SECURITY_2011_10 by VMN Media

nummer 10, oktober 2011

ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING SECURITY Management

Advantage Line van Bosch Beveiligingstoepassingen voor het midden- en kleinbedrijf

www.securitymanagement.nl

THEMA: INFORMATIEBEVEILIGING

Discussie over dilemma’s informatiebeveiliging

Waar trek je de grens? Een nieuwe reeks beveiligingscamera’s en recorders met een uitstekende beeldkwaliteit voor een scherpe prijs. nummer 10, oktober 2011

Vrijheid versus veiligheid

Informatiebeveiliging in de cloud

Professionals vinden elkaar in risico

be bright be sure

SecurityManagement

Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Kluwer BV. Kluwer legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Kluwer, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (adekort@kluwer.nl) Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@kluwer.nl Advertentieverkoop Liesbeth van den Hoek/Arjen Tuitert Telefoon (0172) 46 64 71 / 46 64 42 E-mail: lvdhoek@kluwer.nl, atuitert@kluwer.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, ☎ (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 125,- exclusief btw, per jaar. Studenten betalen € 49,- inclusief btw. Prijzen zijn inclusief verzenden administratiekosten. Losse verkoopprijs € 16,00 per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk 2e en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter grifﬁe van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via ☎ (0570) 67 33 58. Partners Axis Communications, EuroPAC Alarmcentrale, G4S Beveiliging bv, Insasco, Securitas, Trigion Opmaak en DTP colorscan bv, Voorhout - www.colorscan.nl Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: DeltaHage, Den Haag

Ook uw probleem

co lum n

Het schrijven van deze column is elke maand weer een leuke uitdaging, waarbij ik mij meestal richt op de actualiteit of de inhoud van het nummer dat in productie gaat. Dit keer viel alles samen en vloog het onderwerp voor deze column min of meer als een gebraden duif in mijn mond. Immers, een themanummer informatiebeveiliging invullen en dan geconfronteerd worden met de DigiNotar-affaire, hoe mooi kan het leven zijn? De DigiNotar-hack waardoor een groot aantal overheidssites onbetrouwbaar bleek, toonde maar weer eens dat de combinatie van overheid en ICT geen gelukkige is. Het was het zoveelste incident in een reeks van blunders die zich de afgelopen jaren bij de overheid voordeden. Ik breng u er nog even een paar in herinnering: de OV-chipkaart waarmee na een kraak gratis kon worden gereisd, het elektronisch patiëntendossier waar de Eerste Kamer dit jaar een streep doorheen haalde omdat de opzet niet veilig genoeg was, stemcomputers die fraudegevoelig bleken, de vorige maand uitgelekte miljoenennota. En dan zijn er ook nog zaken die op een heel ander niveau spelen. Zo bleek onlangs dat de veiligheid van de Staat (!) bij ICT-gerelateerde incidenten sinds 2009 veertien keer in het geding is geweest. We mogen ons denk ik terecht afvragen hoe betrouwbaar de overheid nog is als het om ICT gaat, en of zij wel voldoende is uitgerust om de strijd met cybercriminelen aan te gaan – laat staan te winnen. Wat dat betreft ligt er een meer dan schone taak voor de deze zomer geïnstalleerde Cyber Security Raad. Mocht u denken dat dit u als security manager in het bedrijfsleven niet raakt, dan wil ik u graag uit de droom helpen. Want ook bedrijven krijgen steeds vaker te maken met ICT-incidenten. In Nederland gaat het om 43 procent van de bedrijven. Nu hoor ik u denken dat dit probleem toch vooral op het bordje van uw ICT-collega ligt. En het moet gezegd, u wordt daarin gesterkt door de Security Management Survey 2010, waaruit blijkt dat ICT-security slechts in 2 procent van de gevallen in het takenpakket van de security manager zit. Maar is dat nog wel van deze tijd? Bekijkt u daarom eens het programma van het congres Veiligheid & Risico, waar samenwerking tussen de verschillende veiligheidsprofessionals aan de orde komt. Het is toch ‘het probleem’ van alle veiligheidsprofessionals? Arjen de Kort Hoofdredacteur Security Management, adekort@kluwer.nl

