Na een groot veiligheidsincident volgt steevast een publiek rapport en worden er lessen getrokken die vaak uitmonden in duidelijke regels. Dit doen we nog niet na een groot incident in de informatiebeveiliging. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.
Als een bedrijf bij een presentatie wil laten zien dat zij een goede partner is voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan.
Scheepsrampen
Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 liep het Engelse White Ship aan de grond: 300 mensen verloren hun leven. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergingen in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg, in 1694 kwamen 498 mensen om het leven toen HMS Sussex in een storm verging, in 1647 liep het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg en in 1703 kwamen meer dan 1.500 mensen om het leven toen dertien Engelse schepen in het kanaal vergingen. Mensen zagen het probleem wel, waren erdoor getroffen, maar fundamenteel veranderde er niets.
In de ICT meten we niet in omgekomen mensen, maar in records die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met 500 miljoen records. Soms kost een datalek daadwerkelijk mensenlevens, maar ook dat blijft een nieuwsfeit. Er is zelfs een lijst met de top-10 van OWASP met meest prominente oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie, maar worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.
Bindende regelgeving
In de zeevaart volgde een breed gedragen besef dat er iets fundamenteel moest veranderen toen de stoomschepen kwamen. Het aantal incidenten groeide en in 1889 volgde een conferentie in Washington waar vooral werd gesproken over verkeersregels op zee. Er kwamen regels, maar onder andere de Britten deden niet mee. De grote angst bij het bedrijfsleven was dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maakten eigen regelgeving, soms in samenwerking met andere landen, soms geheel zelfstandig. Er werd geen algemene lijn gevolgd, er was geen uniformiteit en veel kon zelf worden geregeld. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een botsing op een ijsberg.
Doordat er geen bindende regelgeving bestond, kon de reder van dit onheilsschip er om esthetische redenen voor kiezen het aantal reddingssloepen te halveren. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Met als gevolg dat niet alle schepen in de buurt over een dergelijke installatie beschikken, en er geen uitluisterplicht bestaat bij de schepen die het wel hebben. Lang niet ieder schip in de buurt komt de Titanic dan ook te hulp. De desastreuze gevolgen zijn bekend: 1522 doden. Kennelijk maakte dat monsterlijke aantal zoveel indruk, dat er in 1914 voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen en het in kaart brengen van ijsbergen. Veiligheidsregels die de norm werden en met enige regelmaat worden herzien en aangescherpt.
Zinkend schip
In de ict-industrie leven we overduidelijk in de periode tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Er bestaat dan weliswaar enige regelgeving, maar vaak is onduidelijk wat er nu wel of niet aan beveiliging moet worden gedaan om daaraan te voldoen. Het bedrijfsleven klaagt via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zijn dan ook schadelijk voor de commercie. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en internationale heldere afspraken en werkwijzen zijn dus net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.
Geen beveiligingseisen
Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.
Te weinig sloepen
En dus blijven wij, vooral om esthetische redenen, varen met boten met te weinig sloepen. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand dus die blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt.
Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Wij zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic.
De credits voor de cartoon: Maarten Wolterink maarten@mwcartoons.nl
