088-9951200
menu
Security

Informatiebeveiligers verpesten iedere awareness

Hadden CIO’s vroeger nog nachtmerries over onbeveiligde netwerken en wetgeving waaraan voldaan moest worden, vandaag de dag maakt men zich voornamelijk zorgen over personeelsproblemen en operationele incidenten. 

1. CIO’s liggen niet wakker van security

Hadden CIO’s vroeger nog nachtmerries over onbeveiligde netwerken en wetgeving waaraan voldaan moest worden, vandaag de dag maakt men zich voornamelijk zorgen over personeelsproblemen en operationele incidenten. Sterker nog, CIOs blijken zich nauwelijks nog zorgen te maken over compliance en security, aldus Everett Johnson van ITGI, dat hiernaar een wereldwijd onderzoek heeft uitgevoerd.
De vorderingen in compliance en security zouden te danken zijn aan projecten op het gebied van information security en compliance programma’s als Sarbanes-Oxley, die de laatste jaren hebben plaatsgevonden.
Toch is er wel degelijk reden tot bezorgdheid; slechts 24% van de CIO’s is verantwoordelijk voor IT-governance. Dat is verontrustend, omdat bestuur en CEO’s uiteindelijk verantwoordelijk zijn voor alle belangrijke assets, waaronder IT. 

2. CIO’s hebben inderdaad wel wat beters te doen

Er is geen roker die zich wat aantrekt van de waarschuwingen op een pakje sigaretten. Er is geen drinker die zich iets aantrekt van de slogan ‘drink met mate’. Zou dan een CIO zich iets aantrekken van de waarschuwingen van beveiligers? Zij hebben wel wat beters te doen. Bovendien weet iedere CIO intussen dat de meerderheid van de incidenten met betrekking tot veiligheid door eigen medewerkers wordt veroorzaakt. Sterker nog, het kan hem of haarzelf ook overkomen, terwijl de awareness toch wel degelijk aanwezig is.

Onlangs meldde het portal Security.nl via zijn nieuwsbrieven het volgende:

  • Internet Explorer lek massaal misbruikt door malware;
  • Postbank klanten doelwit van Trojaans paard;
  • Besloten security mailing list vindt meest security lekken;
  • Sun Grid tijdens opening door DoS-aanval getroffen;
  • Patches voor zeer ernstige lekken in RealPlayer;
  • Waarschuwing: Exploit voor ongepatcht Internet Explorer lek;
  • Interpol: Sommige ISP’s beschermen computercriminelen;
  • Symantec trekt Backup Exec patches terug wegens problemen;
  • Gehackte eBay en PayPal accounts verkocht op internet;
  • Mailservers kwetsbaar door ernstig lek in Sendmail MTA;
  • Weer ernstig lek in Internet Explorer gevonden;
  • Kazaa vormt ernstig gevaar voor internetters;
  • Gevaarlijk rootkit Trojan duo steelt 40.000 wachtwoorden;
  • Nederlander ontdekt ernstig lek in Internet Explorer;
  • Wachtwoord kwijt functie prooi voor hackers;
  • Microsoft sluit net rond Europese en Afrikaanse phishers;
  • Hardware firewalls zijn veiliger dan software firewalls;
  • Amerikaans raketschild wijd open door security lekken;
  • USB-sticks gevaarlijker dan geïnfecteerde e-mails;
  • Grote aanval op phpBB voorbereid?

Dit is het nieuws uit slechts één week. Zo’n waslijst stompt natuurlijk verschrikkelijk af. 

3. Niet het vele is goed, maar het goede is veel

Maar niet alleen een dergelijke waslijst van incidenten en dreigingen stompt af, dat geldt ook voor de meer dan 10 maatregelen in de aanbevolen baselines van ISO 17799 en ISO 27002, het VIR en noem de methodes maar op. De kwaliteit van de maatregelen is in de afgelopen jaren wel verbeterd, doordat meer nadruk wordt gelegd op de eigen keuzemogelijkheden, maar het aantal voorgestelde maatregelen is niet afgenomen. De baselines zijn dan ook de meest gevaarlijke virussen die op deze aardbol voortwoekeren. Ze heten vaak ook nog ‘best practices’, maar er is vrijwel niemand die ze praktisch vindt.
Voordat maatregelen geïmplementeerd worden, moet altijd eerst een risicoanalyse worden gedaan. Het risico kan nooit gereduceerd worden tot nul en dat moet je ook niet willen. Er moeten keuzes gemaakt worden op basis van de kans dat een incident zal voorkomen, maal de schade die dat incident dan veroorzaakt versus:

  • de kosten van de te nemen maatregel (initieel en exploitatie);
  • de mogelijkheid om de te nemen maatregel ook daadwerkelijk te handhaven (pakkans en sanctie);
  • de mate waarin de maatregel geaccepteerd zal worden.

