Visie: Software, security en overheid

De stortvloed aan publiciteit overcybercrime in al zijn verschijningsvormen zal niemand zijn ontgaan. Alle security-leveranciers hebben van zich laten horen en ook de overheid heeft allerlei initiatieven op stapel staan. Aan security-bewustzijn kan het niet meer liggen, zou je denken. Ongetwijfeld zullen veruit de meest organisaties maatregelen hebben genomen. Maar of die maatregelen adequaat zijn, is een ander verhaal. Security is lang gezien als een echte ICT-aangelegenheid. Dat is een misverstand en ik denk dat dit een van de oorzaken is van falende beveiliging.

Security is een zaak van alle betrokkenen en dat besef begint eigenlijk nu pas post te vatten. Er is vanzelfsprekend een rol weggelegd voor organisaties zelf en voor security-aanbieders. Maar in mijn optiek hebben ook prominente leveranciers van softwareproducten een grote verantwoordelijkheid. Hun producten moeten niet alleen functioneel doen wat ze moeten doen, de software moet ook veilig zijn en vooral ook veilig gehouden worden. Als gevolg van de toenemende populariteit van de cloud komen ook steeds meersoftwareproducten online beschikbaar, veelal door de leverancier vanuit een private cloud aangeboden. Nu is een van de argumenten van een organisatie om naar de cloud te gaan, ontzorging. Tegelijk is de organisatie afhankelijk geworden van de aanbieder, dus ook op securitygebied.De zorg voor de cloud security wordt daarmee de verantwoordelijkheid van de aanbieder.

Dat betekent dat deze aanbieders de verantwoordelijkheid hebben om verder te professionaliseren en ook op cloudgebiedz org zullen moeten dragen voor optimale beveiliging. Zij zullen hun softwareproducten functioneel op orde hebben, hun systemen goed hebben ingericht en beschikken over de nodige goedkeuringsstempels en certificaten. Prima, maar dit zegt niets over de beveiliging.

Zeker, alles 100 procent waterdicht maken gaat niet, maar dit geeft aan waar de aandacht naartoe moet gaan. Bijvoorbeeld het inschakelen van een onafhankelijke partij die controleert of alle processen die gevolgd worden in orde zijn, waarbij security uiteraard moet worden meegewogen. Dit is de manier waarop we het zelfaanpakken. We schakelen Deloitte in voor het doorlichten van onze processen. Afgaand op de rapportage van Deloitte scoren we weliswaar prima, maar we realiseren ons dat we zo goed zijn als de laatste aanval die we hebben kunnen pareren. Security vergt daarom continu aandacht. We houden voortdurend de vinger aan de pols en houden scherp in de gaten wat de implicaties van bedreigingen zijn voor onze eigen producten.

Verder heeft de manier waarop softwareproducten worden ingezet een impact op de security. Eerder heb ik op deze plaats bepleit géén ‘best of breed’ aanpak te kiezen als het gaat om softwareproducten.‘Best of breed’ zou in theorie de beste oplossing moeten opleveren, maar in de praktijk komt daar niet veel van terecht.Door alle koppelingen die nodig zijn om al die best of breed software op de juiste manier te verbinden, is de kans op fouten en lekken groot, waardoor de security in gevaarkomt. Een goed geïntegreerd systeem (’best of suite’) vermindert de kans op dit soort securityproblemenaanzienlijk.

Bovengenoemde stappen zijn noodzakelijk, maar niet genoeg. Adequate security kan alleen gerealiseerd worden door samenwerking op hoog niveau tussen bedrijfsleven, de IT-sector én de overheid. Tot voor kort beperkte de rol van overheid zich voornamelijk tot voorlichting en privacyregelgeving. Maar hier komt nu een broodnodige kentering in. De overheid maakt meer werk van voorlichting (bijvoorbeeld de campagne Alert Online) en minister Opstelten wil samen met het bedrijfsleven slim investeren in digitale weerbaarheid. Broodnodig, want een ontplooiingsperiode, waarin ict zorgt voor belangwekkende veranderingen voor mens en maatschappij, kan alleen aanbreken als we maatschappijbreed zorg dragen voor onze digitale veiligheid.

Robin van Poelje is CEO van TSS