Information Security Management 2002
Op dinsdag 16 en woensdag 17 april vond in Hotel Figi te Zeist het vierde Information Security Management congres (ISMc) 2002 plaats. Het ISMc is een congres dat door een aantal nederlandse ICT verenigingen wordt georganiseerd: GvIB, PI, NGI, NGN, Norea, ISACA, ITSMF en VBN. Thema van dit jaar was ‘Onschatbare waarde’. Een verwijzing naar de waarde van informatie en ICT in onze huidige maatschappij en de waarde van informatiebeveiliging voor de continuïteit van en het vertrouwen in onze economie. Waarmee ook de dagthema's duidelijk zijn gemaakt: continuïteit en vertrouwen. Een impressie van twee dagen informatiebeveiliging.
Dag één: continuïteit
Dag een werd afgetrapt door Thomas Stutler, speciaal agent belast met economische spionage van de FBI. In een amusante presentatie werd door hem ingegaan op problemen met spionage die door de FBI zijn aangepakt. Bedrijven als Bristol Myers, Deloitte & Touch, IBM en Intel hebben allemaal te maken gehad met gevallen van bedrijfsspionage, met miljoenen en miljoenen euro’s schade tot gevolg. Stutler gaf onder de noemer C.R.I.M.E. een aantal oorzaken die ten grondslag liggen aan bedrijfsspionage en dan voornamelijk die spionage die gepleegd wordt door betrouwbaar geachte medewerkers.
C.R.I.M.E. staat in het FBI spionage jargon voor Compromise, Revenge, Ideology, Money - Manipulation en Ego. De oorzaak van spionage door medewerkers valt onder een van deze noemers. Te denken valt dan aan medewerkers die slechts zeer korte tijd bij het bedrijf werken (Compromise), medewerkers die problemen hebben met promoties van anderen (Revenge) of medewerkers die in geld problemen zitten (Money).
De treffende voorbeelden die Stutler gaf werden door hem opgevolgd met eenvoudige maatregelen. De belangrijkste boodschap voor de afdeling personeelszaken: "Breng de sociale netwerken in kaart". De algehele boodschap die hij de verschillende Security Officers uit de zaal meegaf was "Question All & Everything". Waarmee maar is aangetoond dat een gezonde portie achterdocht in ieder geval noodzakelijk is voor informatiebeveiligers.
Het parallelprogramma van de eerste dag voorzag onder andere in een lezing over ketenmanagement bij KPN door Johan van den Bosch, Security Manager aldaar. Zijn presentatie met als rode draad het gedicht ‘Het Huwelijk’van Willem Elschot (met de vaak gebruikte quote: ‘maar tussen droom en daad staan wetten in den weg en praktische bezwaren’) gaf aan hoe groot het gat tussen beleid en praktijk is. Nu ook ICT een sector is geworden waar de eindproducten bestaan uit geassembleerde halffabrikaten van diverse toeleveranciers, blijkt dat op het gebied van informatiebeveiliging nog veel werk valt te verrichten. Zijn advies: leg afspraken vast in SLA's en geef een groeipad aan voor het verbeteren van het beveiligingsniveau onder het motto: securing your clients and customers = securing your business.
In het partnerprogramma van PinkRoccade werd ingegaan op PKI implementaties. De presentatie door John Hermans (PKI in de praktijk) was een verademing om naar te luisteren. Met gevoel voor understatement maakte John duidelijk dat PKI een enabling technologie is. En dat één van de belangrijkste problemen met PKI is dat er nog steeds geen goede normenkaders zijn opgesteld. De aanpak die door Confideon wordt gehanteerd (Think, Plan, Establish, Operate) bij het implementeren van een PKI is vooral door het benoemen van de eerste fase opvallend. Want vaak wordt die fase overgeslagen.
Vertrouwen en outsourcing. Controleren en certificeren. De sessie door Wim Hafkamp (Programmamanager Informatiebeveiliging bij Rabobank Nederland) en Friso de Jong (advocaat bij Hoge van den Broek Advocaten en Notarissen) speelde zich af op de grenzen van kennis en opinie. In een aantal stellingen rondom informatiebeveiliging werd aan de zaal gevraagd om ‘eens|oneens’ reacties. Vooral de stelling ‘een goede vertrouwensrelatie tussen klant/opdrachtgever en de externe dienstverlener is belangrijker dan een goede overeenkomst’ kon op warm commentaar uit de zaal rekenen. Want ook al is een goede vertrouwensrelatie nog zo belangrijk, volgens sommigen bestaat zonder vertrouwen geen contract en aan vertrouwen heb je niets als je eenmaal bij de rechter staat. Vertrouwen laat zich nu eenmaal moeilijk uitdrukken in termen als afdwingbaarheid en verhaalsmogelijkheid. Naast vertrouwen blijkt eigen ethisch handelen en dit verlangen van zakenpartners een steeds belangrijker onderdeel van zakendoen te worden. De vraag blijft echter hoe dit valt te controleren. Hoe weet je zeker dat een organisatie niet onethisch handelt? Ook de scheidslijn tussen ethiek en omzet kon wel eens voor problemen zorgen.
