Uw baas snapt vast ook niets van beveiliging

Om hun positie waardig te zijn, moeten bestuurders hun kennis over informatiebeveiliging ernstig bijspijkeren. Een terecht advies, want ze maken zichzelf nu belachelijk.

Eigenlijk zegt de Onderzoeksraad voor Veiligheid het ook in een rapport van afgelopen week: bestuurders bemoeien zich nauwelijks met informatiebeveiliging, want ze ontberen de kennis. Dat is een van de lessen die we moeten trekken uit het drama rond DigiNotar.

Gebrek aan daadkracht
Natuurlijk was de conclusie dat het bedrijf zelf fors zijn boekje te buiten ging door de inbraak niet te melden. Maar ook de overheid schoot ernstig tekort door niet strikt op het uitbestede werk toe te zien en teveel op audits te vertrouwen. De overheid wist dat er ellende in de lucht hing, want al in mei waarschuwde ze voor aanvallen.

Daadkrachtig bestuur ontbrak echter, en dus was de uiteindelijke hack toch een verrassing voor de overheid. De onderzoeksraad ging op onderzoek uit en keek ook bij de Sociale Verzekeringsbank, de Belastingdienst en diverse gemeenten. De conclusie is dat beveiliging gewoon niet leeft onder bestuurders. Tjibbe Joustra adviseert dat er, net als kennis over financiën, ook kennis rond beveiliging in de bestuurskamer hoort te zijn.

Symptomatisch
Bij de hack op DigiNotar was de onkunde evident en later, toen ik Lektober organiseerde, werd de omvang van de onkunde helder. Er is elke dag wel een nieuwe hack te melden. Binnen de industrie is dat al langer bekend en zijn er volop grappen over gebrekkig management.

In de fysieke wereld zien we deze problematiek ook. Wie gaat vliegen, moet nagelschaartjes inleveren. Dat is een reactie op de aanslagen van 11 september 2001. Maar de messen waren slechts instrumenten, en zijn eigenlijk door van alles te vervangen. Het échte probleem is dat een terrorist met zulke plannen niet op een luchthaven thuishoort, en dat oplossen is minder eenvoudig.

Net zo onlogisch is de uitvoering van het verbod op vloeistoffen. Op de luchthaven pakt de bewaker het potentiële explosief af en deponeert het in een grote ton. De rest van de dienst staat hij daar doodkalm naast, alsof er ineens geen explosief gevaar meer is.

Liften hacken
Vorige week mocht ik een nacht doorbrengen in het Kurhaus en werd mij verteld dat mijn kamerpas ook de lift bediende. Maar het beveiligingssysteem was nep en je hoeft niet eens hotelgast zijn om op de executive floor te kunnen komen:

Niet onschuldig
Domme maatregelen zoals de voorbeelden lijken onschuldig, maar zijn het niet. Los van het feit dat we recht hebben op echt doordachte beveiliging, geldt nog iets: euro’s en menskracht zijn schaarse goederen. De inzet moet dus effectief zijn. Digitaal zijn veel managers al blij te kunnen verkondigen dat ze een firewall hebben, en dat moet het dan zijn. Maar ja … een firewall had DigiNotar ook. Het punt was dat hun netwerk een puinhoop was.

Het rapport van de Onderzoeksraad geeft hoop. Niet in de laatste plaats omdat ze stellen dat bestuurders ook hun beveiliging transparant moeten verdedigen. Zij leggen de vinger bij herhaling op de zere plek. Bestuurders moeten dus op bijscholing. Dat wordt een verademing, want dan gaat het verstand en niet de angst regeren.

Ondertussen doen ze bij de Vereniging Nederlandse Gemeenten wat verstandig is: actieve ondersteuning aan bestuurders bieden. Nu het ministerie van Binnenlandse Zaken nog, want dat schuift het probleem weer van de overheid naar de burger. Misschien moeten zij hun nagelschaartjes inleveren en verantwoording nemen. Dus: zinvolle gegevensbescherming of gewoon onze data niet verwerken.

————————
Volg HP/De Tijd ook op Twitter!