Albert Brouwer werkt bij PinkRoccade en is de winnaar van de Joop Bautz award 2002. Albert heeft jaren gewerkt bij het RCC, het Rijks Computer Centrum, waar hij de vervanger was van Joop Bautz. Samen met Joop heeft Albert een hele reeks publicaties op zijn naam staan waarvan sommigen verplichte kost zijn bij bepaalde opleidingen.
In de nasleep van de verkiezingen werd het een goed gesprek. Een gesprek waarin bruggen werden geslagen tussen politiek, mensen, informatiebeveiliging en techniek. En waarin serieus werd gesproken over een toekomstbeeld dat we allemaal niet zouden moeten willen.
In de opening van het gesprek werd de afgelopen verkiezingen besproken. Paars was afgerekend op het feit dat alleen ergens geld in stoppen niet werkt. Je moet controleren wat daarmee gebeurt ... ...
LK: Er is een grote discrepantie tussen wat je opschrijft, wat je dus wil, en wat er uiteindelijk gebeurt, de uitvoering van hetgeen je hebt opgeschreven. Dit geld voor de politiek, maar natuurlijk ook voor het vakgebied informatiebeveiliging. Kun je zeggen dat informatiebeveiliging voor een gedeelte politiek is?
AB: Ik heb al wel eens gezegd dat 80% van informatiebeveiliging in het hoofd zit. Mensen die in hun handelen veilig of onveilig zijn. Als ik op kantoor ben en me niet realiseer dat de gegevens waarmee ik werk van het bedrijf zijn en ik vervolgens de toegang die ik heb tot die gegevens doorgeef aan anderen, dan moet ik niet gek opkijken als die gegevens op straat komen te liggen. Als ik dus niet het besef heb dat ik zorgvuldig met die gegevens om moet gaan, dan helpen technische maatregelen ook niet meer.
LK: Moet dat bewustzijn nog steeds gekweekt worden bij mensen? Moet je er dus veel over praten?
AB: Ik ben daar wat dubbel in. Als je zegt, je moet het veel en vaak over informatiebeveiliging hebben, dan vraag ik je "Hoe vaak praat jij over de rem van je auto?" Daar praat je toch ook nooit over? Je hebt het wel over je auto en een onderdeel van je auto zijn die beveiligingsmaatregelen zoals de remmen. Je gaat er vanuit dat ze er in zitten, zonder dat je dat zelf controleert. Als je over informatievoorziening praat, dan vind ik dat een intrinsiek onderdeel daarvan veiligheid, toegangscontrole en bescherming van die informatie moeten zijn. Terwijl we het er nu nog als een additionele laag, een te begroten laag, overheen leggen. Op het moment dat dat gebeurt, dan wordt het een keuze en gaan we kijken of we het eigenlijk wel willen, of het het geld wel waard is. Dat is natuurlijk wel een probleem.
Vergelijk het met het kopen van een huis. Het zou toch idioot zijn als je een huis zou kopen zonder dat er een voordeur in zit? Waarbij de aannemer dan tijdens de oplevering zegt "Oh, had u ook een voordeur gewild?" en je vervolgens in een discussie komt met die man waarin je voor keuzes wordt geplaatst over de kleur van de voordeur, de grootte, of het wel in het budget past, etc.. etc.. In mijn ogen klopt dat niet. En het is ook zo dat we voor huizen bouwvoorschriften hebben waarin is vastgelegd dat er een voordeur in een huis moet zitten. Ook voor auto's en andere artikelen zijn dat soort voorschriften voorhanden. Alleen in dat gekke informatievoorzieningswereldje blijkt dat we dit soort voorschriften nog niet hebben. Je koopt nog steeds operating systemen met gaten erin. En daar overheen leggen we een laag met encryptie en toegangscontrole met wachtwoorden en dergelijke. We proberen zo een onveilig systeem veilig te maken.
LK: Is het dan wel mogelijk om veilige programmatuur te maken? Is dat niet veel te moeilijk?
AB: Kunnen we een veilige auto bouwen? De mens is feilbaar en dat wil zeggen dat het een keer fout kan gaan. Je kunt ook een verkeerde afslag nemen met je auto. Dat zijn gebruikersfouten. Maar ook de techniek zelf kan haperen. Ik las vanmorgen in de krant dat er weer een helke hoop auto's terug werd geroepen naar de dealer vanwege een probleem met de remmen.