De geruchtmakende zaak tegen een aantal werknemers van DSM die werden ontslagen vanwege misbruik van bedrijfsmiddelen werd door Bart den Bleijker, hoofd DSM Security, toegelicht. Zijn boodschap was duidelijk: alles mag, maar slechts tot op bepaalde hoogte. En medewerkers die niet zeker weten of iets mag kunnen dit navragen bij hun manager. Een andere wijze les was vastleggen dat systeembeheerders niet tot op persoonsniveau controles mogen uitvoeren. Door het functioneel scheiden van de verantwoordelijkheden tussen medewerkers uit de beheergroep en medewerkers uit de beveiligingsgroep worden beide beschermd tegen mogelijk misbruik van hun positie.
Het plenaire Cyber War and Cyber Defense - spel van Winn Schwartau maakte een groot deel van de deelnemers een stuk beveiligingsbewuster. En na een af en toe hilarische, hoewel niet altijd even sterke, 45 minuten was duidelijk hoe het kan dat alleen de Amerikaanse mariniers ooit het spel hebben gewonnen. Mariniers moeten tenslotte te allen tijde op elkaar kunnen rekenen, hun leven kan afhangen van het vertrouwen dat de leden van de groep in elkaar stellen. Op een pijnlijke manier werd echter duidelijk dat mensen in tijden van crisis maar al te graag elkaar de schuld geven van zaken die niet goed gaan. En dat plannen hebben en plannen volgen twee heel verschillende begrippen zijn.
Met de uitreiking van de Joop Bautz Security Award werd de eerste dag afgesloten. In de categorie ‘professional’ ging de Joop Bautz Security Award naar Albert Brouwer, op dit moment werkzaam in een informatiebeveiligingsfunctie bij PinkRoccade, voor zijn gehele oeuvre op dit vakgebied.
Miek Gieben, student aan de Katholieke Universiteit Nijmegen, ontving de Joop Bautz Security Award in de categorie ‘potential’ voor zijn afstudeerscriptie getiteld ‘Chain of Trust, the parent-child and keyholder-keysigner relations and their communication in DNSSEC’.
Dag twee: vertrouwen
Op de eerste dag had dagvoorzitter Edwin Rutten de zaal een spiegel voorgehouden: “Eigenlijk is dit het probleem met u: u bent veel te bescheiden! U zou eens wat meer de openbaarheid moeten zoeken.” Zelf actie ondernemen dus, niet afwachten tot het management of de overheid zijn houding ten opzichte van informatiebeveiliging verandert.
De plenaire aftrap van Fred Horbeek (Hoofd Beveiliging Rabobank Nederland) op dag 2 – een dag die in het teken stond van ‘Vertrouwen’ – sloot aan op de oproep van Edwin Rutten om het heft in eigen hand te nemen. Onder de titel ‘Baan, beroep, roeping of roepende in de woestijn’ wees Fred op de eigen verantwoordelijkheid van de informatiebeveiliger om het vakgebied op de kaart te zetten. Bij tijden ongenuanceerd, af en toe wellicht bedreigend rechtstreeks kende deze sessie zijn sterke en zwakke kanten. Sterk waren de momenten waarop Fred zijn publiek een spiegel voorhield, zwakker de momenten waarop hij van zichzelf leek te schrikken, met kracht afremde en kort tot stilstand kwam om de draad van zijn voorbereide verhaal weer op te nemen.
In de theoriestroom presenteerde Jaap-Henk Hoepman, universitair docent aan de Universiteit Twente, zijn kijk op PKI: "if PKI is the answer, then what was the question?". Met het nodige sceptisme werd de PKI-markt door Jaap-Henk onder de loep genomen en werd ingegaan op wat vertrouwen eigenlijk is en hoe vertrouwen wordt opgebouwd. De vraag of autorisatie altijd gekoppeld moet worden aan een identiteit werd door Jaap-Henk afgewezen met de analogie van een café. In een café wil men namelijk wel weten wat voor leeftijd je hebt, maar niet zozeer wie je bent. De nadruk ligt op het gebruik bepaalde kenmerken - de oplossing zou kunnen liggen in het gebruiken van attribuut certificaten: certificaten waarmee men vertrouwen kan opbouwen en waarmee men autorisaties kan controleren. Een interessant standpunt waar we nog meer over gaan horen.
