Ondanks dat sommige problemen onoplosbaar lijken, zijn er soms hele simpele oplossingen voor. De uitstoot van CO2 door vliegtuigen, bijvoorbeeld. Bij KLM kun je voor € 8 de CO2 uitstoot van je Europese vlucht in Economy Class compenseren. Probleem opgelost. Of neem het probleem van ransomware. KPN biedt een antivirus oplossing die volgens hun website "al uw apparaten beschermt tegen alle mogelijke bedreigingen, van ransomware tot datalekken". Probleem opgelost.
Natuurlijk zijn problemen niet zo eenvoudig op te lossen. Je kunt CO2 wel compenseren door bomen te planten maar alle opgenomen CO2 komt weer vrij als de boom gekapt wordt of sterft. Die virusscanner van KPN beschermt je net zo min tegen alle gevaren als een bodyguard je kan beschermen tegen alle gevaren. Dat weten we sinds Kevin Costner Whitney Houston beschermde voor een aanslag, maar ze daarna in bad verdronk na een overdosis.
ISO en NEN
Op eenzelfde manier heb ik me de laatste maanden verdiept in audits en certificeringen. Klanten maken zich (terecht) zorgen om het risico op ransomware. Hoe weet je nou of het netwerk voldoende beschermd is? Een stempel van ISO of NEN, is dat de oplossing Afgelopen maand sprak ik daar een extern security-bedrijf over.
Tot mijn verbazing geeft ISO niet veel antwoorden op mijn vragen. Het zegt niet eens wat voor wachtwoord veilig genoeg is. Moet je wachtwoorden laten verlopen of niet? Is het wachtwoord "Ik kan mijn wachtwoord niet onthouden" net zo veilig als "i3q75sQ$" ? Als ISO dat niet weet, wat heb je er dan aan?
Voor een bepaalde klant worden we jaarlijks gevraagd door hun auditor om een schermafbeelding aan te leveren waaruit blijkt dat "alles geback-upt wordt". Was het maar zo simpel, denk ik dan. Je weet niet of iemand stiekem lokaal op zijn computer bestanden opslaat. Of op een CNC-machine. Of dat er ergens anders nog data staat die niet in de backup is opgenomen. Hoe kan ik weten wat ik niet weet? Ik ben heel goed in het gaten schieten in dat soort dingen.
Dooddoeners
Het gevaar met certificeringen is al snel dat je het nut onderuit haalt met dooddoeners. "Een beter slot op deur? Als ze per sé willen dan komen ze toch wel binnen."
Of "Testen? Je kunt toch niet alles van te voren testen." En wat te denken van: "Privacy? Ze weten toch al alles van je." Ik heb daar wel een handje van en wil er graag aan toevoegen: "Schoffelen? Eén regenbui en al het onkruid is weer terug" en vraag me ook niet naar het nut van autowassen.
Het nut
Op zich zie ik het nut van het proces zelf wel in. Wie wel eens een Risico Inventarisatie & Evaluatie (RI & E) heeft gedaan (en dat is elk bedrijf verplicht) weet hoe het werkt: je doorloopt een lijst van risico's en vinkt aan wat van toepassing is, bijvoorbeeld een los liggend verlengsnoer of loszittende trapleuning.
Dat is geen probleem, je kunt gewoon verder maar je loopt wel in een soort val. Je hebt nu risico's waar je maatregelen (het Plan van Aanpak) aan moet toevoegen om verder te kunnen en die maatregelen vereisen een persoon die het gaat doen en een datum waarop het klaar moet zijn. En dat moet je ondertekenen.
Dus nu heb je een belofte gedaan die zwart op wit staat. Heel irritant als je van plan was die losse verlengsnoer gewoon te laten liggen met de opmerking dat we het gevaar verwaarloosbaar achten. Die optie bestaat namelijk niet.
Wat ik ervan opgestoken heb
Maar ook al kun je gaten schieten in de aanpak van de "papieren tijger", feit is dat het doorlopen van het proces de beste manier is om verder te komen als dat je doel is. Je kunt met een beter slot niet alle inbraken voorkomen, maar wil je minder kans op een inbraak dan zul je een beter slot moeten monteren. Je kunt ook niet alles vooraf testen maar wil je minder fouten dan zul je beter moeten testen.
Zo kun je ook niet alle risico's in je computernetwerk uitsluiten maar wil je een veiliger netwerk dan zul je moeten beginnen met het afdekken van de belangrijkste risico's. Om daar verder mee te komen zul je iets op papier moeten zetten.
