Frans Godden Frans Godden is freelance journalist.

Wie er nog van overtuigd is dat zijn computerinfrastructuur veilig is met een anti-viruspakket en een firewall, moet dringend terug naar de schoolbanken. Informatica is immers lang geen beveiligde bunker meer maar integendeel een onderdeel van een groter geheel waarvoor andere beveiligingscriteria gelden. Wijze woorden van mensen die het kunnen weten – de cio’s en ciso’s.

Onze recente enquête rond security leverde hier en daar verrassende resultaten op en we hadden dan ook geen probleem om een aantal prominente koppen bij elkaar te krijgen voor een debat rond de stand van zaken op het vlak van beveiliging. Een inleidende vraag naar de verwachtingen rond security voor de komende jaren leverde alvast verdeelde meningen op – “al hangt het er natuurlijk van wat je definitie is van beter of slechter worden”, steekt Yves Vander Auwera van wal. “De uitdagingen zullen zeker complexer worden maar de situatie zal niet verergeren omdat we voldoende ervaring hebben en verstandig genoeg zijn om oplossingen te vinden.” Dat is ook de mening van Reinoud Reynders: “We zorgen er al tien-twintig jaar voor, maar we zullen het wel anders moeten doen nu, flexibeler.” David Callebaut sluit zich daar bij aan: “Ook ik ben er van overtuigd dat we het op een compleet andere manier zullen moeten aanpakken. Vroeger zocht men voor elk beveiligingsprobleem een individuele oplossing, nu moet je alle problemen samen bekijken met hun interacties en dan pas naar een oplossing zoeken. Ik geloof niet meer in losstaande tools, en ik denk ook dat de menselijke factor steeds crucialer zal worden in security.”

Bewustwording creëren

Dat laatste blijkt iedereen rond de tafel bezig te houden, de ‘awareness’, het bewustzijn bij zowel werknemers als management dat security nodig is. “Eigenlijk is consumerization onze beste vriend voor die bewustwording”, stelt Daniel Lebeau. “Tien jaar geleden had niemand een anti-virus op zijn pc, vandaag heeft iedereen dat en weten ze zelfs wat een sterke authenticatie is.” Toch opletten daarmee, vindt David Callebaut, want een anti-viruspakket geeft veel mensen een vals gevoel van veiligheid. En Reinoud Reynders: “Het anti-virusprogramma is niet het probleem, het zijn de mensen die moeten beseffen dat ze met gevoelige data werken en dat ze die niet mee naar huis mogen nemen. Let wel, er is geen enkele tool om dat te stoppen, ze kunnen de informatie bij wijze van spreken zelfs op een blad papier schrijven of afdrukken en dat meenemen.”

Opmerkelijk is wel, zegt Reynders nog, dat een beveiligingsincident altijd helpt. “De awareness van het management zal stijgen en vooral ook van de eindgebruikers, en dat is het belangrijkste maar tevens ook het moeilijkste. Wij proberen alles – campagnes, nieuwsbrieven, opleiding, in alles trachten we security awareness te stoppen, maar het is erg moeilijk, vooral ook omdat we een verloop van meer dan 1.000 mensen per jaar hebben door al de studenten en de assistenten in het ziekenhuis. Bovendien werken we samen met zeven andere hospitalen wat de uitdagingen nog groter maakt. Ook in het it-departement proberen we iedereen bewust te maken van security – de ontwikkelaar, de analist, de systeemingenieur.”

Beter voorkomen

“Wij geloven ook in die aanpak, met een verschillende boodschap voor de eindgebruikers, de ontwikkelaars en de managers”, vult Stefan Van Gansbeke aan. “Elke groep moet haar eigen awareness programma hebben, en ook eigen tools, inclusief logging want dat is erg belangrijk voor feedback om iemand erop te kunnen wijzen dat hij bijvoorbeeld een usb-stick met geïnfecteerde data gebruikt heeft.” David Callebaut heeft het daar wat moeilijk mee: “Maar dat is nà het incident, en dat moet je toch vermijden. Je moet hen bewust maken door hen aan te spreken, niet alleen door nieuwsbrieven te sturen. Je moet ze ook incentives geven, dan pikken de mensen sneller die bewustwording op. Ze zijn niet geïnteresseerd in security, ze willen enkel hun job doen of met hun privé-zaken bezig zijn – tenzij het hen ergens raakt, en dat kan door een incident zijn maar ook door incentives.”

