Helaas zien wij steeds vaker dat de beveiligingstechniek uiteindelijk niet doet wat het zou moeten doen. Achterdeurtjes, problemen in de programmering, onvoldoende scherpe afspraken, het zijn talloze voorbeelden waaruit blijkt dat wij niet meer op onze oplossingen kunnen vertrouwen.
Wat te denken van: het door de bouwer van straaljagers op afstand kunnen blokkeren van de afvuurinstallatie. Of het kunnen manipuleren van camerasystemen. En bij bepaalde cloudservices kunnen wij zo maar ineens niet meer bij onze data (denk aan de mogelijke DigiD-verkoop aan een buitenlands bedrijf).
Hoe kunnen wij de betrouwbaarheid van de werking van een beveiligingssysteem verbeteren? Een mooie stap zou zijn: weer meer in eigen (Nederlands) beheer fabriceren van beveiligingsvoorzieningen. Maar stel dat dit niet meer te organiseren is, dan zou dat nog geen probleem hoeven te zijn. Mits meegenomen in de scenario’s.
Afhankelijkheid buitenlandse clouddiensten
Dat ligt iets anders bij de afhankelijkheid van buitenlandse clouddiensten. Omdat bijna alle beveiligingstechnologie via de cloud werkt, wil je dat wel kunnen beheersen. Gelukkig zijn er in Nederland initiatieven om cloudservices uit eigen land aan te bieden. En dan geldt nog: zorg dat je de beveiliging test. Bij het bedenken van beveiligingsvoorzieningen zijn wij lang uitgegaan van het feit dat de dreiging (statelijk/crimineel) wel mee zou vallen. Dat zo’n inbreuk wel binnen onze risicoscenario’s blijft. En dat wij daardoor nog enigszins in control zouden zijn. Alsof het om gemaakte afspraken met een voorspelbare en betrouwbare partij gaat. Naïef?
Maar wat is nog voorspelbaar? Wat je zou kunnen verwachten bij een aanval (op basis van historische gegevens) gebeurt niet en wat je niet voor mogelijk houdt gebeurt juist wel. Statelijke actoren doen steeds vaker dingen die volgens wetten of in gezamenlijkheid met hen vastgestelde normen, strafbaar zijn. Voor veel landen is het echter gewoonte geworden om op illegale wijze aan geheime informatie van andere staten en evenzo van burgers te komen. En burgers zijn meer dan ooit afhankelijk geworden van de mate van robuustheid van maatregelen die organisaties nemen.
Vaak maken organisaties er qua gegevensbescherming een potje van
Helaas zien wij nog te vaak dat de organisaties waar burgers zaken mee doen er qua gegevensbescherming een potje van maken (bijvoorbeeld: telecomproviders, testlaboratoria en het OM). Dit wetende zullen we onze attitude ten aanzien van risico’s moeten gaan veranderen. Denk niet in termen van: kan dat gebeuren? Maar: als dit toch gebeurt, hoe kan dat dan en wat zijn de gevolgen? Dat vraagt om een realistischer benadering van risico’s. Future-proof risicoanalyses gaan juist uit van hetgeen onmogelijk lijkt. En daarbij hoort ook testen hoe betrouwbaar de werking van de voorzieningen is, rekening houdend met ‘bizarre’ scenario’s.
Richard Franken is directeur van Franken Security Solutions. Daarvoor was hij directeur bij van Aetsveld, The Hague Security Delta, Trigion en Hoffmann bedrijfsrecherche.
Meer blogs van Richard Franken
Volg Security Management op LinkedIn
;
