Met het securitygamma van Cisco heeft John Stewart maar zijdelings te maken. Als chief security officer van het bedrijf moet hij bij Cisco de security-praktijk in goede banen te leiden.

Het klinkt haast als ‘heelmeester, heel uzelf’, maar als chief security officer van een connectiviteitsspecialist met een uitgebreid securitygamma, met vele duizenden werknemers en partners, verspreid over de hele wereld, heeft John Stewart zeker een stevige dagtaak, en allicht ook nachttaak.

Dus nooit een rustige nacht?

STEWART: (lacht) Nee, nooit een rustige nacht…

Maar security gaat er niet makkelijk in bij de mensen. Ze willen er zo weinig mogelijk mee worden geconfronteerd.

STEWART: Sommige mensen willen nooit security op de voorgrond zien, en zullen als het niet makkelijk in het gebruik is, er ook nooit gebruik van maken. Daarom, maak het makkelijk en maak het een onderdeel van het proces, anders creëer je alleen maar frustraties. Het gaat om gebruiksvriendelijkheid en security.

Hoe doe je dat? De middelen zijn er niet altijd naar.

STEWART: Het gaat om mensen, mensen, mensen! Ook bij Cisco proberen de meeste mensen wel het juiste te doen, en je moet de mensen voor hun daden verantwoordelijk houden. [… ] Er zullen altijd personen zijn die niet het juiste doen. Dat kan zijn omdat ze een slechte dag hebben, of net ontslagen zijn. Je kan dan daar wat aan doen door te monitoren wie wat doet, waarmee en waarom. Ook computers zelf kunnen fout gaan, door malware. Dat moet opgevolgd en de systemen van de andere gebruikers moeten daartegen worden beschermd.

Hoe belangrijk is een ‘security policy’? In heel wat bedrijven is die er niet, of wordt die niet bijgewerkt. Hoe zit dat bij Cisco?

STEWART: Tja, de meesten lezen die niet. Als je in dienst komt bij Cisco, krijg je onder meer de security policy voorgelegd, met wat je moet weten. Ik weet dus niet of ze die lezen, maar ze worden er wel op afgerekend. Ook als je ze niet hebt gelezen, moet je de regels naleven.

Is een en ander dan geen kwestie om de mogelijke gevaren zo ver mogelijk door te denken?

STEWART: Uiteindelijk moet je risico’s nemen, dat weten we, en dat in het volle besef welke risico’s je neemt. We zijn een 45 miljard dollar bedrijf, erg succesvol en de klanten kopen onze producten. Tot dusver hebben we dus wel de goede keuzes inzake risico’s gemaakt. Ooit is er wel broncode vrijgekomen buiten het bedrijf. Wisten we dat we daarvoor kwetsbaar waren? Ja, dat wisten we! Dat was een risico dat we konden nemen, omdat er nadien nog een rechtsgang is om onze intellectuele eigendom te verdedigen. Dat is dus geen kwestie van technologie, maar van een rechtssysteem en van het ter verantwoording roepen van personen.

Niet iedereen is zo vergevend, en jullie zijn een beursgenoteerd bedrijf. Fouten worden afgestraft.

STEWART: Het is interessant te merken dat in de ict-wereld de slachtoffers worden beschuldigd. Een opmerkelijk scenario. De aandeelhouders verwachten winst en hebben verwachtingen inzake groei. Als we die verwachtingen inlossen, en daarvoor zekere risico’s nemen, is dat ok. Maar als ik een slachtoffer ben, waarom word ik dan geblameerd? Zou het niet beter zijn dat te doen met wie het heeft gedaan? Als in je huis wordt ingebroken, zoekt de politie toch ook naar wie het heeft gedaan.

Er dienen zich ook steeds nieuwe uitdagingen aan, zoals nu de ‘bring your own device’ trend?

STEWART: Dat is niets nieuw. Er was innovatie van grote servers naar pc’s, laptops, smartphones en binnenkort allicht ‘glasses’. In deze technologie-industrie is er altijd wel iets nieuws. En dan moet je een afweging maken. Als de productiviteit stijgt, en de werknemers gelukkig zijn met hun job omdat ze hun eigen materiaal gebruiken, en het klantentevredenheid oplevert, dan is het een goed idee, met zijn eigen risico’s die je er dan maar bijneemt. Er is wel een minimaal beleid, en daar wordt de hand aan gehouden.

Zijn er al ontslagen geweest wegens het niet naleven van jullie securitybeleid?