Elk van onze gesprekspartners heeft in ieder geval een security policy in zijn organisatie. Daniel Lebeau: “Iedereen krijgt een document dat hij moet ondertekenen en waarin hij formeel bevestigt dat hij zich bewust is van een aantal veiligheidsvoorschriften, en dat wordt om de 18 maanden herhaald. Bevestigt hij dat niet, dan wordt hij van het netwerk gehaald. Hetzelfde geldt voor een nieuwe werknemer, hij krijgt een paswoord en heeft twintig dagen om te leren correct met it-middelen om te gaan, anders wordt hij automatisch verwijderd van het netwerk. Idem voor het management, want zij moeten het goede voorbeeld geven.”

In je cultuur

Bij Fedict gaat men nog een stapje verder. Yves Vander Auwera: “Wij leggen het explicieter vast omdat het gevaar bestaat dat je altijd iets over het hoofd kijkt. Daarom moet je security in je cultuur integreren ( iedereen rond de tafel knikt instemmend). We werken ook met bewustwordingsprogramma’s waar je niet alles in regels uitlegt maar wel advies geeft over wat je moet vermijden of waarover je zou moeten nadenken. We hebben wel opgemerkt dat de leeftijd een rol speelt, voor de jongste generatie is technologie zo gemakkelijk dat ze “niet weten wat ze niet weten.” Ze kopen een nieuwe pc en denken dat die beveiligd is, maar dat is niet zo, ze beseffen het pas wanneer ze een probleem hebben. Denk maar aan het gebruik van social networks. Ze zitten allemaal op Facebook en Twitter, maar dan verliest er iemand zijn werk omdat hij wat op Facebook gezegd had. Dat is het probleem met de jongere generatie, technologie is te gemakkelijk voor hen.”

Je moet toch wel realistisch blijven, vindt Stefan Van Gansbeke. “Je kan wel een security policy hebben, maar onder de oppervlakte zie je veel zaken waarvan je niet op de hoogte was. En dat moet je ook onder controle krijgen.” Laurent Heslault bevestigt dat: “Wanneer we met data leakage bezig zijn, dan blijkt dat de mensen zich er niet van bewust zijn dat ze met gevoelige informatie werken omdat ze dat al jaren doen.”

Wat met de privacy?

Wanneer Yves Vander Auwera de vraag stelt in hoeverre logs niet in conflict komen met de privacy regels, wijst Reinoud Reynders onmiddellijk op de aparte situatie bij het UZ Leuven. “Wij hebben een waterdicht systeem. Wanneer iemand in het bestand van een patiënt wil kijken maar daartoe niet de toelating heeft, dan moet hij een band met die patiënt hebben om dat te mogen. Voor noodgevallen bestaat er uiteraard een overrule mechanisme dat door iedereen kan gebruikt worden, en die gevallen komen dan in een log terecht. Vroeger namen we er elke maand een paar uit om te controleren of die wel verantwoord waren maar nu doen we het anders. Er is immers altijd iemand die verantwoordelijk is voor een patiënt, en hij krijgt elke dag wanneer hij inlogt een lijst waarop hij kan zien wie een overrule voor die patiënt gedaan heeft. Het is maar een kleine lijst waarin hij gemakkelijk alles kan controleren, en dat werkt uitstekend, want het creëert een bewustwording omdat op die manier iedereen weet dat je niet zomaar een overrule gebruikt voor om ‘t even welke reden. Sedert we dit voor de medische dossiers hebben ingevoerd, is het aantal incidenten echt gedaald.”

Veel ruimer dan IT

Daniel Lebeau pleit vooral voor een bredere risico-aanpak. “Daarbij weeg je alle risico’s af tegen hun frequentie en hun impact zodat je perfect weet waar je moet op letten. Het is een oefening die we alle zes maanden herhalen, niet alleen voor it-risico’s maar voor alle bedrijfsrisico’s want de tijd van de versterkte burcht is voorbij.” Yves Vander Auwera is het daar heelmaal mee eens: “Security heeft niet enkel te maken met data, het is veel breder. Mijn bezorgdheid is dat sommige mensen zich enkel willen toespitsen op één aspect van security, maar het is een mengeling van meerdere facetten en dus ook van verschillende soorten van beveiliging.”

“Precies”, vult David Callebaut aan, “zelfs perimeter security is niet langer het walhalla dat het vroeger was. Elke dag zien we blokken uit die perimeter verdwijnen omdat mensen binnen of buiten moeten geraken met een heel geldige businessreden. Bovendien gaat het inderdaad niet enkel om data maar vooral ook om de beschikbaarheid, is je bedrijf nog bereikbaar? Daarom ook dat damage control zo belangrijk wordt want daar bepaal je de impact van een incident op je business. Let wel, het gaat hier niet over iets verborgen houden maar wel het in zijn juiste kader zetten en onder controle houden.”