ISSN 1386-0941

www.securitymanagement.nl

Security Management Groep Meer Security Management? Volg ons ook op Twitter: www.twitter.com/@Security_Mgt Security Management nummer 10 oktober 2011

SecurityManagement Onafhankelijk vakblad voor professionele beveiliging

t hema | informatiebeveiliging

10 Waar trek je de grens?

Informatiebeveiliging is voor veel organisaties een weerbarstig onderwerp. Vaak is het geen ‘core business’, maar meestal is er wel het besef dat er risico’s worden gelopen en is er dus dat knagende gevoel ‘er iets mee te moeten’. Maar wat? En hoe? Security Management bracht twee ervaringsdeskundigen bij elkaar om over deze dilemma’s te discussiëren.

t hema | informatiebeveiliging

26 Vrijheid versus veiligheid

Voor criminelen is internet een grote speeltuin. De vrijheid is enorm. Er is geen internationale internetpolitie of een internationaal internetstrafhof. Criminelen zien internet als een handig hulpmiddel of een plek die uitnodigt tot nieuwe misdaad. Wetgeving, vrijwel altijd op nationaal niveau, hobbelt achter de feiten aan. Terwijl het grote publiek steeds vaker wordt geconfronteerd met de gevolgen van cybercrime. Drie experts geven hun mening.

38 Professionals vinden elkaar in risico

Veiligheid is een breed begrip waar verschillende groepen professionals elk met een eigen blik naar kijken, en waar ze een eigen aanpak op loslaten met een eigen instrumentarium. Maar wat kunnen ze van elkaar leren? En hoe zien die leerprocessen er in de praktijk uit?

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

14 Informatiebeveiliging in vogelvlucht

Informatiebeveiliging en fysieke beveiliging hebben veel met elkaar gemeen. De onderwerpen overlappen elkaar ook sterk. Vanwege de directe zichtbaarheid spreekt fysieke beveiliging vaak tot de verbeelding. Informatiebeveiliging daarentegen is abstracter en 'landt' niet zo gemakkelijk bij medewerkers of managers.

16 Rubriceren, een vak apart?

Gerubriceerde informatie is niet altijd gevoelige informatie, en andersom. In dit artikel wordt uitgelegd hoe dat zit. Tegelijk wordt stilgestaan bij een nadelig effect hiervan, namelijk dat de kans op het lekken van gevoelige informatie wordt vergroot.

20 Mobiele apparatuur niet langer zwakste schakel

Door Het Nieuwe Werken maken veel medewerkers zowel zakelijk als privé gebruik van smartphones en andere mobiele apparaten, zoals laptops en de populaire tablets. IT staat dan ook voor nieuwe uitdagingen op het gebied van security en beheer.

24 De buitenwereld op je netwerk

Het Nieuwe Werken en Bring Your Own Device zijn ontwikkelingen waarmee steeds meer organisaties te maken krijgen. Draadloze netwerken zijn een aanjager hiervan. Een belangrijk gevolg is dat je als organisatie te maken krijgt met ‘nieuwe’ gebruikers. Hoe regel je dan je beveiliging?

En verder 3

colofon

column

nieuws

recherche

recht

producten

contacten en contracten

column Colin T.

30 Informatiebeveiliging in de cloud

Opkomende diensten in de vorm van ‘cloudservices’ stellen organisaties voor nieuwe uitdagingen. Deze nieuwe vorm van dienstverlening brengt namelijk speciﬁeke risico’s met zich mee ten aanzien van informatiebeveiliging.

34 Geheimschrift voldoet niet meer

Regelmatig verschijnen er verhalen in de pers over gelekte bedrijfsinformatie of het verlies van een usb-stick met vertrouwelijke gegevens. Dit dataverlies heeft vaak reputatieschade tot gevolg. Daarom is het aan te raden om als bedrijf een beleid op te stellen om dataverlies te voorkomen.