LK: Dan praten we over een foutratio van een bepaald percentage. Een autofabrikant die 100.000 auto's maakt accepteert dat er bij een klein aantal dusdanig problemen kan ontstaan dat dit tot grote gevolgen kan leiden voor de bestuurders. Dat is voor de bestuurders en voor de fabrikant uiteindelijk een ingecalculeerd risico.
AB: Dat geeft dus de feilbaarheid van mensen al aan. Wij maken artikelen, producten, en die kunnen nu eenmaal stuk gaan. Dat wil echter niet zeggen dat we daar niet vantevoren over na kunnen denken. We kunnen een risico analyse doen.
LK: Wordt daarmee informatiebeveiliging het controleren, beheersbaar houden, van je risico's?
AB: Informatiebeveiliging is niks. Informatiebeveiliging staat gelijk aan kwaliteit. Als je een kwaliteitsproduct wil leveren dan hangen daar zekere kenmerken aan, en een van de kenmerken is beveiliging. Het moet dus een intrinsiek onderdeel zijn van de gehele informatievoorziening.
Overigens is dat ook veel beter te verkopen naar het management van een bedrijf. Met informatiebeveiliging hebben ze niets, maar met kwaliteit des te meer. Ik meen dat serieus. Een product dat niet (aantoonbaar) veilig is werkt naar mijn mening niet. Zo'n product is niet functioneel. Als je bijvoorbeeld een systeem hebt dat persoonsgegevens verwerkt, en iedereen kan daar zomaar bij, dan is dat naar mijn idee een slecht functionerend systeem. Je hoeft dat niet zozeer een onveilig systeem te noemen, maar het krijgt kwalitatief gezien gewoon een onvoldoende.
LK: Om dus de kwaliteit te kunnen bewaken zul je moeten weten welke onderdelen van een product of een dienst op elkaar in spelen?
AB: Onze wereld wordt daarin steeds ingewikkelder. Alles hangt aan elkaar, alles wordt met elkaar in verbinding gebracht. De naïviteit waarmee dat echter gebeurt is echter zeer groot. Vroeger kon je de ophaalbrug ophalen en daarmee voorkomen dat er nog iemand in je kasteel kwam. Nu is dat niet meer mogelijk. De maatschappij blijft aandringen op steeds verdergaande koppelingen. De consequenties daarvan beginnen we echter pas mondjesmaat te ondervinden en te leren. We zijn zeer incident gedreven bezig. We worden dus door schade en schande wijs.
Hoeveel kinderen moet je niet leren dat de kachel heet is door ze er met de handen op te drukken? Hoeveel bedrijven beginnen niet met aandacht schenken aan informatiebeveiliging nadat er geconstateerd is dat er iets mis is? Hoeveel bedrijven zijn er die a) geen maatregelen getroffen hebben tegen zaken als ongewenst surfgedrag en b) als ze al maatregelen hebben nooit hun personeel hebben ingelicht over wat wel of niet gewenst is? Dit soort bedrijven hebben ook geen mogelijkheid, geen artikel, om mensen die misbruik maken van bedrijfsmiddelen aan te pakken.
LK: Ok, maar je mag er toch vanuit gaan dat mensen weten, van nature, wat goed of slecht is?
AB: Dat klopt wel, maar mensen verschillen wel in de details waarover het gaat. Als ik bijvoorbeeld vind dat maar 120 km/uur mag rijden omdat dat nou eenmaal wettelijk is voorgeschreven, dan weet ik zeker dat een aantal van mijn collega's me uit zullen lachen. Er zijn nou eenmaal mensen die pas zachter gaan rijden als blijkt dat er ergens controle is. Er zijn dus verschillende opvattingen over goed en slecht.
Dat zie je ook terug in het vakgebied. Er zijn twee beveiligingsopvattingen: 1) je mag alles, tenzij het je verboden is of 2) je mag niets, tenzij het je is toegestaan. In het ene geval zul je middels technische maatregelen willen voorkomen dat mensen iets kunnen doen wat niet mag, in het andere geval zul je veel meer op vertrouwensbasis werken met je mensen.
