Al jaren is de klacht van veel experts op het gebied van informatiebeveiliging dat hun thema te weinig het hoogste niveau bereikt. Een standpunt waar nooit naar werd geluisterd tot het bedrijf DigiNotar werd gehacked. Toen problematiseerde de Onderzoeksraad voor Veiligheid juist de afwezigheid van het bestuur. Ruim twee jaar later is de vraag of er iets is veranderd.
Het is juni 2011 als bij het bedrijf DigiNotar wordt ingebroken. Via de website worden wachtwoorden achterhaald, die later door heel de organisatie blijken te werken. De Iraanse hacker kon overal bij. Zelfs op een systeem dat volgens de regels niet eens verbonden mocht zijn met het netwerk van het bedrijf. Beveiligingsbedrijf ITSec concludeerde na een kort onderzoek een fors aantal technische problemen. Maar de adviezen werden in de wind geslagen. In augustus komt het verhaal naar buiten en grijpt uiteindelijk het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bij het bedrijf in. Een onderzoek van Fox-IT schetst een ontluisterend beeld van de stand van beveiliging. Uiteindelijk ging het bedrijf aan de affaire ten onder.
Geen bestuurskwestie
Er volgen meer onderzoeken die allemaal het stapelen van fouten onderstrepen. De Onderzoeksraad voor Veiligheid start voor het eerst in de geschiedenis een onderzoek naar de veiligheid op het digitale vlak en trekt in juni 2012 harde conclusies. De it’ers die al jaren waarschuwen krijgen al in de subtitel van het rapport ‘Het DigiNotar-incident’ gelijk: “Waarom Digitale Veiligheid de bestuurstafel te weinig bereikt.” De conclusies zijn snoeihard voor bestuurders bij overheden. De verantwoordelijken zijn onvoldoende op de hoogte van hun verantwoordelijkheid en van welke risico’s er spelen: “Bij deze laatste overheidsorganisaties is het bestuur en het hoger management vaak nog weinig betrokken bij het borgen van digitale veiligheid, terwijl dat naar het oordeel van de Onderzoeksraad wel nodig is. Alleen bij een groter incident zoals DigiNotar of de Lektober-actie komt het onderwerp op dat niveau in beeld.”
Nu er incidenten waren en er allerhande eisen bij overheden werden neergelegd kwam er meer bestuurlijke aandacht. Een programma van de zogenaamde Taskforce BID zorgde ervoor dat ook meer kennis werd geborgd. Dat is belangrijk, omdat techneuten vooral de problemen rond informatiebeveiliging technisch benaderen, terwijl er ook menselijke en organisatorische problemen een rol spelen. Aandacht van bestuurders is dus noodzakelijk om de juiste stappen te kunnen zetten en echt wat te veranderen. Met dank aan de onthullingen van klokkenluider Edward Snowden is er ook aandacht voor een ander soort beveiligingsproblematiek: de economische spionage. Ook hiervoor geldt dat organisaties kwetsbaar zijn en dat het weer de digitale component is die spionage op industriële schaal mogelijk maakt. Hebben de zaken een verandering gebracht?
Verandering
Beveiligingsbedrijf Fox-IT, het bedrijf dat bij de DigiNotar-affaire een sleutelrol speelde, ziet een verandering. De organisatie wordt de laatste twee jaar door het bedrijfsleven regelmatig door een Raad van Commissarissen van een onderneming benaderd. “Zij maken zich zorgen dat de primaire business in gevaar komt,” vertelt directeur Menno van der Marel tegenover ICT Magazine. “Daarbij is er de wens om pro-actief te worden en niet te wachten op een incident. Wat dan anders is, is dat er een wens is om zaken structureel te gaan regelen. Dit is echt een trendbreuk en goed nieuws. Ook in de organisatie wordt dat opgepikt. De ict-afdeling is er blij mee, geeft nu graag een kijkje in de keuken om problemen op te pikken. De sfeer is positiever.”
De andere aanpak betekent dat er vaker wordt gevraagd om een nulmeting, waarop dan een heel programma volgt op basis van de business van bedrijven. “Je krijgt een hoger volwassenheidsniveau,” legt Van der Marel uit. “Vroeger was het zo dat we gevraagd werden om te kijken of er gaten waren of niet. Nu wordt gekeken naar de hele organisatie en de operationele processen. Het gaat dus niet meer om de vraag of ik gehacked kan worden of niet, maar om de vraag ‘In welke fase van volwassenheid zit ik?’” De vraag die daarop volgt is om zo efficiënt mogelijk op een hoger niveau te komen en daar ook te blijven.
Andere behoeften
Het gevolg van een volwassen benadering is ook dat de vragen daardoor anders zijn. Het gaat er niet meer om of een organisatie wordt gehacked, maar om de vraag of je het door hebt. Zien bedrijven tijdig de risico’s en reageren ze daar goed op? Dat is belangrijk, zeker nu er in het speelveld niet alleen criminelen, goed bedoelende hackers en activisten actief zijn, maar ook spionage harde realiteit is. Een nieuwe trend is dan ook dat niet alleen technologie belangrijk is, maar ook het krijgen van de juiste informatie. Volgens Van der Marel groeit dan ook de vraag om intelligence over het speelveld. Wie is waar actief en wat doen ze binnen organisaties?
Nederland is relatief snel bewuster geworden, maar staat daar niet alleen in. De Britse overheid heeft ingezet op veel meer compliance en daardoor zijn ook bij veel organisaties de ogen open gegaan. Juist die landen die actief bezig zijn met beveiliging triggeren een bewustzijn en daardoor is er meer vraag naar het vinden van oplossingen. “Het is begonnen met compliance, maar gaat nu naar werkelijke business-risico afwegingen,” meent Van der Marel dan ook. Het werk van de Onderzoeksraad mag dan gericht zijn geweest op de verantwoordelijkheden van de overheid, maar het heeft ook sporen achtergelaten in het bedrijfsleven.
