1 december 2009

Beveiliging stelt grenzen aan interoperabiliteit (5)

image for Beveiliging stelt grenzen aan interoperabiliteit (5) image

‘Cybercrime’ – misbruik van informatie op internet – wordt krachtig bestreden in internationale samenwerking van justitie, politie, inlichtingen-, bewakings- en opsporingsdiensten, serviceproviders en softwareleveranciers. GOVCERT.NL is het Computer Emergency Response Team (CERT) van de Nederlandse Overheid (GOV). Dag en nacht waakt GOVCERT over de veiligheid van informatie-uitwisseling tussen en met organisaties die overheidstaken vervullen.

‘Cybercrime’ – misbruik van informatie op internet – wordt krachtig bestreden in internationale samenwerking van justitie, politie, inlichtingen-, bewakings- en opsporingsdiensten, serviceproviders en softwareleveranciers. GOVCERT.NL is het Computer Emergency Response Team (CERT) van de Nederlandse Overheid (GOV). Dag en nacht waakt GOVCERT over de veiligheid van informatie-uitwisseling tussen en met organisaties die overheidstaken vervullen. GOVCERT werkt aan het voorkomen, signaleren en oplossen van beveiligingsincidenten en aan het vergroten van het veiligheidsbesef bij het grote publiek en binnen (overheids)organisaties. 

Computerveilige overheid
GOVCERT.NL timmert ook internationaal aan de weg. Het GOVCERT-symposium 2009 mocht op 6 en 7 oktober een recordaantal van vijfhonderd deelnemers uit binnen- en buitenland verwelkomen in Rotterdam. Staatssecretaris mevrouw Bijleveld sprak hen toe. Wat haar betreft staat informatiebeveiliging hoog op de internationale bestuurlijke agenda, want het is een echt belang voor mensen die zich daar nog onvoldoende van bewust zijn. Internet is niet veilig; cloud computing is ongeschikt voor officiële zaken. Toch vertrouwen wij aan allerlei, ook (overheids)diensten die van internet gebruik maken, informatie toe die wij niet zonder meer aan papier zouden toevertrouwen. Criminelen liggen op de loer en nemen steeds weer een voorsprong op de beveiligingsmaatregelen die worden getroffen. Binnen de rijksoverheid loopt een programma voor de Chief Information Officers (CIO’s) die hen meer bewust moeten maken van hun verantwoordelijkheid voor een computerveilige overheid. Wat vooral nodig is, is organisatie- en gedragsverandering. Initiating change was dan ook het motto van het symposium – en daar moeten met name de CIO’s voor zorgen.
Een van de inleiders constateerde dat bij bedrijven de macht van CIO’s afneemt en business units zelf bepalen hoe zij van internet gebruik maken – veilig, of niet.

Veiligheid verkoopt niet 
‘Cloud computing’ is het nieuwe buzzword voor alles wat internet te bieden heeft aan vaak heel oppervlakkige, vluchtige diensten en communicatiemogelijkheden. Programma’s en gegevens hoeven niet langer op de eigen computer te staan: via internet worden programma’s als dienst aangeboden (Software as a Service, SaaS) en gegevens gebruikt zonder te weten waar ze precies vandaan komen. “Your data on someone elses harddrive” – zo drukte een van de expertinleiders het treffend uit. Wij zoeken met Google, verrichten elektronisch onze betalingen, bestellen onze boeken en boeken onze reizen op internet, communiceren met gmail en MSN, zetten ons portret op Facebook, vertrouwen persoonlijke gegevens toe aan LinkedIn, Plaxo en dating-sites: overal laten wij onze sporen achter in de internetwolk. De aanbieders van deze handige diensten hebben er maar tot zekere hoogte belang bij hun systemen goed te beveiligen voor de klant. Voor het vertrouwen van het publiek is – afhankelijk van de dienst – een bepaald beveiligingsniveau noodzakelijk. Maar het publiek zelf gaat nogal slordig om met gegevens en vindt wachtwoorden en andere beveiligingsmaatregelen vaak hinderlijk. Aanbieders houden de toegangsdrempels tot hun diensten dan ook liefst zo laag mogelijk; beveiligingsmaatregelen zijn kostbaar en absolute veiligheid kan niet worden verzekerd. Tijdens het GOVCERT-symposium demonstreerden hackers – in besloten bijeenkomsten, waar de pers niet welkom was – hoe eenvoudig bij populaire websites gebruikersnamen en wachtwoorden kunnen worden achterhaald, waarna het een koud kunstje is om een transactie over te nemen. Het probleem is, dat ‘veiligheid’ slecht verkoopt. ‘Veiligheid’ is een gecompliceerd en duur product dat niet zal werken als niet ook de nodige organisatorische maatregelen gedisciplineerd worden toegepast. Het is eenvoudiger om in te spelen op de ‘winstkansen’ van de klant, dan op zijn risico’s.