37 Niet mijn probleem

Gastcolumn door Hans Labruyère.

42 Asis 2011 in Orlando

Van 19 tot en met 22 september vond het 57ste Annual Seminar & Exhibits van Asis International plaats. Meer dan 20.000 securityprofessionals vanuit de hele wereld kwamen daarvoor naar Orlando in de VS.

46 Het Nieuwe Werken = risico’s accepteren? Gastcolumn door Marcel Boekhorst.

Coverfoto: Eduard van der Worp

Security Management nummer 10 oktober 2011

nieuws

Hogere pakkans bij ernstige misdrijven Slimmere werkwijzen moeten ervoor zorgen dat overvallers, straatrovers, geweldplegers en woninginbrekers vaker en sneller in hun kraag worden gevat. Minister Opstelten en staatssecretaris Teeven willen de pakkans voor dit soort ernstige misdrijven aanzienlijk verhogen. Dat schrijven de bewindslieden van Veiligheid & Justitie in de Begroting 2012. Het feit dat de daders van dit soort ernstige delicten nu nog relatief vaak de dans weten te ontspringen, is hen een doorn in het oog. De pakkans moet omhoog – en wel met een kwart ten opzichte van het huidige percentage. Nieuwe, slimme hulpmiddelen en werkwijzen moeten dit mogelijk maken. Zo zal de politie vaker gebruik gaan maken van real time intelligence, een concept waarbij agenten die aanrijden op een melding online worden voorzien van actuele informatie. Dit stelt hen in staat ter plekke snel en gericht op te treden, wat de kans dat ze de dader oppakken aanzienlijk vergroot. Slimme camera’s in (bijvoorbeeld) winkels, die na een alarm de beelden direct doorsturen naar de politie, dragen eveneens bij aan verhoging van de pakkans.

diefstal, verlies of misbruik van persoonsgegevens te melden. Daartoe wordt een wijziging van de Wet bescherming persoonsgegevens (Wbp) voorbereid. » Er komt een Nationaal Politiekorps – geleid door één korpschef – dat bestaat uit tien regionale eenheden, één landelijke eenheid en het Politie Dienstencentrum. De daarvoor noodzakelijke wetgeving treedt begin 2012 in werking. » In 2012 wordt het wetsvoorstel ANPR (automatic numberplate recognition) in het parlement behandeld. Dit voorstel maakt automatische kentekenregistratie met behulp van camera’s wettelijk mogelijk. ANPR levert naar verwachting een belangrijke bijdrage aan preventie, opsporing en vervolging van strafbare feiten. » Volgend jaar staat in het teken van de doorontwikkeling van de Veilig-

heidshuizen. In een Veiligheidshuis werken instanties als gemeente, OM, politie, (jeugd) reclassering, jeugdbescherming en zorgpartners samen aan een geïntegreerde, dadergerichte aanpak van veelplegers, huiselijkgeweldplegers, risicojongeren en ex-gedetineerden. » Het ministerie van V&J bekijkt, samen met vertegenwoordigers van gemeenten, OM en politie hoe cameratoezicht ruimer kan worden toegepast. Het streven is de verruimde mogelijkheden in 2012 te laten ingaan. » Burgemeesters kunnen straks voor maximaal twaalf uur een gebied aanwijzen waar de politie preventief op wapens mag fouilleren als dat noodzakelijk is voor de handhaving van de openbare orde. De regeling kan eind volgend jaar in werking treden.

