Steeds meer Nederlandse bedrijven, maar ook Overheidsorganisaties steken de kop in het zand als het onderwerp dataveiligheid aan de orde komt. Gedreven door besparing en bezuiniging wordt de veilgheid van data en het handelen over openbare netwerken gekenmerkt door achterstallig onderhoud. Men denkt te besparen door het niet verlengen van onderhoudscontracten waardoor updates en upgrades van software niet of te laat wordt uitgevoerd.
Op personeel wordt bespaard door vacatures waar voorheen een kundig securityengineer zijn werk deed, niet meer in te vullen en het werk te verdelen over het andere personeel. Hierdoor ontstaat een 'kennisgap' dat al snel kan leiden tot gaten in de beveiliging. Door onvoldoende kennis van nieuwe mogelijkheden, gedreven door de steeds snellere invoering van nieuwe apparatuur zoals smartphones en tablets, ontstaat er druk vanuit de gebruikers op de it-organisatie om deze middelen op het zakelijk netwerk toe te laten. Als dat niet snel genoeg gaat ontstaat er een klimaat waarin werknemers zelf op zoek gaan naar mogelijkheden om hun privé middelen te koppelen op de data van de organisatie. Ik hoef je hopelijk niet te vertellen wat daar uiteindelijk de uitkomst van zal zijn.
De afgelopen twee jaar hebben we een nieuwe 'hype' zien ontstaan, iets wat vroeger gewoon netwerkbeveiliging heette noemen we nu 'CyberSecurity'. In no-time hadden we in Nederland honderden 'cyberspecialisten' die kansen zagen om hun persoonlijk imago een uplift te geven. Sprekend met een Nato Generaal afgelopen vrijdag, gaf die ook te kennen dat er in het voorbije jaar veel te hoog werd ingeschoten op cyber (politiek) waardoor ook het beslissingsniveau voor de meest nietige zaken nu op een veel te hoog niveau ligt. Het wordt nu zo langzamerhand tijd dat we de aandacht van de 'sprekers' afwenden en ons weer gaan bezighouden met de echt belangrijke zaken op het gebied van databeveiliging.
Gelukkig zijn er nog steeds een groot aantal echte specialisten in de markt die niet spreken over Cybersecurity maar er gewoon voor zorgen dat onze data nu en in de toekomst veilg blijft opgeslagen en getransporteerd. Overigens is het nog altijd zo dat in een keten van veiligheid de mens, lees gebruiker, de zwakste schakel is. Je kunt als organisatie nog zoveel regels (policies) verzinnen maar als de gebruiker zich er niet aan houdt en als een en ander niet op de juiste manier wordt afgedwongen, dan heb je nog niets.
Als we een onderzoek zouden doen naar die organisaties die hun beveiliging het best op orde hebben wat zou daar dan de uitkomst van zijn? Ik denk:
1. De banken en dan vooral de banken die online transacties faciliteren
2. Multinationals die zaken doen met Defensie (zoals EADS, Thales)
3. Overige Multinationals
4. Centrale Overheid en daarbinnen: Defensie, Justitie, BuZa en Binnenlandse Zaken (incl Politie)
5. Gezondheidszorg op een gedeelde plaats met energie- en waterbedrijven
6. De-centrale overheid (provincies, gemeenten, waterschappen)
7. midden- en kleinbedrijf (mkb)
Mocht je hier anders over denken of aanvullende informatie hebben, dan hoor ik dat heel graagl. Ik besluit met hier de wens uit te spreken dat we er in 2013 in slagen om Nederland Digitaal veilig te houden.
Reacties
Beste Ad, mooi artikel. Ik vraag me af of je opsomming van bedrijven en haar beveiliging ook daadwerkelijk zo is. Daarnaast vraag ik me ook af, welk deel van je data wil je precies beveiligen.
Heel veel data is vaak te onbelangrijk om zelfs maar te beveiligen, echter sommige stukken, en je opsomming en volgorde van bedrijven geeft een goed beeld, moeten zeer goed gebeuren. Wat je ziet is dat ze alles op de zelfde manier beveiligen met als resultaat dat niet essentiele data te goed en zeer essentiele beter zouden kunnen.
Daarnaast is je opmerking mbt de politiek zeer treffend. Alles wat publiciteit opleverd wordt door de politiek opgepikt, terwijl de essentie, goedkope, goed beveiligde centrale IT voor de overheid niet besproken wordt.
Ik heb nooit begrepen waarom elke gemeente, provincie en overheidsdienst haar complete eigen informatie voorziening moet hebben. Ik denk dat we kunnen stellen dat er per overheidsdienst weinig verschillen zijn. Die kleine verschillen kunnen als separate diensten gepakt worden.
Gaan we het mee maken dat we over de inhoud praten en de problemen oplossen:-) Wellicht dat 2013 op beveiligings en centrale Informatie voorziening echt van de grond komt.
Ad,
Een leuk stuk wat terecht aandacht vraagt voor een groeiend probleem maar ook iets heel belangrijks onbesproken laat, namelijk de rol van hackers. En dan bedoel ik niet de criminelen die inbreken in systemen om zich te verrijken maar de experts die bedrijven attenderen op fouten in hun beveiliging. In plaats van foutje, bedankt reageren veel bedrijven (en de overheid) namelijk nogal aggresief op dit soort hulp. Praatjesmakers gaan bijvoorbeeld direct tot de aanval over met een batterij advocaten om zo hun straatje schoon te vegen terwijl getroffenen, de klanten waarvan de gegevens op straat liggen maar heel beperkt zijn in hun mogelijkheden om een schadevergoeding te krijgen. Wat dat betreft zou ik ook nog eens kritisch naar je lijstje kijken omdat alleen het midden- en kleinbedrijf werkelijk getroffen wordt bij achteloosheid in de beveiliging.
Misschien dat dit met nieuwe (Europese) regelgeving gaat veranderen omdat lange tijd de rol van de toezichthouder (CBP) niet meer was dan een papieren tijger. Ben echter bang dat het weer averechts uit gaat pakken want vaak is beveiliging voor de grote jongens gewoon een economische afweging. Neem als voorbeeld maar eens de schade die geleden is door skimmen en hoe lang het duurde voordat magneetstrip vervangen werd. En wordt er uiteindelijk wel een sanctie opgelegd dan stroomt deze nog vaak rechtstreeks de staatskas in, net als boetes voor prijsafspraken maar dat terzijde.
Ad,
mooi artikel. Laten we inderdaad nu weer eens de handen uit de mouwen steken in plaats van al die pep-talks die we onderhand wel genoeg gehoord hebben.
Mijn gevoel, als ex-Security Consultant, zegt dat Nederland langzamerhand steeds meer de goede kant op gaat. Eindelijk kunnen we ons in de voorste gelederen bewegen en hebben we zelfs een Europees Cyber Centrum in het land.
Ook de bewustwording neemt nog steeds toe, maar veel te langzaam. De mens is inderdaad de sleutelfactor. Scholen zouden hier ook nogf aan kunnen bijdragen maar die hebben het zogezegd al zo druk?
Laat de politiek op dit gebied maar eens 'kamerbreed' goed prioriteiten stellen in plaats van hap-snap beleid. We hebben de kennis en kunde maar het moet gedaan worden in plaats van erover te praten.
Ook MKB loopt nog flink achter en particulieren des te meer en die vormen ook een hoeksteen in de maatschappij en met beveiliging.