LK: Moet dit ook altijd een keuze zijn van het management? Vaak blijkt namelijk dat een management helemaal niet geintereseeerd is in dit soort beslissingen. Managers denken vanuit de business processen en willen voorkomen dat die processen verstoort worden. En het delegeren naar lagere niveaus in de organisatie van dit soort zaken lijkt dan ook voor de hand liggend.
AB: Uiteindelijk zal er wel iemand moeten zijn die aangeeft wat de te beschermen bezittingen van het bedrijf zijn. Dit kun je niet overlaten aan de mensen op de werkvloer, omdat zij een beveiligingsmaatregel als een belemmering in hun handelen zullen zien. Je moet deze mensen echter wel mee laten praten bij het bepalen wat belangrijk is voor het bedrijf, de organisatie, en wat voor mogelijke oplossingen je kunt nemen om die beveiligingbeter te maken. Hiermee kweek je een stuk bewustzijn. Je zult ook versteld staan van de creativiteit van de mensen, de creativiteit die ze aan de dag leggen in het verzinnen van oplossingen die voor hen goed kunnen werken.
Het type bedrijf en het type informatie waarmee je omgaat kan voor een groot deel bepalend zijn, echter de knoop doorhakken zal toch echt door de eindverantwoordelijken moeten gebeuren.
LK: De werknemer blijft echter wel een heel belangrijke schakel in dit proces?
AB: Om duidelijk te krijgen wat er voor een bedrijf belangrijk is heb ik in projecten wel eens tegen zowel managers als werknemers gezegd "Wanneer krijg jij promotie, wanneer krijg je een goede beoordeling", of, "Wanneer krijg jij een slechte beoordeling?" En dan blijkt dat je een slechte beoordeling krijgt van de mensen waaraan jij verantwoording af moet leggen. Die mensen vinden namelijk bepaalde zaken belangrijk en andere zaken minder belangrijk. En dan vertel ik ze dat ze die zaken die hun manager belangrijk vind moeten beschermen. En dat ze dus geen dingen moeten doen die niet in de lijn liggen van wat er verwacht wordt.
Het heeft ook te maken met status en een status opbouwen. Als je volgend jaar een bepaalde status wilt hebben in de organisatie dan is er bepaald gedrag dat je niet kunt doen, dat je niet moet laten zien. Dat kan ieder voor zich best aardig beoordelen.
LK: We hebben allemaal de mond vol van awareness, bewustzijn, kweken. Dat is echter heel moeilijk. Hoe zou je dat goed aan kunnen pakken?
AB: Ken je het programma Crisis, dat door de NPS wordt uitgezonden? In dat programma worden crisis situaties nagespeeld. Er komen allerlei situaties in voor waarbij beslissingen moeten worden genomen over wat belangrijk is, wat prioriteit moet krijgen. Bescherm je bijvoorbeeld primair je mensen en dan je bedrijfscontinuïteit? Met het naspelen van dat soort situaties kweek je bewustzijn bij de mensen en zorg je er tevens voor dat procedures die je hebt kunnen worden getoetst. Door zo'n spel komt de onbeholpenheid die sommige organisaties kan kenmerken naar voren. Dit kan dus een goede manier zijn om dat bewustzijn te kweken.
LK: We moeten dus niet alleen de procedures kennen, maar ze ook uitvoeren. In de nasleep van 9-11 blijkt dat weliswaar veel gegevens al wel voorhanden waren, maar dat dit niet tot de juiste conclusies leidde.
AB: Als we de berichten in de media mogen geloven, dan blijkt dat zowel de FBI als de CIA aanwijzingen hadden kunnen hebben, of gegevens zo hadden kunnen interpreteren, dat duidelijk was geworden dat er iets te gebeuren stond. Maar het blijkt dat mensen niet zo denken. Mensen zijn niet continue bezig met allerlei verbanden leggen.
In informatiebeveiligingslezingen gebruik ik nogal eens de ondertitel "bijna alles gaat bijna altijd goed". Dat is een waarheid waarop ons grenzeloos optimisme gestoeld is. Terwijl je ook Murphy kunt volgen en kunt zeggen alles dat fout kan gaan gaat ook een keer fout. Wij kijken als mensen liever naar de dingen die goed gaan. En negen van de tien keer gaat het ook goed.
