"Hang cruciale ICT-systemen niet aan internet"
Het beter beveiligen van ICT-systemen kan rampen voorkomen, wat betekent dat die mogelijk niet op internet moeten worden aangesloten. Daarvoor pleit Hans Wortmann, hoogleraar informatiemanagement aan de Rijksuniversiteit Groningen, in het Reformatorisch Dagblad. Volgens Wortmann is een belangrijke oorzaak van de beveiligingsproblemen die systemen tarten het zogeheten cloudcomputing.
Cloudcomputing is een logische ontwikkeling, want door schaalvergroting kunnen bedrijven goedkoper werken. "Vaak besteedt dat derde bedrijf delen van dat werk uit aan weer een ander bedrijf, en dat weer aan een volgende. De vraag is: hoe beveilig je je tegen hackers als die diensten elkaar aanroepen?", vraagt de hoogleraar zich af.
Loskoppelen
Die merkt op dat door deze verticalisatie de afhankelijkheden ook steeds groter worden. "Niemand weet meer precies hoe de verknoping van diensten in elkaar zit. Dat biedt ruimte voor acties van hackers, al dan niet met opzet. Miljoenen mensen maken er een spelletje van, en soms kan er een raak schieten." Daarbij zijn het niet alleen hackers die een ramp kunnen veroorzaken, het kan ook gewoon een ongeluk zijn, zoals de storingen bij iDeal, banken en telecomproviders regelmatig laten zien.
"Om problemen te voorkomen, moeten we cruciale systemen misschien loskoppelen van internet. Zoals er ook een telexnetwerk is dat nog altijd functioneert naast het telefonienetwerk. Wat je wilt, is een intrinsiek veilig systeem. Een systeem dat altijd kan terugschakelen naar een veilige situatie."
Bewustzijn
Als voorbeelden noemt Wortmann het zogenaamde Swiftnetwerk, waar het interbancaire verkeer op plaatsvindt, maar ook de gescheiden Defensienetwerken. Naast technische maatregelen pleit de hoogleraar ook voor een mentaliteitsverandering.
"Soms is er eerst een ramp nodig voordat risico’s onderdeel worden van het collectieve bewustzijn. Denk aan de zorgen die mensen sinds de ramp in Fukushima hebben over de gevaren van kerncentrales. Wat mij betreft zijn we net zozeer op onze hoede voor rampen als gevolg van het falen van ICT-systemen."
Aparte plaats voor zo'n artikel eigenlijk, het Reformatorisch Dagblad. Dat publiek is toch niet direct bekend om innovaties op het gebied van techniek.
Trouwens, gaat het nu om loskoppelen van internet ter beveiliging of het hebben van backups? Want telexnetwerk als alternatief voor telefonie doet natuurlijk niets aan beveiliging.
Een webwinkel heeft vaak geen cruciaal ICT-systeem, daarbij gaat het bijvoorbeeld om SCADA-systemen van de overheid of energiecentrales.
Niet alle cruciale systemen hangen direct aan het internet, maar als ze bijvoorbeeld in contact staan met een intern netwerk waar ook een mail en/of webserver op draait, die gecomprimeerd is heeft het helemaal geen zin meer. Alle systemen moeten voor het compleet scheiden redundant zijn voor een intern netwerk en voor extern. Dit zou ook betekenen dat pc's of alleen voor intern gebruik kunnen worden gebruikt of alleen aan het internet hangen. Een gekaapte pc kan met een reverse shell ook werken als proxy tussen het internet en het gesloten interne netwerk. Het compleet scheiden van systemen is gewoon niet mogelijk. Er kan natuurlijk wel gedacht worden aan een gevirtualiseerd intern netwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.