Ernst Lopes Cardozo
	Ernst Lopes Cardozo is principal consultant bij Aranea Consult en helpt organisaties bij het ontwerpen en implementeren van ICT infrastructuren. De beveiliging van netwerken speelt een steeds grotere rol in zijn adviespraktijk. Ernst publiceert regelmatig over zowel de technische als organisatorische aspecten van ICT, onder meer als vaste columnist voor Infosecurity.nl en Storage Magazine.

Een securityofficer uit de financiële wereld vertelde me dat de reputatie van zijn bedrijf zó belangrijk en kwetsbaar is dat hij het zich niet kan veroorloven zijn medewerkers te vertrouwen. Alles zit potdicht: USB-poorten zijn dichtgelast, iPhones ingeleverd bij de portier. Bewustwordingscampagnes acht hij nutteloos. Het wordt gebruikers, ook de directie, simpelweg onmogelijk gemaakt om iets verkeerd te doen. En nu word ik door twijfel geplaagd. Is dit een hele goede CSO die zijn taak ernstig opvat en zijn organisatie de best mogelijke dienst bewijst? Of schiet deze aanpak zijn doel voorbij? Kan zo’n technische benadering effectief zijn of zal vroeg of laat blijken dat je toch iets over het hoofd hebt gezien?

Natuurlijk, de mens is een zwakke schakel. Zo was er eens een manager van een AEX-genoteerde onderneming die met zijn gezin een midweek naar een huisje trok. Omdat er die week belangrijke cijfers moesten worden geproduceerd, nam hij zijn laptop mee en zette hij op zijn interne mailaccount een forewarder naar zijn privémail bij een lokale ISP. Dat had grandioos fout kunnen gaan, maar hij had geluk: er gebeurde niets ernstigs. Geen spectaculair verhaal misschien, tot ik erbij vertel dat deze man de securityofficer van het bedrijf was. Je gaat je dan toch afvragen hoeveel 'bewustwording' er nodig is voor we ons écht bewust gaan gedragen.

Heeft die collega van de financiële instelling dus gelijk? Ik blijf twijfelen. Laten we eens kijken hoe men in andere sectoren omgaat met dit dilemma. De luchtvaart, ook een hightechindustrie met een groot afbreukrisico, legt de verantwoordelijkheid voor de veiligheid nog steeds in handen van mensen. De reden kan niet zijn dat piloten, onderhoudsmonteurs en verkeersleiders nooit fouten maken – dat doen ze wel. Daar wordt dan ook ernstig rekening mee gehouden. De mensen worden ondersteund door apparatuur (zodat ze het niet te druk krijgen maar ook niet in slaap vallen) en door andere mensen, zowel in de lucht als op de grond. Het hele systeem is goed maar niet waterdicht, al is er meestal een hele keten van onwaarschijnlijkheden voor nodig om het echt fout te laten gaan.

Dan het leger. Tijdens de Koude Oorlog stond er langs de noordgrens van de VS een keten radarstations die permanent keken of er al Russische kernraketten over de Noordpool kwamen. De mensen achter de beeldschermen hadden natuurlijk een onmogelijke taak: maandenlang kijken naar iets wat niet gebeurt. En dus liet men computers nepaanvallen genereren. Niet voortdurend, maar vaak genoeg om de aandacht vast te houden. Elke aanval moest worden gesignaleerd. Als er een aanval werd gezien die niet door de computer was gegenereerd, was het raak.

Om gebruikers effectief met informatiebeveiliging te laten omgaan, zullen we vergelijkbare maatregelen moeten nemen. Een of twee keer per jaar een oefening, bijvoorbeeld om een verondersteld informatielek op te sporen. Wie heeft die USB-stick het laatst gehad? Wie heeft er om 7.21 uur ingelogd? Medewerkers krijgen af en toe een mail met een bijlage die bij opening duidelijk maakt dat dit ook een virus of trojan had kunnen zijn, liefst met flink wat licht- en geluidseffecten zodat de hele afdeling weet dat er weer iemand is ingetuind. Leuk businessplan eigenlijk: permanente bewustwordingstraining. Een gat in de markt!