1. Inventariseren
Van het proces heb ik een aantal dingen opgestoken.
Ten eerste: breng alles in kaart zodat je wat te bespreken hebt:
Breng de risico's in kaart. De kans dat je een update mist, de kans dat een gebruiker iets fout doet, de kans dat de backup het niet doet, etc. Wat kan er allemaal mis gaan.
Breng de gevolgen in kaart. Hoe erg is het voor het bedrijf?
Breng de maatregelen in kaart. Wat hebben we gedaan om die risico's te verkleinen?
Daarna bespreek je samen de bevindingen. Het is niet erg dat er hier en daar niet wordt voldaan aan de allerhoogste eisen. We weten dat, we hebben het erover gehad en we stemmen ermee in. En dus schrijven we dat ook op.
2. Controleer de IT'ers
Als bedrijf moet je zelf bepaalde dingen controleren: bijvoorbeeld backups en de installatie van updates. Je moet niet alleen maar vertrouwen op het IT-bedrijf dat het netwerk beheert. Er is software die maandelijks een mailtje stuurt met een samenvatting van alle aangetroffen gevaren. Daar kun je ook zelf naar kijken. Het zal ook veel gevaren niet in kaart brengen maar het is beter dan niets.
3. Wie heeft wat gedaan?
Laat personen met een eigen account inloggen. Het is belangrijk om te weten (achteraf) wie wat gedaan heeft. Daarvoor is logging belangrijk maar ook dat iedereen met een eigen account werkt. Dit geldt voor eigen medewerkers (geen algemeen administratie-account voor meerdere parttimers), maar ook voor externen.
Werken meerdere medewerkers van uw accountant op uw administratie, laat ze dan een eigen inlognaam gebruiken (dat kost meestal wel meer licenties).
Het voorkomt ook dat mensen uit dienst nog toegang houden via het gedeelde account waarvan het wachtwoord niet gewijzigd is.
4. Gedragscode ICT-Gebruik
Een belangrijk onderdeel van de beveiliging vormen de gebruikers. Het is eenvoudig om een Gedragscode ICT-Gebruik op stellen en te laten ondertekenen. Daarin staat bijvoorbeeld dat mensen alleen gebruik mogen maken van computers en software van het bedrijf - dus geen privé laptops of eigen applicaties.
Je kunt er ook in zetten dat software altijd door de IT-beheerder geïnstalleerd moet worden en dat alle wachtwoorden in een wachtwoord-manager opgeslagen moeten zijn (en niet in een Excel bestand).
5. Scan het netwerk
Er is software waarin een complete database is opgenomen van allerlei bekende kwetsbaarheden. Deze software kan automatisch het netwerk doorzoeken en een rapport genereren van alles dat aangetroffen is. Het rangschikt de gevaren zelf al in bepaalde risico-niveau's: kritisch, hoog, matig, laag. Je kunt afspreken dat je geen enkel kritisch risico accepteert. Dat betekent dan misschien ook dat bepaalde software (die wellicht te oud is) niet meer gebruikt kan worden.
6. Doen wat je zegt
Tot slot moeten we vooral ook doen wat we afgesproken hebben. Persoonlijk vind ik dit de moeilijkste ;-). Goede voornemens zijn er voldoende maar in de praktijk is het lastig om je aan afspraken te houden.
In de Formule 1 wordt niet gereden wanneer het weer te slecht is. De reden is dat bij een ernstig ongeluk de medische helicopter moet kunnen opstijgen. Als dat niet kan en je hebt ooit besloten dat je een helicopter nodig hebt, dan kun je dus ook niet rijden als je niet kunt vliegen. Dat is een gevolg van de regel en daar houden ze zich aan.
Er zijn altijd nadelen verbonden aan procedures. We kunnen afspreken dat een wijziging altijd via een formulier aangevraagd moet worden maar in de praktijk worden we gebeld door een klant vanuit de auto die snel iets gedaan moet hebben. Of een leverancier die nu ter plekke is en nu een programma moet installeren en anders pas over 10 jaar weer tijd heeft om terug te komen.
Er is altijd wel een uitzondering, maar dan werkt het niet. Een tijdje geleden was de Ketheltunnel op de snelweg A4 bij Rotterdam in beide richtingen dicht vanwege twee zieke personeelsleden. Tja, als de regel is dat iemand de tunnel moet monitoren en er is niemand, dan snap ik de beredenering. Procedures, het blijft lastig.