De kijk van Van Eijk: Veilig, hoezo?

Nogal vaak bestaat mijn werk uit praten over wijzigingen op firewalls. Organisaties willen namelijk meer en meer met elkaar communiceren, maar omdat dat veilig moet, hebben ze hun firewalls stevig dichtgezet. Het is dus meestal praten als Brugman om de simpelste zaken geregeld te krijgen.

De kniepeesreflex van veel organisaties is om per definitie alles te verbieden als het gaat om elektronische communicatie met de buitenwereld. Vooral de firewalls en webservers worden extra zwaar en extra duur opgezet. Besloten netwerken worden nog eens extra versleuteld. Telewerkers worden met speciale apparatuur uitgerust die niet goedkoop is en redelijk veel beheer kost.

Maar als we op bezoek komen bij deze organisaties blijkt nogal eens dat mensen die daar al een tijd niet meer werken nog steeds toegangsrechten hebben, of dat de zogenaamd geheime mailtjes netjes afgedrukt in de prullenbak liggen. Lopend over de afdeling zien we onder diverse beeldschermen briefjes geplakt met lange reeksen van rare lettertekens. Dat moeten de extra sterke wachtwoorden zijn. Ook handig voor de collega's.

Het is net of deze organisaties de voordeur flink op slot hebben gezet, maar vergeten zijn dat de achterdeur wijd open staat. Maar het kan nog erger. In een poging om volledig uit te sluiten dat malware de organisatie binnendringt wordt alle mail uitgebreid schoongewassen en als dat niet kan gewoon geweigerd. Jammer dat daarmee de versleutelde mail ook wordt tegengehouden. Die is onleesbaar voor derden, dat was de bedoeling. Maar daarom kan die niet gescand worden op virussen. Helaas pindakaas, uw mail kan uit beveiligingsoverwegingen niet beveiligd worden.

Zo gaan we natuurlijk geen veilige it maken. Wat nodig is, is gezond verstand dat de risico's kent, weet welke maatregelen genomen kunnen worden en in het belang van de hele organisatie de juiste afweging maakt tussen de kosten van problemen en de kosten van maatregelen om ze tegen te gaan.