Er is niemand die in zijn auto stapt 's morgens en denkt ik zou vandaag wel eens een van die zes doden kunnen zijn die dagelijks in het verkeer vallen. Dat is nou eenmaal niet zoals de mens in elkaar zit. We gaan er altijd van uit dat jou het niet overkomt. Vraag mensen maar eens wanneer ze dievenklemmen in de ramen en deuren hebben laten zetten. In het merendeel van de gevallen gebeurt dit nadat er bij de buren is ingebroken.
Informatiebeveiliging is een vak dat vanuit de techniek is voortgekomen. Terwijl het veel verder gaat dan dat. Het zit bij wijze van spreken in de genen van mensen. Het is ook een vak vol met tegenstrijdigheden. Aan de ene kant wil je wel beschermd worden tegen ongewenste gebeurtenissen, terwijl aan de andere kant je niet belemmerd worden in de uitvoering van je taken.
LK: "Bijna alles gaat bijna altijd goed" ...
AB: Dat is eigenlijk de ellende van dit vak, daarom is er ook zo weinig bereidheid om te investeren. Ik heb zo veel interviews gehad met managers en wel eens de letterlijke tekst terug gekregen: "Zo meneer Brouwer, u zegt me dat ik voor een miljoen per jaar moet investeren om de informatiebeveiliging op orde te houden. Ik zit hier nu 10 jaar en er is nog nooit iets gebeurt. U zegt me dus dat ik 10 miljoen bespaard heb? Waarom zou ik dan dat miljoen investeren?"
Je kunt dan wel met het flauwe voorbeeld komen van de brandverzekering komen, waarvan je elk jaar de premie betaalt, maar waarvan je hoopt dat het nooit tot uitbetalen komt, maar dat is niet de juiste weg. Zolang je blijft denken dat informatiebeveiliging een additioneel onderdeel is, in plaats van een integraal onderdeel van de informatievoorziening, blijft dat een verkeerde discussie.
Als je het zo bekijkt zou het eigenlijk zo moeten zijn dat het vak van informatiebeveiligingsfunctionaris niet bestaat. De realiteit leert echter dat mensen met hun grenzeloze optimisme moeten worden gecontroleerd. En dat dus een IB functionaris als een soort horzel, een luis in de pels, de vinger moet blijven leggen op de zere plekken. Het duurt nog wel een aantal jaren voor het beveiligingsbewustzijn bij iedereen zover is doorgedrongen dat die controle niet meer op deze manier noodzakelijk is.
LK: Dus audits uit laten voeren?
AB: In de financiële wereld doet men dat ook. Je kunt de audits die daar jaarlijks worden uitgevoerd zien als een stok achter de deur. Met zo'n audit bepaal je niet of alles gedurende het jaar goed is gegaan, maar wel dat op een bepaald moment die controle wordt uitgevoerd. Zo werkt het ook met kwaliteitscertificaten en bijvoorbeeld de certificering voor de code voor informatiebeveiliging. Het is goed dat zo'n normen kader er is, ondanks alle kritiek die je er op kunt hebben. Want zo'n normenkader zorgt ervoor dat we kunnen controleren.
LK: Als ik dan de anologie trek met die autofabrikant die er voor moet zorgen dat de remmen van een auto goed zijn, zal die fabrikant dus bepaalde specifieke eisen stellen aan zijn leveranciers met betrekking tot de kwaliteit van de geleverde deel-producten en de controleerbaarheid daarvan. Zo'n fabrikant wil voorkomen dat door het gebruiken van slechte deel-producten de kwaliteit van zijn product achteruit gaat, met mogelijke claims van klanten tot gevolg. Hoe zit het met die keten-verantwoordelijkheid?
AB: Zo'n autofabrikant zal willen voorkomen dat hij een auto op de markt gaat brengen die door alle veiligheidseisen onbetaalbaar is geworden. Hij zal dus de marge van hetgeen toegestaan is op gaan zoeken. Dat wil niet zeggen dat er bewust wetten of voorschriften worden overtreden, maar wel dat men niet meer doet dan noodzakelijk is. Ze zullen dus die verantwoordelijkheid zelf nemen en die controle zelf uitvoeren. Omdat het de kwaliteit van hun product betreft.