Andere opvallende punten uit de begroting van V&J in de Miljoenennota 2011: » Aanbieders van informatiediensten worden in 2012 verplicht

Fraudeurs bestelen burgers via DigiD Duizenden mensen zijn mogelijk geld misgelopen doordat fraudeurs met een andere elektronische handtekening (DigiD) hun zorg-, huur- of kinderopvangtoeslag bij de Belastingdienst aanvroegen. De dienst controleerde het afgelopen jaar niet of de elektronische handteke-

ning wel bij de aanvrager hoort. Dit blijkt uit onderzoek van NRC Handelsblad. Via het computerprogramma waarmee burgers toeslagen aanvragen, vroegen de oplichters onder andermans naam voorschotten aan en incasseerden die. De gedupeerden ontvingen niet waar ze recht op hadden, of kregen van de Belastingdienst vorderingen wegens onterecht ontvangen voorschotten van

Security Management nummer 10 oktober 2011

soms duizenden euro’s. Doordat de Belastingdienst niet controleerde of de gebruikte DigiD overeenkwam met het burgerservicenummer van de aanvrager, konden fraudeurs op naam, burgerservicenummer en geboortedatum van een willekeurige persoon een toeslag aanvragen. De Belastingdienst bevestigt dat er ‘steeds meer’ op die manier is gefraudeerd.

nieuws

Ruimer gebruik toezichtcamera Minister Opstelten (Veiligheid) wil cameratoezicht verbeteren door flexibeler gebruik van de apparaten. De Gemeentewet eist cameratoezicht vanaf een vaste plek, waardoor de camera’s niet altijd van pas komen waar ze het hardste nodig zijn. Burgemeesters moet daar soepeler mee kunnen omgaan, vindt de minister. Zij moeten

de camera’s voor een paar weken of maanden in een gebied kunnen hangen als dat nodig is voor handhaving van de openbare orde. Ook moeten camera’s worden gebruikt in de strijd tegen zaken als hondenpoep, graffiti en vuilnis. Beelden van overtredingen die de leefbaarheid aantasten, moeten bij de gemeente terecht kunnen komen. Bedrijven kunnen straks ook ruimer met cameratoezicht

omgaan. Camera’s die zij ophangen, mogen ook een stuk van de openbare weg gaan vastleggen.

ICT-strubbelingen van de overheid De afgelopen maand toonde de DigiNotar-affaire weer eens dat de combinatie van overheid en ICT geen gelukkige lijkt. De hack van de veiligheidscertificaten waardoor een groot aantal overheidssites onbetrouwbaar bleek, was het zoveelste incident in een reeks van blunders en incidenten die zich de afgelopen jaren bij de overheid voordeden. Een overzicht. » Uitgelekte miljoenennota: een journalist wist recentelijk met een simpele handeling bij de miljoenennota 2011 te komen, die eigenlijk nog niet online had mogen staan. » DigiNotar: dit bedrijf in Beverwijk dat veiligheidscertificaten verkocht voor een fors aantal overheidssites, bleek zelf niet helemaal waterdicht. DigiNotar werd in juli gekraakt door Iraanse hackers. De overheid zegde het vertrouwen op in DigiNotar en moest halsoverkop op zoek naar andere beveiligingscertificaten. » Vingerafdrukken: de overheid besloot dit voorjaar te stoppen met het bewaren van vingerafdrukken

die nodig zijn voor paspoorten. De opslag blijkt te veel onzekerheden te kennen, waardoor fouten zouden kunnen ontstaan bij het vaststellen van een identiteit. OV-chipkaart: ICT-experts toonden begin 2011 aan dat het vervoerbewijs makkelijk te kraken is, waardoor gratis kan worden gereisd. Elektronisch patiëntendossier (EPD): jarenlang werkte de overheid aan het opzetten van een EPD. De Eerste Kamer haalde begin dit jaar een streep door het plan, omdat de opzet niet veilig genoeg was. Politiesysteem: de politie worstelt al jaren met een slecht werkend computersysteem waarmee agenten aangiften en processen-verbaal vastleggen. In juni verscheen een zeer kritisch rapport van de Algemene Rekenkamer over dit systeem. Stemcomputers: in

2009 keert Nederland terug naar het tijdperk van het rode stempotlood, nadat een hacker aantoonde dat stemcomputers fraudegevoelig zijn. » Belastingdienst: in 2008 moeten 730.000 belastingplichtigen opnieuw hun digitale aangifte versturen. Door een fout in het computersysteem waren de al ingediende aangiftes onbruikbaar geworden.

