Niet alleen in de wereld om ons heen, maar ook op technologisch gebied is er de afgelopen jaren veel veranderd in het denken over informatiebeveiliging en op het gebied van management en organisatie. Opmerkelijk is dat veel van deze veranderingen ogenschijnlijk weinig met elkaar te maken hebben, maar bij nadere beschouwing onderling verbonden zijn en tezamen een onuitwisbaar stempel op het vakgebied informatiebeveiliging blijken te drukken Of is een verschuiving van de aandacht noodzakelijk? En hoe ziet het beveiligingslandschap eruit in het jaar 2010? Wat zouden we moeten doen om te bereiken dat informatiebeveiliging, tegen zo laag mogelijke kosten, werkelijk wordt ingericht als een beheerst proces?
Inleiding
Velen zullen zich het jaar 2000 herinneren als het jaar van de afkoeling. Het gevreesde millenniumprobleem eindigde in een geruststellende anticlimax, Frankrijk won het Europees Kampioenschap voetbal en het einde van de economische oververhitting diende zich aan. In hetzelfde jaar verscheen de eerste editie van het boek Informatiebeveiliging onder controle.
Bij het verschijnen van de tweede editie zijn we vijf jaar verder. Er is de afgelopen jaren veel veranderd, niet alleen in de wereld om ons heen, maar ook op technologisch gebied, in het denken over informatiebeveiliging en op het gebied van management en organisatie. Het bijzondere is dat veel van deze veranderingen op het eerste gezicht weinig met elkaar te maken hebben, maar bij nadere beschouwing onderling verbonden zijn en tezamen een onuitwisbaar stempel op het vakgebied informatiebeveiliging blijken te drukken.
In elk geval kunnen wij vijf jaar na dato constateren dat organisaties nog steeds grote bedragen in informatiebeveiliging investeren. Volgens recent onderzoek (CSI/FBI, 2004) bedragen de kosten voor informatiebeveiliging nog steeds tussen de drie en vijf procent van de totale uitgaven aan informatietechnologie, ongeveer evenveel als vijf jaar geleden. De vraag dringt zich op: bieden deze investeringen voldoende rendement, en is informatiebeveiliging inderdaad onder controle? Of is een verschuiving van de aandacht noodzakelijk? In dit artikel staan we kort stil bij de belangrijkste ontwikkelingen van de afgelopen vijf jaar – op sociaal-economisch gebied, voorzover relevant voor informatiebeveiliging, en op het gebied van de informatiebeveiliging zelf, waarbij wij onderscheid maken tussen de menselijke factor, de organisatie van informatiebeveiliging en de technologie. We besluiten met een blik vooruit. Hoe ziet het beveiligingslandschap eruit in het jaar 2010? Welke ontwikkelingen zijn daarbij bepalend? En wat zouden de stakeholders – ondernemers, managers, burgers, overheid, aandeelhouders, toezichthouders – de komende jaren moeten doen om ervoor te zorgen dat informatiebeveiliging, tegen zo laag mogelijke kosten, werkelijk wordt ingericht als een beheerst proces?
Sociaal-economische ontwikkelingen
De afgelopen vijf jaar zijn drie externe ontwikkelingen van grote invloed geweest: de opkomst van het internationaal terrorisme en de bijbehorende veiligheidsvraagstukken, de grote boekhoudschandalen en de hieruit voortvloeiende regelgeving op het gebied van corporate governance, en de economische recessie en de hiermee samenhangende kostenbesparingen. Wij gaan hieronder kort in op de effecten van deze ontwikkelingen.