In de IT wereld zie je dit besef langzaam groeien. Als er een probleem is met software dan zal de leverancier daarvan een oplossing maken en vervolgens zijn klanten op de hoogte stellen.
LK: Maar dan moet wel te controleren zijn of die software wel veilig is. Kijken we naar ontwikkelingen in de Verenigde Staten waar onderzoekers het dankzij de DMCA onmogelijk is gemaakt om software inhoudelijk te controleren op mogelijke problemen, dan wordt die audit mogelijkheid bemoeilijkt. Kunnen we software die eigenlijk een "black box" is wel vertrouwen?
AB: Dat ligt eraan hoe die software tot stand komt, wat voor processen er spelen bij zo'n fabrikant. Als die processen gecontroleerd zijn door externe partijen en dus de productspecificaties en het uiteindelijke product met elkaar in overeenstemming zijn, dan heb ik daar niet zo'n moeite mee.
In ons bedrijf (PinkRoccade, LK) hebben we iets dergelijks. We voeren de salaris administratie voor derden, ik geloof dat er elke maand bij ons 1,6 miljoen salarisstroken de deur uit gaan. Onze opdrachtgevers zouden natuurlijk het liefst bij ons in de keuken komen kijken of dat gehele proces wel ordentelijk verloopt. Dit zou alleen organisatorisch al zo'n invloed hebben op ons bedrijfsproces dat het de kwaliteit van onze dienstverlening negatief zou beïnvloeden. Dit kan natuurlijk niet. Dus laten we elk jaar de accountant ons bedrijfsproces controleren op bepaalde normen en dit rapport overleggen we bij onze klanten.
Is dit dan een garantie dat er nooit iets mis gaat? Natuurlijk niet, maar het betekent wel dat PinkRoccade scherp wordt gehouden omdat elk jaar die controle plaats vind. Informatiebeveiliging is in dit gehele proces dus belangrijk omdat het de kwaliteit van onze dienstverlening beinvloed. Ik blijf daar op hameren dat we informatiebeveiliging als een integraal onderdeel van het kwaliteitsdenken moeten zien.
Daarom ben ik ook zo blij dat op een gegeven moment in het beheersmatig denken men ook begon met het onderdeel informatiebeveiliging. Het heeft bijvoorbeeld heel lang geduurd voordat er in de ITIL boeken een hoofdstuk aan dit onderwerp werd gewijd.
LK: Als je je beheer goed op orde hebt, dan weet je dus wat je hebt, dan weet je wat je doet en dan is je informatiebeveiliging dus goed op orde?
AB: Daar ben ik het helemaal mee eens. Het wil echter niet zeggen dat er niet iemand met een gespecialiseerde pet op naar de veranderingsprocessen kijkt in de IT infrastructuur en zegt wanneer een change invloed heeft op beveiligingsonderdelen. Bij elke change zou je moeten kunnen aangeven of die wel of geen invloed op je beveiliging heeft en zo ja, wat voor maatregelen daartoe genomen zijn. Pas als die maatregelen zijn doorgevoerd kan men de change uitvoeren.
LK: Wat doe je nog meer behalve informatiebeveiliging?
AB: Ik heb eigenlijk maar twee hobbies, informatiebeveiliging en outsourcing. Zeker outsourcing is voor PinkRoccade een belangrijk onderdeel. Voor mij is het laatste zo belangrijk dat eigenlijk de laatste jaren informatiebeveiliging op een tweede plek is komen te staan. Ik ben natuurlijk door Joop Bautz in het IB vakgebied gerold, maar heb mezelf op een gegeven moment wel de vraag gesteld of ik alleen dit wilde doen of me ook nog verder wilde verbreden. Het blijft echter wel een belangrijk onderdeel voor mijn werk en ik merk dat door het winnen van de Joop Bautz award ook bij PinkRoccade medewerkers er ineens achter komen dat het een specialisme is van me. Ik zie dat IB dus op dit moment weer meer op de voorgrond treed.
Wat me verder opvalt is dat het IB vakgebied zo uitgebreid is. Het heeft op zoveel verschillende facetten invloed, dat het onmogelijk is als persoon om van alle technische en organisatorische onderdelen op de hoogte te zijn. Je kunt hooguit een helicopterview behouden en links en rechts een keer prikken door te vragen of men wel bij een aantal maatregelen heeft stilgestaan. Dat wil zeggen dat je diverse disciplines bij elkaar moet verzamelen. Je hebt mensen nodig die alles weten van internet technieken, van firewalls, smart-cards, PKI achtige zaken, tot en met alle producten die je maar kunt gebruiken.