Veiligheid ICT Staat in geding De veiligheid van de Staat zou bij aan ICT gerelateerde incidenten sinds 2009 veertien keer in het geding geweest. Dat blijkt volgens Webwereld en Nu.nl uit een lijst van beveiligingsincidenten, die zij in handen kregen na een beroep op de Wet openbaarheid bestuur (Wob).

In zeven van de gevallen was sprake van een gerichte aanval; in twee gevallen was er mogelijk sprake van een dergelijke aanval, aldus de twee nieuwssites. De gegevens komen van Govcert, dat voor de Nederlandse overheid ondersteuning biedt bij incidenten. De twee sites deden een beroep op de

Wob voor tientallen incidenten, waarbij er veertien werden geweigerd vanwege ‘de veiligheid van de Staat’. Dat is een zwaarwegende reden om informatie te weigeren. Volgens hoogleraar bestuursrecht Bernd van der Meulen van Wageningen Universiteit betekent dit dat de dreiging nog actueel is, zei hij tegen Webwereld.

Security Management nummer 10 oktober 2011

nieuws

Camera herkent ongewenste tramreiziger De maatregel moet agressie tegen medewerkers in het openbaar vervoer tegengaan.

De Rotterdamse vervoersmaatschappij RET hangt in de loop van deze week in de tram camera’s op die instappende passagiers aan het gezicht kunnen herkennen. Als een reiziger een ov-verbod heeft, dan krijgt de bestuurder een seintje.

Agressieve reizigers worden al een paar jaar geweerd uit de tram. De conducteur heeft daartoe foto’s van die personen bij zich, maar is vaak te druk met andere zaken om de gezichten te checken. De privacy is niet in het geding, stelt een RET-woordvoerder. ‘De camera scant alleen gezichtskenmerken en die zijn niet gekoppeld aan persoonsgegevens.’ Het gaat om een proef van een jaar.

Opstelten wil meer politievrijwilligers Het aantal vrijwilligers bij de politie gaat als het aan minister Opstelten van Veiligheid ligt fors omhoog. De bewindsman wil dat het er in 2015 bijna 5.000 zijn. Op dit moment zijn er nog ruim 2.300 vrijwilligers; zij vertegenwoordigen iets meer dan 4,5 procent van de politiesterkte. Het aantal vrijwilligers is de afgelopen jaren gedaald. Volgens Opstelten zijn vrijwilligers echter belangrijk voor de betrokkenheid van burgers bij de veiligheid op straat. Ook brengen zij een ‘frisse blik’ en ervaring mee waarmee de politie haar voordeel kan doen.

Richard Franken, commercieel directeur van beveiligingsbedrijf Trigion, ziet de inzet van politievrijwilligers als oneigenlijke concurrentie en een poging om kosten te drukken. ‘Het frustreert dat de overheid niet zoekt naar de meest efficiënte oplossing om toezicht en handhaving te organiseren, maar een relatief dure politieorganisatie aanvult met goedkope vrijwilligers.’ Liever blijft hij vanuit de sector in gesprek over een effectieve en efficiënte verdeling van taken tussen politiefunctionarissen en beveiligingsprofessionals. ‘De slagen die daarmee gemaakt kunnen worden, zijn vele malen groter dan met de inzet van politievrijwilligers’, aldus Franken.