Allereerst het veiligheidsvraagstuk. Ingrijpende incidenten als de aanslagen op 11 september 2001 en de moord op Theo van Gogh op 2 november 2004 hebben onmiskenbaar invloed gehad op informatiebeveiliging. Zo werd de wetgeving op het gebied van computercriminaliteit aangescherpt, zijn de bevoegdheden van de inlichtingen- en veiligheidsdiensten aanzienlijk verruimd, en is privacy met algemene instemming ondergeschikt gemaakt aan de jacht op terroristen. Ook op het gebied van voorlichting is er het nodige gebeurd. Het gevolg van dit alles? De drempels voor het inzetten van beveiligingsmiddelen zijn lager dan ooit. Er komt zelfs een paspoort met biometrie. Vijf jaar geleden was dit nog ondenkbaar.
Corporate governance staat, na de boekhoudschandalen bij onder meer Enron en Worldcom, al meer dan twee jaar in het middelpunt van de belangstelling. Nieuwe wetten als de Amerikaanse Sarbanes-Oxley Act (SOX) en richtinggevende documenten als de Code-Tabaksblat schrijven voor dat elke organisatie een stelsel van maatregelen op het gebied van interne controle ingericht moet hebben, en dat de effectiviteit hiervan expliciet door het management moet worden bevestigd. Het behoeft geen betoog dat ook maatregelen op het gebied van informatiebeveiliging deel uitmaken van zo’n stelsel, en men zou dan ook verwachten dat de corporate-governancebeweging zou leiden tot een toename van het beveiligingsbewustzijn. Dit lijkt niet het geval. Uit onderzoek (FBI/CSI, 2004) blijkt dat Sarbanes-Oxley niet leidt tot meer aandacht voor beveiliging; in de praktijk blijkt zelfs dat de grote projecten die momenteel worden uitgevoerd om internecontrolemaatregelen te documenteren zoveel aandacht en middelen vergen, dat beveiligingsactiviteiten even op een laag pitje worden gezet.
Ten slotte de economische recessie. Die heeft op grote schaal geleid tot operaties om de operationele kosten van ondernemingen en overheidsinstellingen drastisch te beperken. Informatiebeveiliging is bij zulke operaties niet buiten schot gebleven; integendeel, beveiliging blijkt een post waarop met relatief geringe inspanning een aanzienlijke besparing op korte termijn kan worden gerealiseerd. Mede om deze reden zijn de afgelopen jaren veel beveiligingsprojecten gereduceerd of zelfs stopgezet. Hetzelfde geldt voor organisatievormen die de inrichting van informatiebeveiliging als beheerst proces ondersteunen. Veel van wat in de jaren negentig aan security management is opgebouwd, is de afgelopen jaren afgebroken. Wij kennen hiervan tientallen voorbeelden, van kleine tot zeer grote organisaties. Nu de economie weer aantrekt, blijkt dat veel organisaties op beveiligingsgebied opnieuw moeten beginnen.
De conclusie is weinig bevredigend. Ontwikkelingen op het gebied van veiligheid en corporate governance maken een verhoogde aandacht voor informatiebeveiliging noodzakelijk. In sommige opzichten is die aandacht er ook. Maar tegelijkertijd moeten we constateren dat bij de kostenbesparingen van de afgelopen jaren veel goeds verloren is gegaan, dat de corporate-governancerage nog niet heeft geleid tot een waarneembare stijging van het beveiligingsbewustzijn, en dat tegelijkertijd het privacyvraagstuk vrijwel volledig van de agenda is verdwenen.