Neem bijvoorbeeld PDA's (Personal Digital Assistants, LK). Die zijn per definitie onveilig. Mij is wel eens verteld dat op opleidingen van de politie deelnemers werd verteld dat ze nooit in hun agenda aantekeningen mochten maken die kunnen leiden naar onderzoeken waarmee men bezig is. Op het moment dat ze electronische agenda's kregen dachten ze dat deze dankzij het wachtwoord dat ze in moesten typen wel beveiligd zou zijn en dat ze dus in een electronische agenda wel die aantekingen konden maken. Men realiseert zich dus niet dat iemand die technisch iets beter onderlegd is zonder meer door die beveiliging heen prikt. Een IB functionaris weet dat misschien ook niet, maar moet wel in staat zijn om de vraag te stellen of zo'n apparaat dan wel veilig is.
LK: Het gevaar van digitale content blijft dat het niet te beveiligen is. Er is altijd door de beveiliging heen te breken. Wat heeft dat voor gevolgen voor de manier waarop we met digitale informatie moeten omgaan?
AB: Ik ben huiverig voor een wereld waarin we alles middels technische maatregelen zouden willen oplossen. Als burger vind ik het bijvoorbeeld best aardig dat ze in uitgaanscentra overal camera's neerhangen, maar als beveiliger denk ik, moet ik dat nou wel willen? Want die informatie kan ook misbruikt worden. Een voorbeeld van het misbruiken van informatie is het gefingeerde verhaal over een bedrijf waar in een laboratorium nieuwe producten worden ontwikkeld. De toegang tot dat lab wordt geregeld middels smartcards, waardoor men exact kan nakijken wanneer iemand het lab in of uitgaat. Diezelfde smartcard wordt gebruikt om het in de kantine mogelijk te maken om af te rekenen. Tot zover niets aparts.
Op een morgen wordt een mannelijke collega van dat lab opgebeld door zijn vrouw met de mededeling dat zijn zoontje een ongeluk heeft gehad en hij direct naar huis moet komen. Doordat hij die dag met de fiets is gekomen vraagt hij aan een vrouwelijke collega of ze hem even naar huis wil brengen. Zo geschiedde. De volgende dag keert de man terug op kantoor met de mededeling dat zijn zoontje die dag terug mag uit het ziekenhuis en eigenlijk alles met een sisser is afgelopen. Om zijn blijdschap te tonen gaat hij aan het einde van de dag naar de kantine om voor al zijn collega's wat te drinken te halen. Tot zover niets aan de hand.
Een week later moet diezelfde man bij zijn chef komen. Hij krijgt vervolgens een laatste waarschuwing omdat hij op onregelmatige tijden het bedrijf verlaat, dit ook nog eens doet met een vrouwelijke collega en als klap op de vuurpijl zich ongans eet en drinkt, wat te zien valt aan de rekening van de kantine.
Nou is dit natuurlijk een overtrokken voorbeeld en zal alles wel goed uit te leggen zijn, maar het is wel een voorbeeld van hoe men met informatie om kan gaan.
LK: Dat lijkt op een kafkaiaanse toekomstbeeld dat je hier schetst?
AB: Precies. Ik vraag me dan af of we dit wel moeten willen. Ik denk het zelf van niet. Moet ik straks met een geimplanteerde chip rond gaan lopen zodat ik overal gevolgd kan worden? Moet ik zo'n chip gaan gebruiken voor het authenticeren bij een geldautomaat en het krijgen van toegang tot de werkplek? Moet ik zo bang zijn dat ik mijn familieleden uit het oog verlies dat ik ze zo'n chip laat implanteren met GPS zodat ik op de centimeter nauwkeurig weet waar ze zijn? Ik moet er niet aan denken. De mens wordt dan een verlengstuk van de machine.
LK: Openbaring 13:18?