Congres Het Nieuwe Security Op 3 november aanstaande organiseert Security Management in samenwerking met Asis Benelux Chapter in Woudschoten Conferentiecentrum in Zeist het Security Management Congres 2011. Thema is Het Nieuwe Security. Naast inspirerende plenaire sprekers, zijn er boeiende kennis- en inloopsessies, exclusieve expertmeetings, interessante rondetafels, een debat, en bestaat ook de mogelijkheid een verhelderende speed-coachingsessie bij te wonen. Meer informatie: www.securitymanagement.nl/congres

Amsterdam scant kentekens inkomend verkeer De Amsterdamse politie gaat alle auto’s die de hoofdstad inrijden, scannen op basis van het kenteken. Uit onderzoek is gebleken dat het juridisch is toegestaan om bestaande camera’s die nu controleren of er geen vervuilde vrachtwagens de stad binnenrijden, in te zetten om de zogenaamde ANPR-gegevens

Security Management nummer 10 oktober 2011

van alle auto’s die via de ringweg en enkele andere grote toegangswegen naar Amsterdam rijden, te controleren. De beelden worden dan gebruikt om de gegevens van nummerborden te koppelen aan verdachten van overlast of bijvoorbeeld mensen die nog een boete hebben openstaan.‘Die kunnen we dan onmiddellijk staande houden’, aldus een politiewoordvoerder. De camerabeelden worden niet opgeslagen, zo laat de zegsman weten. De maatregel gaat vermoedelijk eind dit jaar in.

nieuws

Congres Veiligheid & Risico Kluwer en Inosar organiseren dinsdag 6 december op de SS Rotterdam het congres Veiligheid & Risico - Meer winst uit samenwerking. Het is voor het eerst dat de verschillende professionals uit de veiligheidsketen (security, safety, public safety, riskmanagement, arbo, veiligheid, KAM en HSE) de gelegenheid wordt geboden om gezamenlijk de meerwaarde van samenwerking te ontdekken. Op dit congres hoort u de visie en ervaringen van verscheidene sprekers uit wetenschap, bedrijfsleven, overheid en

verzekeringsinstanties. Centraal staat de winst die door samenwerking kan worden behaald. Op www.inosar.com/congres is het volledige programma te raadplegen en kunt u zich inschrijven.

Forse kritiek op brandbestrijding Moerdijk De brandweer in de veiligheidsregio Midden- en West-Brabant was onvoldoende uitgerust om branden zoals bij Chemie-Pack in Moerdijk begin dit jaar goed te bestrijden. Bovendien lieten de autoriteiten forse steken vallen bij de aanpak van de brand en werden hulpverleners onnodig blootgesteld aan gevaarlijke stoffen. Deze conclusies trekken de Inspectie Openbare Orde en Veiligheid (IOOV) en de Arbeidsinspectie in twee kritische rapporten. Volgens de inspectie waren de autoritei-

ten slecht voorbereid op een brand met een dergelijke omvang als bij ChemiePack. Op verschillende niveaus ontbrak het aan regie. Leidinggevenden communiceerden niet met elkaar en er werden tegenstrijdige berichten gegeven. Door het gebrek aan leiding was er geen goed en compleet beeld van de brand en werd meer bluswater gebruikt dan noodzakelijk, zo staat in het inspectierapport. Minister Opstelten van Veiligheid en Justitie neemt alle aanbevelingen over en stelt geld beschikbaar voor betere samenwerking tussen veiligheidsregioâ&#x20AC;&#x2122;s en regioâ&#x20AC;&#x2122;s met veel gevaarlijke bedrijven.

Defensie moet bewaking schepen regelen Defensie moet koopvaardijschepen meer bescherming gaan bieden tegen Somalische piraten. Daarbij kan personeel van particuliere bedrijven worden ingehuurd. Deze beveiligers kunnen dan tijdelijk de status van militair krijgen. Dat staat in een advies van commissie-De Wijkerslooth over de inzet van beveiligingsbedrijven bij de bescherming van Nederlandse koopvaardijschepen. De commissie vindt voldoende beveiliging van de schepen een plicht van de overheid. Alle in aanmerking komende transporten moeten volgens het advies dan ook door Defensie worden beschermd. Om de ingehuurde beveiligers onder de bestaande regels voor het dragen en gebruiken van wapens te laten vallen, kunnen zij tijdelijk de status van militair krijgen. Dat geldt ook voor buitenlanders. Voor de inhuur van gewapende beveiligers door de reders zelf moeten te veel regels worden veranderd. Maar de commissie is er ook niet principieel op tegen dat reders zelf bewakers meenemen op hun schepen. Als het de overheid niet lukt genoeg bescherming te bieden, kan dit tot de mogelijkheden behoren, vooral als dat in nieuwe verdragen wordt vastgelegd en ook andere landen aan reders toestemming geven zelf beveiligers in te huren.