De menselijke factor
Dat het beveiligingsbewustzijn maar niet wil stijgen, lijkt in eerste instantie enigszins paradoxaal. Uiteindelijk heeft de toenemende automatisering in organisaties, maar ook thuis en op straat, geleid tot gewenning ten aanzien van informatietechnologie. Daardoor is een beter besef ontstaan van de sterke en zwakke kanten van het gebruik van informatietechnologie. Ook de overheid draagt hieraan bij met advertentiecampagnes, publicaties, meldpunten en waarschuwingsdiensten. Dit zou moeten leiden tot een verbetering van de attitude ten aanzien van informatiebeveiliging en een afname van fouten bij het toepassen van informatietechnologie. Maar deze attitude blijkt helemaal niet zo duidelijk verbeterd te zijn, getuige de gestage toename van de schade door onopzettelijke fouten bij het gebruik van informatietechnologie. Veel organisaties voeren kostbare awarenessprogramma’s uit, maar het blijkt niet eenvoudig daarmee tastbare resultaten te boeken. Het beperkte succes van deze campagnes rechtvaardigt de vraag of de gevolgde aanpak wel voldoende effectief is. Het blijkt bij informatiebeveiliging niet alleen te gaan om voorlichting, maar ook en vooral om motivatie – het motiveren van betrokken personen om hun gedrag actief en blijvend te veranderen. Onderzoek wijst keer op keer uit dat de attitude van medewerkers sterk afhankelijk is van een duidelijk commitment van het topmanagement. Juist daar blijkt de aandacht voor informatiebeveiliging relatief snel te verslappen. Vaak wordt er na een incident direct actie ondernomen, waarna men overgaat tot de orde van de dag. Bovendien betreft het veelal slechts maatregelen om soortgelijke incidenten in de toekomst te voorkomen, terwijl maatregelen tegen andere incidenten over het hoofd worden gezien. Managers zien informatiebeveiliging nog te vaak als een op zichzelf staand fenomeen en niet als een integraal onderdeel van de bedrijfsvoering. Hierdoor is informatiebeveiliging onvoldoende geïntegreerd in de werkprocessen. Ondanks het groeiend besef van het belang van de menselijke factor wordt de complexiteit hiervan structureel onderschat.
De organisatie van informatiebeveiliging
In de eerste jaren van deze eeuw zijn onder druk van de economische recessie en bezuinigingen vele activiteiten die niet direct bijdroegen aan het financiële resultaat gesneuveld. Voor de overheid had dat andere gevolgen dan voor het bedrijfsleven.
Bij de overheid is vanaf 1994, het jaar dat het Voorschrift Informatiebeveiliging Rijksdienst (VIR) van kracht werd, een opgaande lijn te constateren tot het moment dat het millenniumprobleem en vervolgens de invoering van de euro veel aandacht vragen. Daarna zijn organisatiestructuren die in het kader van het VIR zijn opgericht, verloren gegaan. Denk hierbij aan het opheffen van het voormalige Advies- en Coördinatiepunt voor Informatiebeveiliging (ACIB) en aan het verwateren van interdepartementale overlegvormen op dit gebied. De Rekenkamer constateerde in 2004 nog hoofdschuddend dat de helft van alle departementen de informatiebeveiliging niet op orde heeft en wees daarbij vooral op de hiaten in de organisatie. Natuurlijk waren er ook successen, zoals Govcert, de elektronische waarschuwingsdienst. De overheid moet nu de stap maken van een succesvol project naar een succesvol georganiseerd proces en maakt deze stap ook, mede als gevolg van het verscherpte dreigingenbeeld. Zo worden de verschillende beveiligingsfuncties, bijvoorbeeld voor personele, operationele en informatiebeveiliging, in een betere samenhang gebracht. Daarnaast zien we, ook onder invloed van aangescherpte regelgeving, verdere professionalisering van risicomanagement en security management.
Het bedrijfsleven wordt gedwongen opnieuw over de organisatie van de beveiliging na te denken onder invloed van de normen voor behoorlijk bestuur (SOX en Tabaksblat). Bedrijven die de functies voor interne controle en audit de afgelopen jaren goed hebben onderhouden, hebben het daarbij aanzienlijk eenvoudiger dan de bedrijven die hun administratieve organisatie hebben laten versloffen.
