Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Jaarlijkse securitycheck: wel/niet?

Dit artikel delen:

Computable Expert

Erno Doorenspleet
Vice President Security Strategy , KPN security. Expert van Computable voor de topics Security, Digital Workplace en Internet of things.

Banken, accountants en it-auditors overwegen een jaarlijkse veiligheidscontrole van de it-systemen in te voeren. Het plan roept de nodige weerstand op onder securityexperts. Is zo’n jaarlijkse security-apk een slecht idee? Of moeten we het een kans geven?

Norea, de beroepsorganisatie van it-auditors, is bezig met de ontwikkeling van de IT-Auditverklaring. Deze verklaring moet organisaties in de toekomst ‘aanvullende zekerheid’ geven over de weerbaarheid van hun it. In hoeverre is een bedrijf bestand tegen hackers en ernstige it-problemen? Wat wordt er gedaan om herhaling van incidenten te voorkomen?

Een gespecialiseerde it-auditor, bijvoorbeeld van een groot accountantskantoor, zal de verklaring uitgeven. Het is nog niet bekend wat er precies in staat. 

Voor- en tegenstanders

"Technisch directeur van BIT Datacenters sprak van een ‘ontzettend dom idee’"

De kritiek vanuit de securityhoek is niet mals, meldde het FD. Zo denkt Roel van Rijsewijk, directeur cyberbeveiliging bij Thales, dat een dergelijke verklaring vooral tot een hoop bureaucratie leidt. Dat zou juist afleiden van de verdediging tegen cyberaanvallen.

Alex Bik, technisch directeur van BIT Datacenters, sprak zelfs van een ‘ontzettend dom idee’. Hij zet vraagtekens bij de motieven van de initiatiefnemers. 'Dit klinkt als de financiële wereld die probeert meer geld te verdienen.'

Toezichthouder Agentschap Telecom is juist positief over het plan. Dat geldt eveneens voor brancheorganisatie Digitale Infrastructuur Nederland. 'Dit is typisch een reactie van techneuten', vindt directeur Michiel Steltman. 'Hun kritiek is vaak dat het management de zaken niet op orde heeft. Deze audits richten zich daarop, daar zouden ze juist blij mee moeten zijn.' Steltman verwacht dat een positieve it-verklaring de kans verkleint dat een bedrijf gehackt wordt.

Technische expertise niet aanwezig

Het is logisch dat accountantskantoren enthousiast zijn over het plan. De markt voor cybersecurity groeit jaarlijks met bijna tien procent. Wellicht zien zij mogelijkheden om hiervan te profiteren. Maar laten we wel zijn: it-security is niet hun specialisme. Een oppervlakkige audit van it-processen is echt iets anders dan een volwaardige securityanalyse. Gaan accountskantoren dan ook op zoek naar technische kwetsbaarheden, bijvoorbeeld via pentests? Die expertise hebben zij niet in huis.

Je kunt je ook afvragen in welke mate een jaarlijkse it-controle zekerheid geeft over de digitale weerbaarheid van een bedrijf. Cybersecurity is geen eenmalige oefening, want de bedreigingen evolueren. Als securityexpert ben je continu bezig met het inventariseren van risico’s en het aanscherpen van securitymaatregelen. Een dergelijke verklaring kan tot gemakzucht leiden. ‘We hebben een voldoende gekregen, dus voorlopig zitten we weer goed.’ Zo creëer je een gevoel van schijnveiligheid. 

Er zijn ook praktische obstakels. Kennis van cybersecurity is duur. Een diepgaande beveiligingscheck kost al gauw vele duizenden euro’s. Grote multinationals kunnen dat zich welllicht nog veroorloven, maar de rest van het bedrijfsleven zal hier moeite mee hebben.  En mocht zo’n verklaring voor elke organisatie verplicht worden, wie gaat al die technische controles uitvoeren? Zijn er in Nederland wel genoeg securityexperts die dit kunnen? Waarschijnlijk niet. Dit personeel moeten we eerst opleiden.

Laagdrempelige controle

"Waarom beginnen we niet met een ‘light’-variant, een laagdrempelige scan gericht op de belangrijkste it- en securityprocessen?"

Toch mag de securitybranche dit idee niet zomaar afschieten. Ja, er zijn twijfels over de huidige opzet en misschien komt dit initiatief uit de verkeerde hoek. Maar het idee zelf is niet verkeerd. Cybercriminaliteit is een van de grote uitdagingen van deze tijd. De schade voor het bedrijfsleven en de overheid is immens. Er moet iets veranderen. Elke organisatie zou de basisbeveiliging op orde moeten hebben. Het is goed als daar strakker op wordt toegezien.

Waarom beginnen we niet met een soort ‘light’-variant? Een laagdrempelige scan gericht op de belangrijkste it- en securityprocessen. Denk hierbij aan essentiële zaken zoals het wachtwoordbeleid, het tijdig installeren van beveiligingsupdates en het maken van backups. Juist op die punten gaat het vaak fout. Zo’n controle vergroot de bewustwording en is betaalbaar voor elk bedrijf. Bovendien kan een it-auditor of accountant deze relatief eenvoudige check prima uitvoeren.

NLdigital, een collectief van digitale dienstverleners in Nederland, stelt in het FD-artikel dat een jaarlijkse controle te vroeg komt. Het zou beter zijn om te wachten op een Europese standaard voor een dergelijke controle. Maar Europese regelgevingstrajecten duren doorgaans lang, terwijl de urgentie hoog is. Nederland kan hierin toch best het voortouw nemen?

Onderdeel van de oplossing

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt al jaren dat Nederlandse organisaties onvoldoende weerbaar zijn tegen cyberdreigingen. Dit probleem lossen we niet zomaar op met een jaarlijkse controle. De strijd tegen cybercriminaliteit vereist een langetermijnstrategie, een internationale aanpak en publiek-private samenwerking.

Wel zorgt zo’n check ervoor dat elk Nederlands bedrijf aandacht besteedt aan cybersecurity. Dat is alvast een stap vooruit.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Michiel Steltman bekritiseert techneuten maar heeft geen actieve herinneringen aan de organisaties die met een positieve IT-audit alsnog gehackt werden door een misplaatst vertrouwen in deze papieren tijgers. De operationele realiteit van een veranderlijke IT en een bestuurlijke inertie aangaande het groeiende achterstallige onderhoud los je nu eenmaal niet op met de vrijblijvendheid van een audit.

Vreemde ogen moeten dan ook allereerst kunnen dwingen om geconstateerde tekortkomingen op te lossen. Bestuurlijk niet onbelangrijk in de ketenproblematiek waar organisaties kwetsbaar worden door security through obscurity. Misschien dat Michiel daarom de jij-bak om moet draaien door eerst de informatiedeling te verbeteren. Cybersecurity is duur door een schaarste in kennis, les één in de marktwerking.

Ik ben het dan ook absoluut eens met de opmerking over opleiden van personeel maar er is misschien ook een kortere weg. Te vaak steken struisvogels zoals Michiel hun kop in het zand om tegen de mol te zeggen dat het prachtig weer is waardoor er niet meer naar de techneuten geluisterd wordt. Een jaarlijkse APK lost niks op als je als bestuurder niet naar 'rammelende' geluiden luistert en de rode lampjes op het dashboard negeert.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-09-29T14:06:00.000Z Erno Doorenspleet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.