Veelal kiest men voor een aanbevolen organisatorische maatregel, die in de praktijk dan onwerkbaar blijkt te zijn. Een bekend voorbeeld hiervan vinden we in ziekenhuizen bij het elektronische patiëntendossier. 

Meer weten of informatiebeveiliging of business continuity?

Contact

4. Elektronisch patiëntendossier – EPD

Het moge duidelijk zijn dat de vertrouwelijkheid van een elektronisch patiëntendossier zeer gevoelig ligt en dat de inhoud hiervan voor bijvoorbeeld zorgverzekeraars een vermogen vertegenwoordigt.
Wat is echter de praktijk? Het EPD wordt behalve door het ziekenhuis ook door verschillende zorgverleners in de zorgketen gebruikt. In veel gevallen in omgevingen die minder goed beveiligd zijn dan die in de ziekenhuizen en waar de discipline van de gebruikers lager is en de werkplekken fysiek ook minder goed zijn afgeschermd.
Tweede bottleneck is de verpleegzaal. In de praktijk wordt er door een verpleegkundige of een arts ingelogd en alle andere verzorgenden maken gebruik van dit account om tussen hun hoofdactiviteiten door in elk geval de nodige vastleggingen te doen. Natuurlijk heeft iedereen een eigen log-in, maar die wordt in de praktijk niet gebruikt in zo’n verpleegzaal. Dat houdt teveel op en zal betekenen dat de benodigde vastleggingen uitgesteld worden, met als gevolg dat de juistheid en volledigheid van de gegevens van verminderde kwaliteit worden of misschien dat er zelfs helemaal niet wordt vastgelegd.
Hier is dus sprake van een dilemma van enerzijds een zeer hoog risico versus anderzijds een hoge mate van onwerkbaarheid. En het gaat hierbij niet alleen om verantwoordelijkheid maar ook om aansprakelijkheid. (Zie ook ‘Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid!’.) In een dergelijk geval moet je ervoor kiezen om een geavanceerde inlogprocedure te kiezen via een irisscan of via een vingerafdruk, die razendsnel verloopt en met een automatische uitlogprocedure, waarbij de PC uiteraard wel stand-by blijft.
Vergeleken bij dit dilemma is het grootste deel van NEN 7510 peanuts. Het is daarom ook beter om belangrijke risico’s goed af te dekken, dan te kiezen voor een veelheid aan maatregelen. 

5. De dood van awareness voor security

Al jaren bestoken beveiligers hun klanten of hun directie met voorbeelden van voorvallen, die bedoeld zijn om de angst aan te wakkeren, dat ook zij geconfronteerd zullen worden met zulke incidenten. Maar iedere marketeer zou kunnen vertellen dat dat geen resultaat oplevert. Als men continu bestookt wordt met verhalen, wordt men hiervoor immuun. Het gaat bovendien niet om de hoeveelheid maatregelen, maar om het werkelijk afdekken van risico’s die er toe doen.
In veel gevallen is business continuity een beter uitgangspunt om awareness te kweken bij het management. Dan begrijpt het management precies waarom het gaat en wil het zich ook inspannen. En als eenmaal een attitude is geworteld, dan kan stap voor stap het aantal werkende maatregelen uitgebreid worden.

Actueel

Gerelateerd nieuws

05/06/2025

Zorgprofessionals voelen zich uitgeput: het belang van een goede RI&E in de zorg

Lees verder
04/06/2025

De VSME: een praktisch startpunt voor duurzaamheidsrapportage

Lees verder
28/05/2025

Kennisevent Bouw & Infra op 3 juli: op naar een veilige, duurzame en digitale toekomst

Lees verder
Lees meer