Beveiliging is een managementprobleem
Als er een hack is, of een lek wordt gevonden, dan wijzen veel mensen naar de techniek en de problemen die er spelen. Maar eigenlijk misken je daarmee het echte probleem. De techniek faalt op het moment dat management heeft gefaald. Ook deze week bleek dat weer.
Natuurlijk gaat dat niet in alle gevallen op, maar het patroon is wel herkenbaar in zowel ICT als in het fysieke leven. Toen de Spaceshuttle Challenger explodeerde was de oorzaak een falende rubber ring in combinatie met wind. Je zou het pech kunnen noemen, ware het niet dat een ingenieur precies hiervoor had gewaarschuwd op de vooravond van de lancering. Het management negeerde het probleem.
Slechte managementcultuur
De conclusies van het onderzoek naar de ramp bleken voorspelbaar: de managementcultuur schoot tekort. Bijna twintig jaar later concluderen NASA dat ook bij het desintegreren van Spaceshuttle Columbia het management gevaren onder het tapijt probeerde te vegen. Opnieuw werd de managementcultuur aangemerkt als het grootste veiligheidsprobleem.
Precies dit soort zaken zien we ook in de ICT. Toen de Onderzoeksraad voor Veiligheid onderzoek deed naar de inbraak bij Diginotar, was een van de lessen dat beveiliging niet leeft in de bestuurskamer. Het ontbreekt aan interesse en expertise, en de lessen uit het verleden worden onvoldoende getrokken. Geen van de conclusies van de Onderzoeksraad zei ook maar iets over techniek.
Herhaling van zetten
Dit zien we vaker. De meeste datalekken komen voort uit een type lek dat de database opent voor onbevoegden. Het voorkomen van het probleem is eenvoudig en een kwestie van willen. Want nieuw is het probleem niet. We kennen dit type lek al sinds de jaren ’90, en nog altijd wordt het niet gedicht. Het maakt niet uit of het GGZ-instellingen, persoonsgegevens van bekende Vlamingen en Nederlanders, gebruikers van websites bij de publieke omroep of kaartjesverkopers voor concerten betreft.
Veel hacks gebeuren keer op keer, omdat de software verouderd is. De inbraak bij KPN was mogelijk door oude software met bekende zwakheden. Precies datzelfde lek was ook de oorzaak dat bij het Groene Hart Ziekenhuis kon worden ingebroken. En verouderde software was ook de oorzaak van de inbraak bij Diginotar. Allemaal op te lossen door een punt te maken van goed systeembeheer.
Toespraak van Koningin
En dinsdag was het opnieuw zover. Het onderzoeksrapport naar het te vroeg beschikbaar komen van de kersttoespraak van de koningin werd gepubliceerd. Wat was de hoofdconclusie? Het management faalde: men hield zich niet aan regels, voerde geen controles uit en liet grote steken vallen op beveiligingsgebied. Eigenlijk was er geen beveiligingsbewustzijn.
En het management in de rol van de Chief Information Officer? Die kwam pas 8 januari in beeld toen de rel voorbij was en er al maatregelen waren getroffen. Om de spreekwoordelijke put te dempen. Beveiliging is gewoon een managementprobleem, en dat moet bestuur leren accepteren.
—
Download de gratis app van Tablisto om ons maandblad op uw tablet te lezen
Volg HP/ De Tijd op Twitter
