Grenzen open
Met de komst van internet, heeft ook de wereld van computers en software haar grenzen opengesteld. Elke organisatie heeft een digitale voordeur; een website. We zijn in staat om onze doelgroep snel te voorzien van informatie, maar het opent meer deuren dan dat. We hebben interactie met onze doelgroep. We zijn aan het ‘handelen’. Zo kun je bij veel gemeenten inmiddels verschillende aanvragen doen en bijvoorbeeld ook online afspraken maken.
Net als in de ‘echte wereld’ heeft deze openheid negatieve bijwerkingen. Zo zijn recent ook websites van gemeenten doelwit geweest voor hacks. De oplossing die vaak gekozen wordt is het bouwen van extra muren. Niets mis mee, maar bij het toepassen van het ‘defence in depth’ model leggen we teveel nadruk op het beschermen van de buitenkant, terwijl het gevaar ook vaak van binnenuit ontstaat.
Wie is de mol?
Een populaire methode van hacken is spear phishing. Hackers doen zich voor als een bekend persoon of bedrijf en proberen zo malware te installeren op een laptop van een medewerker. Recent voorbeeld is de poging tot aanval op het elektriciteitsnet in de V.S.
Maar de mol kan ook de medewerker zelf zijn. Zo werden de gegevens van twee miljoen Nederlanders gestolen door een gefrustreerde medewerker bij een energiemaatschappij, die toegang had tot centrale opslag van alle data.
Maar het meest spraakmakende voorbeeld is de bemoeienis van de Russen tijdens de Amerikaanse verkiezingen. Binnen de Democratische partij was er duidelijk sprake van onderschatting, lakse controle van identificatie, primitieve software en gebrek aan kennis van de systemen. Beveiliging had simpelweg geen prioriteit. Men had wel ‘wat beters te doen’.
Te complex
Het goede nieuws is dat, mede dankzij het IBD en incidenten zoals hierboven benoemd, security over het algemeen de juiste aandacht bij gemeenten krijgt. Veel gemeenten hanteren de BIG als leidraad voor de te nemen maatregelen. De 133 controls en 303 maatregelen richten zich niet alleen op de buitenmuren, maar belichten gelukkig ook zeker de interne kant.
Het minder goede nieuws is dat de daadwerkelijke implementatie ervan achterblijft. Het blijft vaak bij beleid, awareness creëren en het benoemen van de BIG normen. De vertaling naar daadwerkelijke oplossingen wordt vaak als zeer complex ervaren. En dat is zonde.
Misschien is dat wel de reden waarom in het eerder genoemde incident men wel ‘wat beters te doen’ had. En wellicht is de complexiteit van de daadwerkelijke problemen ook wel de reden waarom President Trump de grenzen sluit en een grotere muur laat bouwen.
Concrete oplossingen
Nee, ik heb niet de ambitie om Trump te voorzien van politieke adviezen. Wat we wel doen is onze klanten helpen. Dit doen we door een vertaling te maken van de controls en maatregelen naar concrete aanpassingen in de configuratie van onze softwaresystemen. De aankondiging van deze security assesments vind je in onze volgende nieuwsbrief.
Mocht je nu al meer informatie wensen, aarzel dan niet om contact met me op te nemen.