AB: Exact. De eerste familie die zichzelf heeft laten implanteren is er al. Voor mijn gevoel is dat een overtrokken angst, alsof je alles wat je niet wil kunt voorkomen. Aan de ene kant is het de hang naar veiligheid en begrijp ik dat ergens ook wel. Aan de andere kant vind ik het een degradatie van de mens. Het introduceren van een steeds grotere controleerbaarheid, waardoor een hogere macht, de overheid?, meer invloed op ons leven kan uitoefenen.
Je kunt je voorstellen dat er verkeerde interpretaties worden getrokken uit al die informatie die voorhanden is. Ik begrijp ook wel dat politiewerk tot op bepaalde hoogte makkelijker is geworden doordat wij altijd een mobieltje bij ons dragen en men dus ook weet waar we uitgehangen hebben. Daar zijn zaken door opgelost. Maar daar zijn misschien ook al wel de verkeerde mensen door berecht.
Ik heb dus mijn bedenkingen tegen dit soort ontwikkelingen. Niet alleen religieuze maar ook praktische, het lost namelijk niets op.
LK: Iedereen van het internet af en weer op de koffie bij de buren?
AB: Ik haal zelf wel eens het voorbeeld aan dat we in de tijd dat we nog geen computers hadden er niet aan moesten denken om in een onbekend kantoor binnen te stappen, de ladekast open te trekken en vervolgens met de aldus verkregen informatie terug te lopen naar je collega's en te zeggen "kijk nou eens wat ik gevonden heb!" Als je dat deed dan werd je ter plekke de tent uitgeschopt. De sociale controle was dusdanig dat je dat niet deed. Dat was je ook geleerd, het waren namelijk spullen van anderen.
Toen de PC kwam, en bij wijze van spreken die ladekasten er niet meer waren, zijn we massaal gaan proberen of we in de spullen van anderen rond konden neuzen. En dan zijn we er ook nog eens trots op als het lukt. Er is kennelijk een afstand geschapen tussen hetgeen dat tastbaar van een ander is of alleen electronisch. Misschien groeit er nu wel een generatie op die volledig met die electronische werkelijkheid om kan gaan, net als vroeger toen de sociale controle zo belangrijk was.
Briefgeheim heeft niet jarenlang gefunctioneerd omdat iedereen zich zo nodig aan de letter van de wet hield, maar omdat je dat gewoon niet deed, een brief voor een ander open maken. Ik weet zeker dat er ouders zijn met 15, 16-jarige kinderen, van wie de handen jeuken als er bepaalde brieven binnenkomen die voor het kroost bestemd zijn. Maar dat doe je dus niet. Terwijl meekijken over de schouder van iemand als die een e-mailtje aan het schrijven is ... vinden we dat ook zo erg?
LK: Dat zijn goede vraagstukken. Ik hoop wel dat de generatie die nu opgroeit en niet anders weet dan dat die electronische iudentiteit er is, er op een andere manier mee om gaat.
AB: En misschien zijn zij ook wel een stuk transparanter, een stuk minder benauwd wat betreft de bescherming van die eigen persoonlijke informatie. Want laten we wel wezen, privacy is natuurlijk ook maar een begrip wat sinds de industriële revolutie bestaat. Voor die tijd werkten mensen in heel kleine comunes. Pa, ma en de kinderen werkten met zijn allen samen om aan het eten te blijven. Iets groter had je een dorp of een gemeenschap, waarin iedereen oplette voor elkaar. Daar was niet zonder meer tussen te komen. Pas vanaf het moment dat Pa 16 tot 18 uur per dag naar de fabriek ging kwam het begrip privacy naar voren, want moeder wildde wel graag weten waar hij de hele dag uithing.
Wij doen geheimzinnig over wat we verdienen, een Amerikaan zegt "I got a 100.000 US$ job". In Denemarken of Zweden zijn belastinggevens gewoon openbaar. Daar kun je boven een bepaald inkomen gewoon zien wat iemand verdient. De culturele invloed op dat begrip privacy is natuurlijk heel erg groot. Je ziet dan dus ook dat daar een verschuiving in op treed. In de tijd dat we een olie crisis hadden moest er nog een ministerieel besluit aan te pas komen om de bestanden van de verzekeraars te koppelen zodat we aan benzine bonnen konden komen. Het was namelijk verboden om bestanden te koppelen, tenzij men daarvoor uitzondelrijke toestemming had. Tegenwoordig wordt vanuit het oogpunt van fraude bestrijding gevraagd "Waarom zijn deze bestanden niet gekoppeld?"