Technologie
Eigenlijk waren de technische ontwikkelingen de afgelopen jaren het minst interessant. Zij waren immers het gemakkelijkst te voorspellen en hebben niemand werkelijk verbaasd. De wet van Moore bleef onverminderd van toepassing. Dus werden de processors weer een paar keer sneller, kreeg iedereen een breedbandaansluiting en drukken we schijfruimte tegenwoordig uit in petabytes. Meer van hetzelfde dus – al zijn de kleurenschermen een stuk platter dan vijf jaar geleden. Het echte sleutelwoord was mobiel: de afgelopen vijf jaar zagen we de opkomst van mobiele toepassingen op basis van GPRS, UMTS, Wifi en Bluetooth – met alle beveiligingsvraagstukken van dien, van onveilige protocollen tot rammelende mobiele besturingssystemen. Ook de beveiligingstechnologie zelf ontwikkelde zich verder. Leveranciers van antivirussoftware beleefden gouden tijden in hun eeuwige race tegen de ontwikkelaars van nieuwe virussen. Het aantal patches om gaten in besturingssystemen te dichten, nam schrikbarend toe. Geavanceerde technieken als Public Key Infrastructures (PKI) en Intrusion Detection Systems (IDS) beleefden niet de doorbraak waarop velen hadden gehoopt. En voor de dertig jaar oude encryptiestandaard DES is geruisloos de opvolger benoemd: de Advanced Encryption Standard (AES), gebaseerd op een nieuw encryptiealgoritme, Rijndael.
Een blik vooruit
Wat heeft de toekomst voor ons in petto? Het beantwoorden van deze vraag is een hachelijke zaak, maar toch wagen wij een poging, mede gesteund door informatie van de bekende onderzoeksbureaus.
Op sociaal-economisch gebied valt een voortzetting van gesignaleerde trends rond efficiency, corporate governance en veiligheid te verwachten. Een andere sociaal-economische ontwikkeling die haar effect op informatiebeveiliging niet zal missen, is de toenemende juridisering van onze samenleving. Amerikaanse advocatenkantoren zullen de komende jaren voor het eerst grote claims indienen bij partijen waaraan nalatigheid inzake de bescherming van gevoelige gegevens en bedrijfsnetwerken kan worden verweten.
Op het menselijke vlak zal er minder veranderen. Er zullen kwaadwillenden blijven die steeds weer nieuwe technieken zullen vinden om particulieren en organisaties lastig te vallen. Door de toenemende impact van incidenten zal het belang van informatiebeveiliging verder toenemen, maar informatiebeveiliging zal nog steeds moeten concurreren met andere belangen en processen. Het zal nog lang duren voordat bij het merendeel van de organisaties de reactieve aanpak van informatiebeveiliging plaats heeft gemaakt voor een adequate preventieve aanpak. Wel zullen opsporingsinstanties langzaam maar zeker effectiever op gaan treden tegen digitaal geweld.
Op organisatorisch gebied zet de professionalisering door. Onder invloed van een veranderend dreigingenbeeld en aangescherpte regelgeving is een aantoonbare beheersing van risico’s steeds belangrijker. Een ad hoc, projectmatige invulling volstaat niet meer. Efficiënte en effectieve beheersing vereist een normaal ingericht proces. Hierbij is de trend voor zowel overheid als bedrijfsleven het streven de organisatie zo in te richten dat compliance met interne afspraken en externe regelgeving aantoonbaar is. Deze trend wordt mede gevoed door de in 2006 komende Wet Financieel Toezicht, maar ook door de nog door Eurocommissaris Bolkestein in gang gezette verscherping van het toezicht op Europese, beursgenoteerde ondernemingen. Dit toezicht zal steunen op dezelfde principes als SOX: verantwoordelijkheid, beheersing en transparantie.
De nieuwe cultuur en de nieuwe regelgeving hebben ook tot gevolg dat in het bedrijfsleven de eisen voor wat betreft aantoonbare compliance omhoog gaan. We zullen een sterk toenemende behoefte zien aan audits en derdepartijmededelingen. Deze mededelingen en de Amerikaanse vorm daarvan, gebaseerd op de standaard SAS 70, zullen veelal worden gebruikt door service providers, die daarmee aan hun klanten aanvullende zekerheid verstrekken omtrent het nakomen van de onderlinge afspraken, bijvoorbeeld in SLA’s. Ook certificaten op basis van de nieuwe versie van ISO 17799 zullen hiervoor worden gebruikt, maar wij constateren wel dat de waarde van deze certificaten aan enige inflatie onderhevig is.
