Veiligheid is meer dan een hobbyproject

Hugo Leisink is beveiligingsexpert bij OGD. Hij heeft een passie voor ‘alles wat met ict-beveiliging’ te maken heeft en is ervan overtuigd dat we bewuster met onze ict-beveiliging moeten omgaan.

Begin november bezocht ik de InfoSecuritybeurs. Tijdens een paneldiscussie over privacy en veiligheid kwamen vele standpunten naar voren. Deze standpunten onderschreven mijn mening over de ict-wereld en waar de meeste beveiligings- en privacyproblemen vandaan komen. Deze mening zal ik hieronder weergeven.

Meer doen met je computer

De computer is een complex apparaat. Met 'de computer' bedoel ik trouwens niet alleen het apparaat dat bij u en mij op het bureau staat, maar ook e-mail, websites, software en computernetwerken. Vele bedrijven doen hun uiterste best om die complexe computer voor iedereen bruikbaar te maken en dat is ze goed gelukt. Dat lijkt mooi, maar hier zit wel de bron van het probleem. Want ondanks dat bijna iedereen vandaag de dag in zekere mate met een computer overweg kan, is en blijft het een complex apparaat. De meeste mensen gebruiken de computer thuis voor e-mail, het bezoeken van websites en het spelen van spelletjes. Maar tussen al die normale gebruikers zitten ook veel mensen die meer willen doen met de computer.

De juiste papieren

Voor gebruikers die meer willen, biedt het internet meer dan genoeg informatie. Bijvoorbeeld om te leren programmeren of computernetwerken in te richten. Daarin verschilt de ict van bijvoorbeeld de medische wereld of de advocatuur. Niemand heeft thuis een operatietafel of rechtbank staan om op te oefenen, maar iedereen heeft wel een computer. Om arts of advocaat te worden heb je de juiste papieren nodig. Programmeur en systeembeheerder, daarentegen, zijn geen beschermde titels en in principe kan iedereen als zodanig aan de slag. Maar dat je na zelfstudie in staat bent om kleine eenvoudige programmaatjes te schrijven, wil nog niet zeggen dat je programmeur bent. En dat netwerkje dat je zelf thuis hebt aangelegd, maakt je nog geen netwerkbeheerder. Een ander verschil is dat de ict-wereld te maken heeft met mensen die moedwillig misbruik maken van zwakke plekken in systemen. Niet alleen omdat het een leuke technische uitdaging is, maar ook omdat daar veel geld mee te verdienen valt. Dat geldt niet voor de medische wereld of de advocatuur.

Hackersmindset

Deze twee eigenschappen van de ict-wereld vragen om speciale aandacht, maar dit wordt helaas te weinig gegeven. Ik ben dan ook van mening dat veel mensen in de ict werkzaamheden verrichten waar ze eigenlijk ongeschikt voor zijn. Een goede ict'er beschikt niet alleen over de vaardigheid om systemen te ontwerpen die voldoen aan de gevraagde functionaliteit (de engineersmindset), maar beschermt deze systemen ook tegen oneigenlijk gebruik (de hackersmindset). De engineersmindset is bij veel mensen wel aanwezig of anders prima aan te leren maar de hackersmindset is bij weinigen van nature aanwezig en vergt veel oefening en ervaring. Door zelfstudie wordt deze noodzakelijke hackersmindset maar zelden aangeleerd.

'Managers, zorg voor de juiste mensen op de juiste plek'

Een van de conclusies van de paneldiscussie was: 'voed je gebruikers op'. Hoewel ik het niet oneens ben met die stelling, vind ik wel dat iets anders momenteel voorrang heeft. En dat is: 'managers, zorg voor de juiste mensen op de juiste plek'. Stel de hackersmindset als vereiste bij het aannemen van software- en netwerkarchitecten, stuur al je ict'ers regelmatig op beveiligingscursus en maak beveiliging een verplicht en vast onderdeel van elk ict-project.

Meer dan een hobbyproject

De computer neemt in de hedendaagse samenleving al een zeer belangrijke plek in en dit gaat alleen maar meer worden. De smartphone, de OV-chipkaart en straks betalen met je mobiel. Het gebruik van 'de computer' neemt alsmaar toe. Daarom is het, als Anonymous, Diginotar en Lektober je nog niet de ogen hebben geopend, nu de hoogste tijd om wakker te worden. Om computersystemen veilig te krijgen zijn goede ict'ers nodig. Een goede ict'er ben je niet zomaar. Dat ben je niet na het uitvoeren van een paar hobbyprojecten. Daar is een goede studie, aanleg of ervaring voor nodig.