Hoe ver moet je gaan?
In zekere zin staat ‘beveiliging’ haaks op ‘interoperabiliteit’.
Als gegevens versleuteld worden verzonden – als encryptie wordt toegepast – kunnen die gegevens niet meteen worden gebruikt, maar moeten eerst ontcijferd worden. Altijd is er dan een neutrale derde instantie nodig die de sleutel beheert.
Interoperabiliteit is ook in het geding waar iedere dienst aanbieder er eigen toegangs- en beveiligingsprotocollen op nahoudt. Bij cloud computing worden nog maar weinig uniforme standaards toegepast voor identificatie en authenticatie.
Veilige, herbruikbare producten en diensten (ID as a Service, IDaaS) staat nog in de kinderschoenen, maar zij zullen geen gretige aftrek vinden zolang dienstaanbieders hun eigen, goed kopere voorzieningen treffen en het publiek er niet om vraagt om overal op dezelfde wijze, veilig te kunnen inloggen.

Verdacht
Hoe ver moet je gaan bij de bestrijding van cybercrime? Internet omspant de hele wereld, daarom kan alleen internationale samenwerking effectief zijn. In de internationale samenwerking krijgt computercriminaliteit vooral veel aan dacht in relatie tot een ander internationaal fenomeen: het terrorisme. Internationale en Europese regelgeving leidt ertoe dat steeds meer gegevens moeten worden bewaard over alle verkeer dat telefonisch en via internet plaatsvindt. De database het Centraal Informatiepunt Onderzoek Telefommunicatie, waar deze gegevens voor Nederland worden bewaard, wordt per jaar maar liefst drie miljoen keer geraadpleegd door politie en justitie. De gegevens mogen worden geraadpleegd wanneer er een vermoeden is van betrokkenheid bij een serious crime. Dat begrip heeft in Nederland een nogal ruime strekking; zo valt bijvoorbeeld ook ‘belediging’ er onder. Zo kan iedereen wel ‘verdachte’ zijn. Nederland zou ook wereldkampioen zijn waar het gaat om het plaatsen van telefoontaps – maar waarschijnlijk worden in totalitaire regimes meer taps geplaatst dan uit de officiële cijfers, als die er al zijn, blijkt.

Kwaliteit
Hoe ver moet je, binnen de eigen organisatie, gaan met het treffen van beveiligingsmaatregelen? Welke algemene (architectuur)principes moeten worden toegepast? Een algemeen antwoord op deze vraag wordt gevonden in het conceptkatern Informatiebeveiliging, dat onderdeel moet worden van de Nederlandse Overheids Referentie Architectuur (NORA). Wat onmiddellijk opvalt, is dat ‘informatiebeveiliging’ wordt gezien als een kwaliteitsaspect, als een onderdeel van kwaliteitszorg. Kwaliteit heeft in het algemeen een prijs, en dat geldt voor beveiliging ook. Ook beveiliging moet in goede verhouding staan tot het belang dat gediend moet worden en de afbreukrisico’s die eraan zijn verbonden. Aan minimale, bij voorkeur wettelijk voorgeschreven, eisen en normen zal echter altijd voldaan moeten worden.
In het katern wordt een stelsel van beveiligingsorganisatie en -maatregelen geschetst dat bouwt op algemene principes en uitgangspunten en daarenboven ruimte laat voor differentiatie: niet elk systeem is even belangrijk en vraagt om even stringente beveiliging. Niet elk patroon van informatie-uitwisseling is even complex en kwetsbaar. Voor elke soort van systemen en informatie-uitwisseling moet er een risicoprofiel zijn; waar de (extra) beveiligingsvoorzieningen op moeten worden afgestemd. Het risicoprofiel van informatiesystemen bij de overheid zal doorgaans hoog zijn, gezien de te beschermen privacy van de burger en de veiligheid van de staat.
Het volgen van de aanbevelingen die uit het katern Informatie beveiliging voortvloeien – onder meer, het doorvoeren van ‘zonering’ door het toepassen van verschillende risicoprofielen en het scheiden van ontwikkel-, test- en productie- en backupsystemen en verplichte, gecertificeerde ‘In Control Statements’ en rapportages, zal voor niet iedere (kleinere) overheidsorganisatie even eenvoudig zijn, gelet op de vaak beperkte financiële en personele middelen die voorhanden zijn.

Afwegen van risico’s
En als gezegd: beveiliging kan ook hinderlijk zijn als je snel – bijvoorbeeld bij een calamiteit – gegevens nodig hebt. Het treffen van doelmatig en proportionele beveiligingsmaatregelen is dan ook een zaak van zorgvuldige (risico)afweging, het NORA-beveiligingskatern is mede te gebruiken als een afwegingskader. Maar eerst en vooral is meer bewustzijn nodig en moet het belang van beveiliging en wat er aan wordt gedaan, nog beter zichtbaar worden gemaakt. Daarvoor zorgt onder meer GOVCERT. 

kees.duyvelaar@vng.nl