STEWART: Ontslag is de meest ultieme sanctie. Ik hou liever iemand in het bedrijf en maak hem bewust zodat hij het juiste doet. Je kan in een ogenblik een fout begaan, bijvoorbeeld door iets wat je net hebt gekregen te activeren en er iets op te downloaden, [zoals bedrijfsinformatie,] en vervolgens het toestel te verliezen. Om dan die persoon te ontslaan, afgewogen tegen al het goede dat hij voor het bedrijf heeft gedaan? Als er echt sprake is van kwade wil, en ondanks onze beste inspanningen om hem te veranderen, dan moet hij natuurlijk wel weg.

En wat met de cloud en de security policy?

STEWART: Om te beginnen moet je wel weten wat er gaande is in je bedrijf. [… ] Hoeveel ‘cloud leveranciers’ zijn er al in je bedrijf, voor welk gebruik? Er zijn er allicht tien keer meer dan je dacht, maar dat is tenminste data waar je mee kan aan de slag gaan. Vaak zegt men dat het makkelijker is om van die clouddiensten gebruik te maken, dan van de eigen bedrijfsmiddelen. Dat is dan leerzame informatie, want het vertelt dat het bedrijf er niet in geslaagd is om aan de verwachtingen te voldoen. Sommigen wisten allicht ook niet dat het bedrijf al zo’n dienst aanbood, en ook dat is instructief. Een derde groep doet het allicht uit gemakzucht, omdat het nieuw is en meteen bruikbaar. Maar ze beseffen niet altijd dat het wellicht niet geschikt is voor het bedrijf. Dan wordt het weer een ‘mensen, mensen, mensen’ kwestie en moet je hen het ‘waarom’ leren vooraleer hen te straffen.

Ook ‘compliance’, het naleven van wettelijke verplichtingen is allicht een uitdaging?

STEWART: Het is een van de risico’s die je neemt. Zelf opgelegde regels zijn één zaak, maar verplichte regels zijn een andere zaak, zeker als je weet dat je ze niet kan naleven. En eventuele onwetendheid is geen excuus. Het probleem is dat er altijd wel wat dingen niet geheel in orde zijn, of niet helemaal gladjes verlopen. Ongelukken gebeuren en controlesystemen worden altijd nadat een probleem zich heeft voorgedaan, ingesteld. Immers, het inschatten van risico’s stopt ook wel eens. Er zijn ook bepaalde risico’s die mathematisch zo zelden voorkomen….

Kan je alles ook tot op het niveau van de raad van bestuur gaan aankaarten?

STEWART: Ik verzorg persoonlijk informatiesessies voor de leden van de raad. Ik bezorg rapporten, en ga hen informeren wanneer ze me ontbieden, wat minstens één keer per jaar is.

En hoe wordt de ‘roi’ van security beoordeeld?

STEWART: In veel bedrijven en op veel plaatsen is de roi inzake security moeilijk en zijn er klachten. Er wordt teveel besteed als er niets gebeurt, en te weinig als het fout loopt. Als ik vind dat iets nodig is, en ik het moet hebben, dan ga ik naar ceo Chambers en hij zei nog nooit nee. Maar ik moet dit eigenlijk niet doen. Ik heb een sterk team dat aan risicobeheer doet en zij voorzien in de juiste set van oplossingen. Belangrijk is dat ook andere executives hieraan meewerken, zoals de twee executives die met klantendata te maken hebben. Zij hebben de data in beheer en de bescherming ervan is deel van hun taak. Het ‘engineering’ team spendeert dan weer een deel van zijn geld aan de bescherming van intellectuele eigendom. Het gevolg is een gedeelde verantwoordelijkheid. Zij beschermen hun materiaal, ik detecteer problemen.

Geef je een terugkoppeling naar de ontwikkelaars van nieuwe producten?

STEWART: Dat is een van onze taken. Ik zit in het productontwikkelingsteam. De ingenieurs die producten bouwen zien overigens hoe die worden gebruikt, want bouwers en gebruikers zitten naast elkaar. Ze zien alles op dezelfde wijze en er is dus heel wat feedback.

Hoe ziet u de ontwikkeling van ‘self defined networks’ en de impact op security?

STEWART: In theorie is dat hoe we het allemaal graag zouden willen, en dat komt er wel. Aanvallen met de snelheid van een machine vereisen immers een verdediging met de snelheid van een machine. We werken er aan. […] Op de RSA-beurs in San Francisco werd onder meer getoond hoe een netwerk een probleem kan ontdekken en vervolgens het goede verkeer naar de ene, en het foute verkeer naar een andere plek stuurt, zonder inbreng van een persoon. Een zelfverdedigend netwerk dus. Die term wordt wel niet meer door de marketing gebruikt, maar het is een visionair begrip. Je kan het immers nog niet kopen.

