De mens is en blijft de zwakste schakel in de bestrijding van cybercrime en afluisterpraktijken. Je kunt de technische tools tot in de puntjes hebben geregeld, maar zolang de gebruiker het belang daarvan niet ziet, of wil zien, blijft het onbegonnen werk.
Daarom besteedt Sectra Communications, expert op het gebied van beveiligd communiceren, veel aandacht aan ‘awareness’ onder hun klanten en het eigen personeel. “We houden ieder half jaar intern een security awareness sessie,” vertelt Jeroen de Muijnck, Managing Director bij Sectra Communications. “Daarbij zetten we de zaken weer op scherp. Doen we allemaal nog wel de goede dingen? Gedragen we ons in het pand en daarbuiten nog altijd op de juiste manier? Welke incidenten zijn er langs gekomen? Wat hebben we daarvan geleerd, of wat kunnen we daar nog van leren? Ook onze klanten drukken we altijd op het hart: ‘Awareness omtrent security is alles’. Uiteindelijk maakt de klant zelf de keuze of hij de security wel aanzet of niet, en bij onze producten in het bijzonder ligt die keuze bij de eindgebruiker.”
Weigering
Bij een grote partij als een ministerie heeft de security officer een belangrijke stem in de keuze van leverancier van communicatiemiddelen. Secure telefoons worden aangekocht, de mensen worden getraind, maar uiteindelijk bepaalt de eindgebruiker zelf of hij dat beveiligde toestel gebruikt of een consumentenexemplaar. De Muijnck vertelt over Maxime Verhagen tijdens diens ministerschap. “Die wilde gewoon dat al zijn gesprekken en stukken binnenkwamen op zijn iPhone en iPad. Hij weigerde om te werken met de beveiligde apparaten die hij van het ministerie kreeg. Tja, als iemand op zo’n positie zo’n houding aanneemt, is dat een verloren zaak. Dit voorbeeld mag ik nu noemen, omdat het destijds in de publiciteit kwam en omdat Verhagen niet meer op die positie zit. Maar veel van wat ik nu meemaak, kan ik uiteraard niet vertellen. Ook Angela Merkel zelf gaat niet helemaal vrijuit, want die is te lang verknocht geweest aan haar oude partijtelefoon, zo’n oude Nokia. Kijk, die security officer hoeven wij niet te overtuigen. Het gaat om de eindgebruiker, vanaf de CEO tot en met de persvoorlichter. Zolang er onvoldoende awareness is loop je grote risico’s dat er laconiek mee wordt omgegaan. En dat zie je op elk niveau.”
Awareness-proces
De juiste balans tussen veiligheid en gebruiksgemak blijft hierin van doorslaggevende betekenis. Wanneer veiligheid absolute prioriteit heeft, ontkom je er niet aan in te leveren op gebruiksgemak. “Een van onze producten is een sterk beveiligd toestel,” vertelt De Muijnck. “Daarmee kun je alleen contact leggen met mensen die eenzelfde toestel hebben. Deze end-to-end encryptie wordt gebruikt door mensen op sleutelposities zoals regeringsleiders of generaals. Juist omdat er drempels zijn, geven we awareness-sessies bij klanten. In een awareness-proces gaat iedereen drie fases door. Tijdens de eerste fase worden vooral de drempels ervaren, zoals het intoetsen van een pincode, of dat de ontvangende partij het veilige systeem moet aanzetten. In de tweede fase spreken mensen elkaar erop aan als ze contact zoeken over een open lijn. ‘Nu kunnen we niet over die ene case praten.’ De fase daarna bestaat voornamelijk uit een gevoel van vrijheid ‘We kunnen nu eindelijk vrijuit met elkaar praten, zonder die constante dreiging van dat je mogelijk wordt afgeluisterd.’ Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid.”
Mission pack
Sectra Communication levert een awareness-sessie als onderdeel van een pakket om security naar een hoger niveau te liften. Helaas is er zelden ruimte voor een halfjaarlijkse herhaalsessie, vertelt De Muijnck. “Hierdoor komt de continuïteit van awareness in het gedrang. Met de MH17-ramp van afgelopen zomer kwam dat allemaal ineens in een stroomversnelling. Die mensen die in Oekraïne moesten werken, kwamen toen met een concrete klantvraag. Die wilden er toen zeker van zijn dat niemand met hen kon meeluisteren. In zo’n situatie hoeven we niet meer het waarom van security op dit niveau uit te leggen. Van die periode hebben wij geleerd dat we ad hoc moeten kunnen opschalen. Diverse partijen vanuit de overheid kwamen toen gelijktijdig bij ons met een acute vraag. Het is ons uiteindelijk gelukt om iedereen van dienst te zijn, maar dat was voor ons behoorlijk druk. Daarom hebben we er nu voor gezorgd dat er een mission pack klaarligt. In het onverhoopte geval dat er weer een crisis toeslaat, zijn wij beter dan ooit voorbereid op alle mogelijke klantvragen, zodat wij direct de juiste cryptomiddelen kunnen leveren, inclusief een awareness-sessie.”
Check-up
Het bewustzijn van de noodzaak van security moet continu worden wakker gehouden. De Muijnck: “De MH17-ramp, afluisterschandalen, de openbaringen van Edward Snowden en redelijk recent nog de hack met de Gemalto simkaart. Dit alles is nog niet uit het nieuws verdwenen of we zien alweer dat de awareness aan het inzakken is. Ik zie het dan ook als mijn taak om het belang van security te blijven onderstrepen en dat doe ik graag. Lage awareness willen wij graag verhogen met vervolgsessies of trainingen. In de huidige praktijk reikt de continuïteit van security tot een reguliere check-up van de ingezette cryptomiddelen. Dat is vooral een technische aangelegenheid. Hoe mooi zou het zijn als we zo’n check-up ook konden invoeren met betrekking tot de awareness van security? Idealiter worden onze spullen gebruikt vanuit die awareness en niet omdat er een crisis gaande is. Wij hebben liever geen crises meer die ons punt bewijzen.”
Strenge eisen
Het topsegment van security, end-to-end encryptie, vereist dat beide kanten van de communicatie met de Tiger-producten van Sectra werkt. Wel worden bestaande commerciële netwerken gebruikt. Deze telefoons, die Sectra Communications levert aan het topsegment, voldoen aan de strenge eisen van accreditatieorganisaties zoals NBV (Nationaal Bureau voor Verbindingsbeveiliging), diverse Europese instanties en de NAVO. Niet alleen de producten maar ook Sectra als bedrijf wordt hierbij gescreend op onderdelen als fysieke beveiliging en mensen.
Hiernaast levert Sectra een product dat eveneens voldoet aan een bijzonder hoog niveau qua security, maar dat via bestaande smartphones kan worden aangeboden. Daar wordt dan een klein stukje hardware en software aan toegevoegd, waarmee de telefoon voor Departementaal Vertrouwelijk niveau gebruikt kan worden. Met hooguit twee extra authenticatiestappen beschikt iemand over een veel veiliger communicatiemiddel – met end-to-end encryptie – en over de volledige functionaliteit van een normale smartphone.