Niemand heeft baat bij papieren tijgers of louter formele exercities. Er is een goed evenwicht nodig tussen de interne en de externe belangen. Het voldoen aan externe regelgeving mag nooit de aandacht afleiden van de eigen bedrijfsdoelstellingen. Zoals een ondernemer al verzuchtte: ‘We verkopen geen ijsje extra door SOX-compliance’.
Figuur 1. Aantoonbaarheid van compliance.
Ook de komende vijf jaar zal informatietechnologie krachtiger en kleinschaliger worden. Mobiel blijft het sleutelwoord. Informatietechnologie convergeert naar wat IBM ‘pervasive computing’ noemt: draadloos communicerende technologie die onzichtbaar is geïntegreerd in tal van huishoudelijke producten, apparaten, consumentenproducten, materialen en dergelijke. De identificatie van fysieke objecten en goederen, maar ook van personen zal uiteindelijk voor een groot deel plaatsvinden op basis van Radio Frequency Identification (RFID). Biometrie zal voor specifieke toepassingen algemeen ingeburgerd raken en door verregaande integratie een vriendelijker karakter krijgen, bijvoorbeeld door een handpalmscanner te integreren in de deurknop. Op het gebied van encryptie kunnen we de komende jaren de opkomst van elliptic curve-encryptie en AES verwachten. Verder is er een stap voorwaarts nodig op het gebied van hash-functies.
De afgelopen jaren is het denken in beveiligingsarchitecturen voorzichtig gestart. Denk ook aan de opkomst van reduced-sign-on, gecentraliseerd identity- en access-rights management. Deze ontwikkeling zet zich door. Leveranciers zullen in toenemende mate hun verantwoordelijkheid nemen, maar daarbij ook worden geconfronteerd met de beperkingen van de technologie en de context waarin deze wordt gebruikt.
Beveiligingstechnieken in opmars zijn network inventory, boundary scanning en boundary testing, waarbij de actieve componenten binnen een netwerk in kaart worden gebracht, de contouren van het netwerk worden getekend en het netwerk vervolgens op beveiligingslekken wordt getest – en dit alles volledig geautomatiseerd. Technieken die hierbij worden gebruikt, zijn geavanceerde netwerkscans, geautomatiseerde penetratietests en ‘extrusion detection’-technieken, waarbij een computer die binnen een bedrijfsnetwerk is opgesteld netwerkpakketjes probeert te verzenden naar sensoren die zich buiten het netwerk bevinden – vergelijk het met het vinden van een lek in een binnenband door deze onder water te houden en hard op te pompen. Al deze diensten zullen door gespecialiseerde bedrijven in de vorm van security-abonnementen voor een appel en een ei worden aangeboden.
Conclusie
De hierboven beschreven ontwikkelingen geven een gemengd beeld. Binnen organisaties is sprake van een toenemende formalisatie die soms ontaardt in verharding en indekgedrag. De risico’s nemen toe. De eisen aan aantoonbare beheersing worden strenger. De mens blijft als vanouds feilbaar. De verbeteringen in beveiliging komen zowel uit de meer professionele inrichting van het security management als uit de verbeterde technische hulpmiddelen voor beveiliging. Over de hele linie gaat de lat omhoog en het zal duidelijk zijn dat informatiebeveiliging nog belangrijker wordt dan zij nu al is. Ons vak zal zich verder verzakelijken. Hiermee zal wel wat warmte verdwijnen, maar uiteindelijk is een verdere professionalisering alleen maar toe te juichen.
Literatuur
[Over05] Dr. ir. P.L. Overbeek RE, prof. dr. E.E.O. Roos Lindgreen RE en dr. M.E.M. Spruit, Informatiebeveiliging onder controle, 2e editie, 2005, ISBN 90-430-0692-0.