de kantine omdat die nog in theateropstelling stond. Maar het thema van het bezoek was wél maar mooi digitale veiligheid.

De koning volgde zo’n beetje hetzelfde programma dat alle hoogwaardigheidsbekleders krijgen voorgeschoteld: de printstraat, het datacenter en het Security Operations Center (SOC). Want tja, dat zijn nou eenmaal de enige tastbare dingen die we kunnen laten zien – de rest bestaat uit kennis en kantoren. Ik was er dus zelf niet bij, maar gelukkig waren Shownieuws en Goedemorgen Nederland present zodat we de bewegende beelden van het bezoek kunnen terugkijken.

Onze printstraat is nogal indrukwekkend (de bevlogen teammanager heeft mij ook wel eens rondgeleid). Grote rollen blanco papier worden bedrukt met allerlei bescheiden. Aan de achterkant van de meterslange machine komen ze als losse brieven uit de printer, om vervolgens in de couverteermachine met duizelingwekkende snelheid in blauwe enveloppen te worden geschoven. Juist vanwege die snelheid is het van belang dat de apparatuur de goede gang van zaken bewaakt. De brieven worden gewogen – niet om te bepalen hoeveel postzegels erop moeten, maar om te controleren of er niet per ongeluk ergens een velletje te veel of te weinig in een envelop zit. Elke brief heeft een optisch leesbare code, zodat de brief zelf weet hoeveel vellen papier lang hij is.

Het datacenter is zo’n andere plek waar je als normale sterveling niet in komt. Alleen als je er voor je werk moet zijn, kom je erin. De koning kwam voor z’n werk en mocht er dus in (althans, dat neem ik aan – ik heb er geen beelden van gezien). Hopelijk waren er koninklijke oordopjes voorhanden, want als ze ook echt de corridors zijn binnengegaan waar honderden servers staan te blazen, dan heb je die wel nodig. Het valt ruim buiten mijn vakgebied, maar ook deze vorm van veiligheid is van belang. En voor de rest is het, zoals gezegd, vooral zaak om iedereen buiten de deur te houden die daar niets te zoeken heeft. Daarvoor hebben we diverse fysieke beveiligingsmaatregelen.

Daar tegenover staan de logische beveiligingsmaatregelen, die ervoor zorgen dat medewerkers alleen die dingen kunnen doen waarvoor ze geautoriseerd zijn, dat potentiële indringers buiten de deur worden gehouden en dat aanvallers die ons het leven zuur willen maken van een koude kermis thuiskomen. Maar die maatregelen zijn toch niet zichtbaar, waarom ging de koning dan toch bij het SOC langs? Wel, het SOC is geen normale ruimte. De werkplekken staan in slagorde opgesteld, met elk maar liefst vier beeldschermen. Een grote videowall trekt de aandacht naar zich toe. De SOC’ers zien daarop meteen als ergens een waarde in het rood schiet. Er valt toch echt iets te zien bij het SOC, ook al snap je eigenlijk nauwelijks wát je ziet.

Als de koning ergens heen gaat, dan wordt hij omgeven met zichtbare en onzichtbare beveiligingsmaatregelen. Ook in de informatiebeveiliging hebben we daarmee te maken. De beveiliging van de printstraat en het datacenter zijn, net als de ruimte van het SOC, zichtbare componenten. Maar daarnaast hebben we nog veel meer spullen en vooral mensen die ervoor zorgen dat niet alleen onze informatiebeveiliging, maar ook onze continuïteit en privacy gewaarborgd zijn. Aan zo’n systeem valt ook voor een leek van koninklijken bloede weinig te zien, en die vele collega’s die zich dagelijks met deze materie bezighouden – ach, dat zijn ook maar gewone, amper bezienswaardige mensen. En daarom kwam de koning bijvoorbeeld niet bij ons team op de thee.

Daarom op deze plek maar eens een royale shout-out naar al die collega’s die bij het beheren van hun systeem of bij het maken van hun applicatie niet alleen begaan zijn met de eigenlijke functionaliteit, maar daarnaast ook rekening houden met alle beveiligingseisen die er worden gesteld (ik weet hoe moeilijk dat kan zijn). En ook naar alle collega’s die in hun dagelijkse werk beseffen dat adequate beveiliging een zaak van ons allemaal is. En, lest best, naar de collega’s in mijn eigen team, die iedere dag weer hun best doen om de rest van de organisatie binnen de lijntjes te laten kleuren. Al dat werk is onzichtbaar, geen koning die ernaar komt kijken. Maar dat maakt het niet minder belangrijk.

 

En in de grote boze buitenwereld …

• berichtte de pers over het koninklijke bezoek.
• velde de Algemene Rekenkamer een hard oordeel over cloudgebruik bij de Rijksoverheid.
• vergaderde de Veiligheidsraad van de Verenigde Naties over spyware.
• zint de Britse regering op een verbod op ransomware-betalingen voor de gehele publieke sector.
• zijn Chinese bedrijven aangeklaagd voor het verzenden van gebruikersdata naar China.
• geeft president Biden cybersecurity op de valreep nog een steuntje in de rug.
• maakt de FBI handig gebruik van een zelfvernietigingsfunctie in bepaalde malware.
• hoef je juridisch gezien niet bang te zijn dat je bedrijfsgegevens-in-de-cloud tóch in de VS terechtkomen.