Column: IT schandalen in Nederlands en Australisch parlement: Houdt onze politiek zich voldoende bezig met security?
We kennen allemaal wel een of meer schrikbarende verhalen over hackers die gevoelige informatie opsporen en vervolgens openbaar maken. Er bestaat echter een nog groter gevaar dan de hacker. Wat te denken van iemand die bij een bedrijf of organisatie van binnenuit gevoelige data opspoort, zoals programma's en strategieën van politieke partijen of informatie over de politici zelf? Als deze gegevens bij de media, belangengroepen of politieke tegenstanders belanden, dan zijn de gevolgen niet te overzien.
Zo'n lek is gevaarlijker dan een hacker die in het wilde weg opereert. Enkele recente voorvallen illustreren deze stelling. Zo werd onlangs vanaf de computer van een Australische parlementariër ingebroken bij een oppositielid. Er werden geheime beleidsstukken bemachtigd, pas later werd de computer voor onderzoek in beslag genomen door de politie. Enkele weken geleden moest een automatiseringsbedrijf alle computers van het CDA doorzoeken om de herkomst van een uitgelekt document vast te stellen. Hierin leken kiezers hun twijfels uit te spreken over (ex-) voorzitter Jaap de Hoop Scheffer. Hoewel het na onderzoek om een vervalsing bleek te gaan, was het kwaad al geschied.
Wat moet er gebeuren om de politiek te overtuigen van de noodzaak van optimale -interne- IT beveiliging? Veel instellingen en bedrijven implementeren veiligheidsvoorschriften, maar vinden het niet eenvoudig deze te handhaven. Ondanks het feit dat er technologische middelen bestaan, die alle netwerk-activiteiten monitoren en afwijkingen van deze voorschriften direct zichtbaar maken. Dit maakt het niet alleen eenvoudiger direct in te grijpen als er toegangsrechten worden overschreden, er gaat tevens een preventieve werking van uit. Laten we hopen dat er snel stappen worden ondernomen om het vertrouwen van de kiezer snel terug te winnen. Zeker nu.
Ben G. Laarhoven, Commercial Director CONSUL risk management
Over deze column
IT security en data-auditing zijn lange tijd ondergeschoven kindjes geweest. Er leek weinig belangstelling te zijn voor het monitoren en controleren van intern netwerkverkeer, terwijl er volop werd geïnvesteerd in firewalls om het gevaar 'van buitenaf' te bestrijden. Enkele jaren geleden stelde de FBI vast dat meer dan 80% van alle IT fraude van binnenuit werd gepleegd. Financiële instellingen en defensie begonnen interne dataprotectie-maatregelen te treffen. Inmiddels lijken steeds meer bedrijven en instellingen zich de noodzaak van interne beveiliging te realiseren. De recente aanslagen en gerelateerde ontwikkelingen hebben dit proces verder versneld. Daarom verschijnt vanaf nu de tweewekelijkse column, 'Meten is Weten', geschreven door de experts van het Nederlandse bedrijf CONSUL risk management.
Over CONSUL risk management
CONSUL risk management is wereldwijd toonaangevend op het gebied van multi-platform IT-beveiligingssoftware en gespecialiseerd in audit en administratie voor bedrijfsbrede IT-beveiliging.
De missie van CONSUL risk management is om het nummer één IT-Audit bedrijf te zijn. Door de combinatie van superieure producten en kennis op dit gebied, helpt CONSUL klanten een veilige IT-omgeving te creëren en te behouden, waarin vertrouwelijke informatie niet in verkeerde handen terechtkomt.
Wilt u meer weten over CONSUL risk management, dan kunt u te allen tijde contact opnemen via telefoonnummer +31 (0) 40 252 22 11 of via email: marieke@avante.nl. Ook kunt u rechtstreeks contact met CONSUL opnemen. Tel: +31 (0) 15 251 33 33 of www.consul.com.
Even een reclamebreak?
Volgens ons aller nationaal wordenboek is een column:
?co·lumn (de ~)
1 regelmatig verschijnende, ondertekende rubriek in een dag- of weekblad, met een eigen karakter => kolom
Inderdaad is het stuk ondertekend. Maar met een voortzetting van het eerste deel: Onvervalste reclame.
Ik verwacht van een columnist een opinie of een inzicht wat me op een of andere manier langer bijblijft dan de aanbeveling pampers te gebruiken. Dit stukje commercial stijgt niet boven de grauwe middelmaat van adverterend nederland uit. Wast nu nog witter, en houdt baby's billetjes nog langer droog.
In Ben's slotwoorden wordt er opeens naar een 'kiezer' verwezen, wiens 'vertrouwen' gewonnen moet worden. Denkt meneer Laarhoven dat Jaap de Hoop Scheffer niet 'gevallen' zou zijn als het rapport op een typemachine vervalst was? Wetgeving prima, maar dan wel de juiste wetgeving bij het juiste misdrijf. En een strikte Big Brother-policy in het bedrijf of de partij weerhoudt mensen er niet van het vervalste rapport bij de buurman of in het internetcafe te schrijven. Auditing is als anti-rimpel creme. Het belooft veel, maar echt iets bijdragen aan een oplossing doet het slechts in enkele specifieke gevallen. En een CDA'er met een hekel aan Jaap die ondanks de auditing op het werk een rapportje vervalst is zo dom dat 'ie ook op andere manieren wel tegen de lamp loopt.
Probeert meneer Laarhoven ons een wettelijk verplichte markt aan te praten voor auditing met als voornaamste argument dat er tegenwoordig van de PC gestolen wordt? Dat fraude tegenwoordig middels de baas z'n PC gedaan wordt? Vroeger nam je een handvol dossiers mee uit een ladekast, en bracht ze na een weekendje kopieeren netjes terug. Vroeger gapte je een bonnenblok of stapeltje factuurpapier.
In een bedrijf wat z'n zaakjes op orde had en heeft zijn dit soort dingen geen probleem. De uitkomst van het onderzoek van het automatiseringsbedrijf zal niet anders geweest zijn als die van een klassieke prive-dedective met poederkwast en loep: de dader heeft voldoende sporen achtergelaten. Op een partij-kantoor heeft het nooit anders gewerkt dan in het bedrijfsleven, en zal het ook nu niet anders werken.
Meneer Laarhoven heeft echt geen wetgeving nodig om een markt voor zichzelf te creeeren. Ik hoop dat de politiek slimmer dan dat zal blijken.
Ruben S.E.C. van der Leij, Intuhnettuh van het eerste uur en beroeps-cynicus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.