Een probleem is de asymmetrie van de aanval. Voor de misdadigers volstaat het één gat te vinden, terwijl de verdedigers alle gaten moeten dichten.

STEWART: Je moet dan ook ‘ontwerpen met het oog op security’. Een ‘gat’ kan immers niet altijd worden gedicht, wegens geldgebrek, of omdat het teveel middelen vereist, en dan neem je bewust een risico. Mensen nemen de hele tijd risico’s, bijvoorbeeld als chauffeur van een auto. Het is dan ook een kwestie van risico-inschatting en een berekend risico. Tja, het is geen perfecte wetenschap. Ik kan bedenken wat er kan gebeuren, maar weten wanneer en of het zal gebeuren, dat kan niet.

Hoe kan je met ‘metrics’, met cijfers, bewijzen dat je goed zit met je security investering? Goede metrics zijn een probleem.

STEWART: Dat is een redelijke vraag. Ik heb een ‘metrics’ werkgroep inzake security bij Cisco. [… ] Als die groep toont wat ik nog niet wist en dat blijkt nodig om te weten, dan is die effectief. Als blijkt dat we 85 à 95 procent blokkeren, is dat dan voldoende? Dat moet geval per geval worden bekeken. Als er bijvoorbeeld tegen een gesofisticeerde aanval op twee dagen tijd kan worden gereageerd, kan dat voldoende zijn. Of wellicht is het niet voldoende, maar is dat het beste wat we kunnen doen, en dan moeten we dat toch kunnen aantonen. Men wil weten wat we aan waarde bieden en wat we doen. Metrics is ook aantonen wat er gebeurt als we niets doen.

De security specialist heeft vaak ook een slecht imago, als degene die te vaak ‘wolf’ roept.

STEWART: Soms kan je maar beter zeggen dat er erge dingen kunnen gebeuren, bijvoorbeeld dat er mensenlevens verloren kunnen gaan als iets fout loopt. Dat is nog iets anders dan aan marktkapitalisatie verliezen. Als een security professional zegt “als je dat niet doet, kan er dat gebeuren”, dan is het aan de bedrijfsleiding om het risico te nemen. Bij ons beslist dan onze ceo Chambers, of ik als bevoegde verantwoordelijke. Daarvoor word ik betaald en word ik ook ter verantwoording geroepen. Als je 25 jaar ervaring hebt, is dat soms ook een kwestie van aanvoelen. Ik gebruik hiervoor ook mijn team, dat uit slimme mensen bestaat en hierover discussiëren.

Hoe gaan jullie om met de vragen die nu rond het vertrouwen in security- en connectiviteitsproducten worden gesteld?

STEWART: Ik heb dit al lang geleden zien aankomen. Het is een kwestie van impliciet en expliciet vertrouwen in producten. We kregen vroeger al vragen over onze productieketen, met producten en chips die in verschillende landen worden geproduceerd, terwijl de ontwikkeling van software ook wereldwijd gebeurt. Het is ook een kwestie van een proces, gestructureerd en met controles. Zo worden alle producten nu ontwikkeld in het kader van een secure development life cycle. Dat is officieel sinds augustus van dit jaar, maar met het werk daaraan zijn we al zes jaar geleden gestart. Nu kunnen we tonen dat het een geïnstitutionaliseerd proces, waarover we je kunnen informeren en dat je informeert over wat het resterend risico vormt.

En wat met eventuele aantijgingen dat ook jullie systemen allicht achterpoortjes naar de NSA hebben?

STEWART: Wij zijn daarin heel open: d’r zit niets willens en wetens ingestopt, en als het NIST [Het Amerikaans standaardinstituut] iets goedkeurt, maken we er gewoon gebruik van. [Het betreft hier de aanklacht dat de NSA beveiligingsalgoritmen opzettelijk zou hebben verzwakt, om makkelijker in te kunnen breken in alle soorten on-line verkeer. ] En wat de rest betreft, hebben de klanten in het verleden hun vertrouwen in ons gesteld, en ik wil door hen worden afgerekend op onze merites. En daarbij blijft het ook altijd een kwestie van tot op welke hoogte je iemand vertrouwt. Uiteindelijk beslis jij als klant.

Guy Kindermans