LK: Ok, maar komen we dan niet weer op dat gladde vlak waarin we conclusies gaan trekken op basis van gekoppelde bestanden, waarin gegevens zijn opgenomen die wel eens niet kunnen kloppen?
AB: Sterker zelfs, je moet gaan bewijzen dat die gegevens niet kloppen. Ik heb het zelf meegemaakt met het aanvragen van een hypotheek voor een huis, waarbij me die werd ontzegd omdat ik in Tiel bij de BKR geregistreerd stond als wanbetaler. Men gaat er vanuit dat de gegevens die in de computer staan goed zijn. Dus je krijgt te maken met een soort omgekeerde bewijslast.
LK: Ik heb nog een vraag. Van een collega van je, Gerrit Post: "is het mogelijk om aan de hand van een aantal kenmerken een profielschets te maken van een informatiebeveiliger?"
AB: Ik denk dat een belangrijk aspect moet zijn dat je gepantserd moet zijn tegen het feit dat je altijd tegen de stroom moet inroeien. Daar moet je tegen kunnen. Een tweede punt wat ik heel veel zie bij informatiebeveiligers is het kunnen slaan van een brug tussen techniek en organisatie. En ze moeten allemaal kunnen denken in doem scenario's, wat kan er verkeerd gaan. Je hoeft geen zwartkijker te zijn, maar je moet wel zwart kunnen kijken. En door durven vragen. Geen genoegen nemen met halve antwoorden. En het zijn vaak wat introverte mensen, het zijn niet snel mensen die naar buiten durven treden.
In het jury rapport las ik dat ik een bescheiden mens was. Toen ik dat mijn vrouw liet lezen moet ik zeggen dat ze het daar niet mee eens was. Dus die laatste regel gaat niet altijd op. Ik heb zelf altijd graag congressen toegesproken, dit in tegenstelling tot Joop, die dat liever niet deed.
LK: Ik heb gezocht naar publicaties van je, maar ik kan er via het internet niet zoveel vinden. Je zou toch denken dat je wordt doodgegooid met links naar publicaties van je als je al zolang met die informatiebeveiliging bezig bent?
AB: Ik heb ook voornamelijk meegewerkt aan werkgroepen en dergelijke van onder andere het NGI. Dus als je gaat zoeken naar publicaties van me, dan kom je die niet zoveel tegen. Ik heb voor het RCC in de begintijd eens een artikel geschreven waarin we een kubus hadden ontwikkeld van 3 bij 3 bij 3. Die kubus gebruiken we nog steeds, ik zie hem zelfs op congressen terugkomen. Een zijde wordt dan ingevuld door vertrouwelijkheid, integriteit en continuïteit. De andere zijde wordt ingevuld door maatregelen die je kunt treffen: fysieke, organisatorische en logische, c.q. programmeerbare maatregelen. En kenmerken van die maatregelen kunnen dan zijn dat ze preventief zijn, repressief of herstellend. Dan krijg je 3 x 3 x 3 = 27 minikubusjes. En elk van die kubusjes bevat vervolgens een pakket maatregelen waarmee een bepaald facet van de informatiebeveiliging wordt aangepakt.
In het eerste boekje wat ik samen met Joop geschreven heb hebben we dit idee uitgewerkt. Nu zien we dit nog steeds terugkomen in publicaties van PinkRoccade.
LK: Is het vakgebied informatiebeveiliging volwassen geworden in al die jaren?
AB: Als je het vakgebied vergelijkt met het Capability and Maturity model dan zitten we nog ergens vooraan in de ontwikkeling. Het lijkt nog overal chaos te zijn. De IT heeft dat nog niet in de hand zoals de bouwwereld dat in de hand heeft. En misschien hebben we ook wel iets heel bijzonders in de hand met onze automatisering. Want het neemt ons een stukje menselijk handelen uit handen. En zolang wij nieuwe dingen blijven verzinnen, nieuwe toepassingen blijven maken en meer zaken blijven koppelen, worden er nieuwe mogelijkheden geïntroduceerd en blijft er nog genoeg te doen in ons vakgebied.
LK: Dank je Albert voor dit prettige en aangename gesprek.