Laurent Heslault breekt hier een lans voor betere communicatie tussen it en management. “Als bedrijven voorbereid zijn, kunnen ze het onder controle houden, maar er blijkt nog altijd een gebrek aan communicatie tussen it en het management te zijn. Communicatie tussen de business en de securityploeg is absoluut cruciaal. Ook voor ons als leverancier geldt dat: als er bij een project geen business, security en it samen zitten, dan beginnen we er niet aan want dan weten we dat het tot mislukken gedoemd is.”

Mobiele toestellen

Een apart beveiligingsprobleem vormen de mobiele apparaten die toegang van buiten het bedrijfsnetwerk willen. Niet gemakkelijk voor een organisatie als Fedict, weet Yves Vander Auwera. “Wij investeren veel om hetzelfde securityniveau te kunnen voorzien voor alle smartphones. Wij werken voor verschillende ministers en zij hebben allemaal hun favoriete technologie, en dus moeten we een oplossing zoeken die voor alle besturingssystemen kan werken. Een grote uitdaging en een lang proces. Is je toestel volledig in overeenstemming met onze strikte regels, dan krijg je met één paswoord toegang tot alles net alsof je op kantoor zat. Probeer je dat met een ander toestel dat niet honderd procent in overeenstemming is, dan zullen we je toegang beperken..”

Bij GSK hebben ze twee criteria voor smartphones, zegt Daniel Lebeau: sterke authenticatie en de mogelijkheid om data op afstand te wissen – wie dat op zijn toestel heeft, krijgt toegang. De aparte situatie in UZ Leuven vergt ook aparte regels, legt Reinoud Reynders uit. “Wil je met een collega overleggen over een patiënt, dan moet je onze medische toepassing gebruiken, we hebben een policy dat e-mail niet in aanmerking komt voor het uitwisselen van medische informatie. De medische toepassing is ook veel gemakkelijker want je hebt alle metadata ter beschikking. Wil je toegang op afstand tot medische informatie, dan moet je een hardware token gebruiken, e-ID.” Iedereen rond de tafel is het er in elk geval over eens dat bedrijfsgegevens zoveel mogelijk beperkt moeten blijven tot het bedrijfsnetwerk en zo weinig mogelijk op externe toestellen mogen zitten. “Wij hebben een policy die zegt dat je enkel kan kopiëren op een encrypted usb-sleutel die we gratis geven, en we gebruiken ook technologie die verhindert dat je bestanden tussen je pc en iets anders overzet.” Yves Vander Auwera komt hier nuchter uit de hoek: “Maak je toch geen begoochelingen, een A4-pagina volstaat al om er gevoelige informatie op te zetten, daarvoor heb ik geen usb-stick nodig. Bovendien gaat die beperking ook in tegen wat iedereen vandaag probeert aan te moedigen, namelijk telewerken.”

Ingebakken

“Eigenlijk heb ik nog een droom”, geeft Stefan Van Gansbeke toe, “dat security ingebakken zal zitten als een functionele vereiste in elk product, elke dienst, in de cloud, om ‘t even wat, zodat je geen supplementair securitybudget moet voorzien. Security included dus.” David Callebaut is het daar volledig mee eens, security moet “embedded” zijn, als onderdeel van de bedrijfscultuur. “Het heeft geen zin security aan te leren als de mensen niet beseffen dat het een deel van de cultuur moet zijn, het is een kwestie van gewoon gezond boerenverstand!”

Wouter Mariën maakt zich wel zorgen over het feit dat men security te veel als een commodity zou gaan beschouwen omdat dan de aandacht kan verslappen. “Het is opmerkelijk dat er op dit vlak eigenlijk nauwelijks lessen getrokken worden uit het verleden. Kijk naar de luchtvaart, waarom worden de vliegtuigen beter ? Omdat men uit zijn fouten leert. Maar niet zo in software.” Daniel Lebeau blijft er wel nuchter bij: “We moeten met it-risico’s leren leven zoals we met de veiligheid van onze auto’s omgaan – het zal nooit honderd procent zijn maar mits we er goede gewoonten op nahouden, ons rijbewijs halen en onze rijstijl aanpassen, kan dat best in orde komen.”

Frans Godden

” Het anti-virusprogramma is niet het probleem, het zijn de mensen die moeten beseffen dat ze met gevoelige data werken en dat ze die niet mee naar huis mogen nemen.”

Een brede risico-aanpak is nodig. Maar de tijd van de versterkte burcht is voorbij.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content