De positie van de informatiebeveiliger werd door Frank van der Linden (Beleidsmedewerker Informatiebeveiliging bij de IND) in een amusante en swingende presentatie vergeleken met die van de brandweer: "hingen mensen vroeger wel eens uit de ramen als we met de brandweer de straat in kwamen rijden, als informatiebeveiliger krijg je in de regel minder enthousiaste begroetingen". In het project SKI, Samenwerking Keten Informatisering, van de IND is men bezig de diverse informatiestromen rondom het immigratie en naturalisatieproces te controleren. In dit project heeft men te maken met bijzondere gegevens (zoals ras en geloof) van de asielzoeker. De bescherming van deze informatie is van wezenlijk belang, niet alleen voor de bescherming van de positie van de vluchteling in ons land, maar ook voor de bescherming van de vluchteling indien hij of zij niet tot nederland wordt toegelaten. De rol van de informatiebeveiliger is dan ook er voor te zorgen dat de projectgroep geïnformeerd wordt over de technische en organisatorische mogelijkheden en plichten. "Ken uw elevatorpitch" waren de afsluitende woorden van Frank. Informatiebeveiligers moeten meer doen aan (interne) marketing.
De technische noot werd verzorgd door Hans van de Looy (Senior Security Consultant, Madison Gurkha). In een drie kwartier durend betoog werd door hem duidelijk gemaakt dat het bar en boos gesteld is met de beveiliging van wireless netwerken (WLAN). De reden? De techniek die nu nog wordt gebruikt voor WLAN is onveilig. Zelfs het gebruiken van encryptie middels het WEP protocol is geen garantie. Hans presenteerde een aantal kaarten van Amsterdam, Rotterdam en Utrecht, waarop hij de WLANs had aangegeven die benaderbaar zijn. En hoewel het gemak van op straat kunnen surfen via het netwerk van een ander de meeste aanwezigen wel aansprak, gaf de veiligheid bij een aantal bedrijven wel te denken. Want als het wireless netwerk open staat voor iedereen, wat is men dan nog meer vergeten? Zijn aanbevelingen (gebruik altijd een VPN over WLAN en behandel het verkeer dat vanaf het WLAN komt altijd als untrusted) werden door de aanwezigen in de oren geknoopt.
Ten slotte liet Simon Lelieveldt in een presentatie over E-payment zijn licht schijnen over een aantal onderzoeksresultaten met betrekking tot fraude via het internet. Zijn rapport, dat door het ECP wordt uitgegeven, laat zien dat het nogal meevalt met de zogenaamde onveiligheid van het internet. Het blijkt dat fraude met credit cards in alle gevallen, voor alle credit card maatschappijen, is afgenomen sinds 1992, in bepaalde gevallen zelfs met meer dan 60%. Het grootste gevaar van de credit card? De magneetstrip. En hoe is het zo gekomen? Door opgeblazen berichtgeving door de media en slechte marketing vanuit de banken.
De oorspronkelijke deelnemers aan het plenaire politiek debat op de laatste dag waren door de val van het kabinet verhinderd. PvdA, D66 en VVD stuurden vervangers. De opvallendste uitspraak was die door Diederik Samsom (PvdA), die geheel in lijn met de geest van het congres zei dat "de overheid niet voldoende het voortouw neemt in de bescherming van de kritische infrastructuren". Op de vraag of hij het KWINT-rapport had gelezen zei de van Greenpeace afkomstige ex-actievoerder volmondig "Nee". Net als trouwens de vertegenwoordigers van D66 en VVD.
Verder werd pittige discussie gevoerd over onder andere de last-mile problematiek, de rol van de overheid als launching customer, het grote gebrek aan content en de escape mogelijkheid voor de overheid waar het regulering van cryptografie betreft. De heren politici waren duidelijk getraind in het gebruiken van de goede buzz-words. Over vier jaar kunnen we controleren of men de daad bij het woord heeft gevoegd.
Afronding
Twee dagen vol met informatiebeveiliging. In bijna alle presentaties werd een brug geslagen naar het begrip ‘vertrouwen’. Want zonder vertrouwen vaart niemand wel. En in bijna alle presentaties werd aangegeven dat continuïteit de drijvende kracht is achter beveiligingsprojecten. Continuïteit en vertrouwen, de beide subthema’s van het congres, werden dus goed uitgewerkt door de sprekers. Wat dat betreft is het een geslaagd congres te noemen.
Minpunten misschien toch wel de versnippering van het groot aantal sessies en daardoor de onmogelijkheid om bij alle sessies aanwezig te zijn. Een interactieve sessie is bijvoorbeeld razend interessant. Als zo’n sessie echter een hele morgen duurt is het onmogelijk om aan één van de andere sessies deel te nemen die op dat moment plaatsvinden. Dag twee gaf bijvoorbeeld 's middags een lange sessie met Winn Schwartau, terwijl gelijktijdig Ernst Oud een presentatie gaf over het managen van informatiebeveiliging. Verder was de enige sessie waar enigszins op de techniek werd ingegaan de WLAN demonstratie van Hans van de Looy. Terwijl we toch allemaal weten dat techniek een onmisbaar onderdeel is van het vakgebied, dit ondanks alle praatjes over de mens als zwakke schakel en het belang van procedures en regels.
Maar vertrouwen is een groot goed. De organisatie heeft zich in ieder geval van haar goede kant laten zien door op- en aanmerkingen van bezoekers van afgelopen jaar te verwerken in de nieuwe opzet. Ik ben dan ook zeer benieuwd naar het congres van komend jaar.