Informatiebeveiliging: stop de hype, start de analyse

Problemen met informatiebeveiliging zijn regelmatig voorpaginanieuws. Van de Diginotar-affaire, via lektober, het Dorifel-virus dat onder meer de dienstverlening van gemeenten flink in de war schopte, naar de hack in het Groene Hart ziekenhuis. Dankzij die aandacht in de afgelopen jaren is er een beweging op gang gebracht.  De overheid heeft het NCSC is opgericht en heeft richtlijnen voor beveiliging van web applicaties opgeleverd die nu gelden voor gemeenten en aanbieders van met Digid ontsloten toepassingen. Auditors zien dat er betere methoden nodig zijn. Nieuwe normen voor beveiliging van cloud services worden ontwikkeld. De markt komt met nieuwe toepassingen voor preventie en detectie tegen allerlei vormen van misbruik.

Professionele datacenter- en service providers , waaronder deelnemers van de DHPA, nemen het onderwerp informatiebeveiliging al lange tijd serieus en verankeren hun beleid en maatregelen in audits en certificeringen. Ook bij de afnemers en gebruikers  van datacenter- en hostingdiensten, die op zich ook weer service providers zijn naar interne- of externe gebruikers begint het besef door te dringen dat het onderwerp informatiebeveiliging op de directietafel thuishoort. En meer omvat dan het gebruiken van een datacenter met een stalen hek.

Er zijn dus positieve ontwikkelingen op gang gekomen en dat geeft aan dat informatiebeveiliging langzamerhand volwassen begint te worden. Jammergenoeg wordt die trend nog niet onderkend door de media. Als we kijken naar de recente publiciteit rond beveiligingslekken lijkt er niet veel te zijn veranderd. Er is een lek of een virusuitbraak, gegevens liggen op straat, inlogcodes zijn in verkeerde handen gekomen, de melding dat Nederland een broeinest is van cybercrime. Ze leiden tot krantenkoppen, ongeruste commentaren en de roep om actie.

Maar welke actie dan? En waarom steeds die hype-toon in plaats van een analyse. Het is toch bijvoorbeeld interessant om te weten waarom falen van beveiliging in sommige sectoren meer lijkt voor te komen dan in andere. Welke rol speelt de bedrijfscultuur daarin? En waarom worden risico’s vaak lange tijd niet onderkend? Ook over daders komen we niet veel te weten. De schuldigen worden steevast gezocht bij de organisaties die slecht beveiligen, en daar blijft het dan bij. Over de opsporing van cybercriminelen, en vooral over de redenen dat het daarmee nog niet zo goed wil lukken, horen we na het incident meestal ook niets meer.

Het wordt dus ook voor de media tijd om de toon en insteek te veranderen. We willen nu vooral weten wat er in zo’n specifiek geval dan aan de beveiliging mankeerde. Welke processen faalden? Wat is er nagelaten, en door wie? Ook het kostenaspect verdient meer aandacht. Ik durf te stellen dat beveiliging vaak een structureel probleem is vanwege ontoereikend budget. Uit eigen ervaring weet ik dat informatiebeveiliging dan onvoldoende in de oorspronkelijke kosten en businesscase van een site of applicatie zijn meegenomen.  Naar aanleiding van zulke diepte analyses kan iedereen leren van de ervaringen van anderen.

Een goede vergelijking is te maken met de burgerluchtvaart. Interessante diepteanalyses zijn te zien in het programma Air Crash Investigation op National Geographic Channel. Daarin is steevast te zien dat ongelukken terug zijn te voeren zijn op een complexe keten van gebeurtenissen.

Ook in de luchtvaart heeft het tijd gekost voordat de aanpak om iets echt veilig te maken goed werd begrepen. Pas na een aantal grote incidenten in de jaren zestig en zeventig kwam er meer aandacht voor veiligheid. Zo leidde de botsing van een KLM- en een PanAm-toestel in maart 1977 op Tenerife tot aandacht voor de cultuur in de cockpit, waarmee het aantal ongelukken aanzienlijk daalde.  Dat leerde ons dat een cultuur van repressie en bestraffen  van fouten, anders dan wat menig politicus ons wil doen geloven, averechts werkt.

Vandaag de dag vinden we vliegen voldoende veilig en accepteren we het risico dat er soms toch iets mis kan gaan. En als er iets mis gaat dan willen we in detail weten wat er is gebeurd en nemen we geen genoegen met de melding alleen. Die sector werkt zo constant aan verdere verbetering van de veiligheid. Zo zou het met informatiebeveiliging ook moeten zijn. Minder hype, meer analyse. Zodat we het zoeken naar schuldigen kunnen veranderen in een cultuur waarin we willen leren van fouten, en willen zoeken naar een cultuur en naar verbeteringen waarmee we onze informatie beter gaan beveiligen.


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.

Over Michiel Steltman