Het programma Zembla ging donderdag 3 juni in op de echte en vermeende gevaren van inbraken via het Internet op bedrijfsnetwerken.

Alhoewel een zeker sensatiegehalte niet vreemd was aan het programma is het probleem dat aan de orde werd gesteld zeker actueel: de toenemende risico's die ontstaan door koppeling van bedrijfsnetwerken via het Internet dat naast grote mogelijkheden ook vele bedreigingen kent. In feite is aangetoond dat beschikbare beveiligingsmaatregelen niet ingezet worden. Wat is er eigenlijk aan de hand? Er is sprake van twee tegengestelde bewegingen die risicoverhogend werken:

1. Bedrijven en instellingen bieden steeds meer diensten en functionaliteit aan via het Internet. De rol van het Internet wordt daardoor steeds bedrijfskritischer. De beschikbaarheid van nieuwe technieken als breedband- en draadloze verbindingen, via devices als laptops, PDA's en mobiele telefoons fungeert hierbij als katalysator.

2. Het Internet is een afspiegeling van de maatschappij, met zijn goede "en" slechte kanten. Aangezien er geen tijds- of fysieke grenzen zijn op het Internet kunnen bedreigingen zich 24 uur per dag vanuit de hele wereld manifesteren. De toenemende spanningen in de wereld vergroten deze dreiging alleen maar.

Tegelijkertijd zorgt het slechte economische klimaat er voor, dat er minder geld beschikbaar wordt gesteld om informatiebeveiliging adequaat in te richten; men beperkt zich tot de hoogst noodzakelijke investeringen of stelt deze uit.

Zembla gaat echter voorbij aan de kern van het probleem. Die kern van de zaak is uiteindelijk het "bewustzijn" inzake informatiebeveiliging; natuurlijk is het zo, dat het betrekkelijk eenvoudig is om die encryptie te activeren op een Wifi-verbinding, een goede firewall te installeren of eens een audit of penetration-test op het bedrijfsnetwerk uit te laten voeren, maar men "doet" het niet! Bij het ontwikkelen van nieuwe diensten of het aansturen van processen staat de functionaliteit centraal en is beveiliging meestal het 'stiefkindje', "als" het al aan bod komt. Beveiliging zit niet 'tussen de oren', zeker niet in een land als Nederland dat tot dusver niet te maken heeft gehad met ernstige beveiligingsincidenten of terroristische aanslagen. Nederland bevindt zich wat dit betreft echter niet op een eiland - het Internet is er altijd en overal. Zoals zo vaak, zal het hoogstwaarschijnlijk eerst fout moeten gaan voor men wakker schrikt en de noodzakelijke maatregelen neemt.

De vraag die uiteindelijk moet worden gesteld is: "waarom" moet ik "wat" beveiligen en "hoe". Welke risico's loop ik en welke daarvan moet ik afdekken? Niet alles is immers even kritisch of gevoelig voor compromittering - het heeft geen zin om een soort paranoia te creeeren waarbij een doemscenario wordt voorgespiegeld als 11 september. Daarmee loop je het risico dat er lacherig over wordt gedaan en dat je je doel voorbij schiet. Hierin schoot Zembla een beetje door. Wel is het zaak het bewustzijn te vergroten over de mogelijke gevaren en een bepaalde 'sense of urgency' teweeg te brengen dat we dit niet kunnen laten rusten, maar op professionele wijze dienen te benaderen.

Keurmerk zinloos zonder terugkerende controle op naleving

De overheid zou moeten werken aan vergroting van het bewustzijn door via publieke campagnes meer informatie te verstrekken. Hierdoor vervult zij een initierende rol waarbij het proces om meer aan informatievebeiliging te doen op gang wordt gebracht. Het aanscherpen van de regelgeving inzake een adequate
informatiebeveiliging leidt automatisch tot een hogere mate van bewustzijn maar moet wel gericht en doeltreffend zijn. Belangrijke voorwaarde hierbij is, dat het om een constant proces gaat; informatiebeveiliging staat niet stil, maar het is
voortdurend aan verandering onderhevig. Als je dus een keurmerk in het leven roept, heeft dat alleen zin als dit regelmatig wordt getoetst, net als bijvoorbeeld het ISO-9001 keurmerk of de APK-keuring. De ISO 17799-norm voor informatiebeveiliging zou hiervoor een goede basis kunnen vormen. Controleer je niet regelmatig, dan is het keurmerk binnen de kortste keren een wassen neus.

Tot slot is de overheid uiteraard ook de bewaker van onze grenzen en van de nationale infrastructuur (electriciteit, gas, water, telecom, spoor- en wegennet) die ervoor zorgt dat de BV Nederland blijft draaien. Aangezien deze grenzen steeds meer vervagen, de afhankelijkheden steeds groter worden en door liberalisering de controle steeds moeilijker wordt, ligt hier wel een duidelijke taak.Het bewaken van de beschikbaarheid van deze infrastructuren (en daartoe behoort ook het Internet zelf!) en zorgdragen voor een adequate beveiliging daarvan, zou een grotere mate van aandacht verdienen dan het nu krijgt.De in Zembla gedane suggestie van coordinatie van de expertise op dit vlak in een soort 'digitale NSA', politie of AIVD lijkt op zich zinnig. De aard van de materie is grensoverschrijdend, dus zou in Europees en in wereldwijd verband het nodige kunnen worden gecoordineerd. Uiteraard kunnen we leren van de ervaringen in de VS waar men, met het 'Homeland'-initiatief, op dit vlak al verder is.

In tegenstelling tot wat in Zembla werd beweerd - en met doemscenario's en bangmakerij in feite in de week is gelegd - houdt dit "niet" automatisch in dat de overheid zich meer rechten mag toeeigenen. Door in te grijpen op de privacy wordt de vrijheid van het individu onnodig aangetast. De huidige wetgeving biedt nog voldoende ruimte om in te grijpen. Zoals eerder aangegeven: security moet je "doen".

Dit commentaar is geschreven door Leo Willems, Chief Security Officer van "TUNIX Internet Security & Opleidingen".

De documentaire van Zembla is terug te zien in:
Realplayer High|Low
Windows Media High| Low