Vorige week maandag was ik op de bijeenkomst 'Weerbaarheid tegen cyberincidenten'. Er kwam een behoorlijke bobo-lijst, dus had ik een de nieuwe blouse aan die mijn vrouw bij de DDD had gescoord (eerst gestreken!), mijn schoenen gepoetst en was ik op de trein naar Den Haag gestapt.
Het was warm en druk en ik stond redelijk achteraan, zwetend in mijn nieuwe blouse. Dus aan het einde kon ik de opmerking dat we zo aan het bier gingen wel waarderen. En terwijl ik bezig was de mosterd voor bij mijn bitterbal te zoeken, werd er nog wat gezegd. Over Diginotar. Gezien het onderwerp van de dag natuurlijk bijzonder actueel. 'We hebben het uitstekend gedaan' (misschien is de quote niet letterlijk correct, maar dat komt dus door, natuurlijk, die bitterbal). Nu ben ik niet erg ad rem, redelijk introvert en zoals ik schreef, was ik op zoek naar de mosterd. Het kwartje viel dus pas 10 minuten later op weg naar huis. 'We hebben het uitstekend gedaan': wat een gotspe! Ik had me terplekke dramatisch in die bitterbal moeten verslikken en hoestend en stotterend moeten vragen wat er dan in vredesnaam uitstekend gegaan was. Bij nader inzien en twee zinnen verder, bleek dat er gedoeld werd op de afhandeling van het ‘incident’. Was ik dus wat meer ad rem geweest, dan zou dat dus verloren zijn gegaan in mijn opvoering van verontwaardiging. Bij nader inzien niet zo heel erg om wat trager te zijn.
Het Diginotar-incident zal de ict-geschiedenis ingaan als een van de omvangrijkste incidenten die we ooit in Nederland hebben gehad. Donner houdt tenslotte niet voor de lol om 1 uur ‘s nachts een persconferentie! Zelfs een van mijn buren, voor wie ict niets anders is dan iets waar zijn buurman zijn geld mee verdient, vroeg me er naar. Microsoft heeft zijn patchronde voor de eerste keer in zijn bestaan voor een land moeten aanpassen omdat anders de complete overheid was platgegaan. Volgens de belastingtelefoon moest ik mijn wijziging maar even twee weken uitstellen, want de veiligheid was niet gegarandeerd. En laten we het er maar niet over hebben hoeveel mensen in Iran naar aanleiding van hun maatschappijkritische zoekopdracht op een nep-Google zijn opgepakt, omdat de overheid kon meelezen.
Het ict-beveiligingsbeleid van vele organisaties schiet al jaren tekort, met het Diginotar-voorbeeld als dieptepunt. Zoals op dezelfde bijeenkomst ook gezegd werd: in de kosten-batenafweging worden vele risico’s niet afgedekt, omdat we denken dat het waarschijnlijk toch niet gebeurt en dat de schade wel meevalt als het toch gebeurt. Er werd daarom tijdens de bijeenkomst voor gepleit om elke dag een audit te doen of om minimaal een budget van 8 procent van de totale kosten voor beveiliging te reserveren. Hoewel hier op zichzelf niets mis mee is, zijn deze ideeën symptoombestrijding. Ook beveiliging van ict (niet alleen logisch, maar zelfs fysiek) is onderdeel van de keten. Bij Diginotar ging het mis nadat een hacker rootcertificaten kon aanmaken. Hiermee kon hij elke HTTPS-sessie onterecht voorzien van een ‘veilig certificaat’ van dit bedrijf laten doorgaan. Ict-beveiliging is niet een op zichzelf staand iets, met als hoogste goed, de heilige root-sleutel. Waar het in de eerste plaats om gaat, is een dienst aan de eindgebruiker, een burger, een organisatie of overheidsdienst met een informatiebehoefte. En bij alles wat er gedaan wordt om die behoefte in te vullen, is de beveiliging een onderdeel. Je kan niet een website maken en na afloop met wat extra’s zorgen dat het veilig is. Het complete ontwerp van infrastructuur en architectuur tot het kleinste softwaredetail moet gericht zijn op correct leveren, dus veilig. Helaas zullen ict-oplossingen hier niet goedkoper van worden. Van bovenaf zal men dus moeten beslissen of er meer geld gebruikt wordt of – wat mijns inziens nog beter is – dat er gekeken wordt wat echt nodig is in de basis. Dan is er misschien niet elke twee maanden een nieuwe versie nodig, maar wel een basisontwerp dat in één keer goed is.
Zo, en nu voor de bitterballen mét mosterd.
De Bobo’s mogen dan wel hun kop in het zand steken en zichzelf op de borst kloppen, maar zelfs hoe het incident is afgehandeld was tenenkrommend slecht. Partijen die langs elkaar dingen in de media slingeren en lekke sites die onnodig lang in de lucht bleven. Plus nog het feit dat het nog steeds mogelijk was om voor de Iraanse geheime dienst om haar burgers af te luisteren. (Hoeveel daarvan zijn gemarteld en/of ter dood veroordeeld?)
Het ontbreken van zelfreinigend vermogen is in die zin dan ook stuitend en weerzinwekkend te noemen.
Op webwereld legt een voormalig medewerker zijn visie uit van hoe er binnen Diginotar werd gewerkt. Een triest voorbeeld van hoe gierigheid van een manager een heel bedrijf om zeep kan helpen. Iedere ICTer op de werkvloer weet dat dit aan de orde van de dag is.
Wat dat betreft is dit stukje dan ook nog eens treffend. Een klein moment van onoplettendheid en je mist een kans om in te grijpen. Of was het zelfs in dit geval toch wel moeilijk om over die innerlijke drempel heen te komen om op dat moment tegen de algemene opinie in te gaan en het gevaar om afgekeurd te worden?
Quote:
Bij Diginotar ging het mis nadat een hacker rootcertificaten kon aanmaken.
Unquote..
Niet Rootcertificaten, maar ‘gewone’ certificaten. Maar op zich erg genoeg.