Adverteerdersindex Axis Communications bv Bosch Security Systems bv Delft Toptech Nsecure Barendrecht Safety-Lux Nederland bv Saxion Enschede

Security Management nummer 10 oktober 2011

51 52 22 2 36 22

t hema | informatiebeveiliging

Discussie over dilemma’s informatiebeveiliging

Waar trek je de grens? Informatiebeveiliging is voor veel organisaties een weerbarstig onderwerp. Vaak is het geen ‘core business’, maar meestal is er wel het besef dat er risico’s worden gelopen en is er dus dat knagende gevoel ‘er iets mee te moeten’. Maar wat? En hoe? Security Management bracht twee ervaringsdeskundigen bij elkaar om over deze dilemma’s te discussiëren en zocht het antwoord op de vraag waar de grens kan worden getrokken. ARJEN DE KORT

n de week dat de veiligheid van de meeste overheidswebsites even niet meer kan worden gegarandeerd, treffen Matthijs Verburg (directeur/ eigenaar Meurs HRM) en Hans Labruyère (mede-eigenaar LBVD) elkaar om te discussiëren over een aantal dilemma’s rond informatiebeveiliging. Niet alleen een praatje over de Diginotar-affaire zorgt ervoor dat het ijs snel breekt, het feit dat de heren elkaar sinds kort ook vanuit een leverancier (Meurs HRM) – klant (LBVD) relatie kennen is daar mede debet aan.

Open versus dicht Meurs HRM is leverancier van een groot aantal HRM-diensten en -pro-

ducten. Informatiebeveiliging staat al een aantal jaren op de agenda en valt beleidsmatig in twee delen uiteen. Enerzijds is er de eigen bedrijfsvoering, waarbij het intern delen van informatie wordt gestimuleerd en er sprake is van een ‘open’ organisatie. Anderzijds zijn er de softwareservices die het bedrijf zelf ontwikkelt en inclusief hosting aan klanten beschikbaar stelt, en waarvoor het beleid behoudender is: er wordt voldaan aan de geldende veiligheidsstandaarden en er is een streng veiligheidsbeleid met wisselende wachtwoorden, waardoor kan worden gesproken van een meer gesloten of ‘dichte’ organisatie.

Balans ‘Als HRM-bedrijf werken we veelvuldig met gegevens van kandidaten. Dat is persoonlijke informatie, waarmee wij vertrouwelijk moeten omgaan. Die gegevens moeten dan ook goed beveiligd zijn.’ Hiermee komt Verburg al direct tot de essentie als het gaat om het belang van informatiebeveiliging binnen zijn bedrijf. Verburg stelt dat het hier ‘natuurlijk niet om staatsgeheimen gaat’, maar volgens Labruyère is dat niet de issue. ‘Het gaat denk ik vooral om de vraag of Meurs over vijf jaar nog bestaat. En een van de dreigingen hiervoor is dat jullie niet goed op jullie informatie passen. Doe je dat niet, dan is dat namelijk de snelste manier om de tent te moeten sluiten.’

Kerngegevens Bedrijf Activiteit Vestigingen

: Meurs HRM : psychologisch advies, assessments, coaching, training : Woerden (hoofdvestiging), Zwolle. Roemenië (softwareontwikkeling) Medewerkers : 80 Bedrijf Activiteit

: LBVD : Informatiebeveiligers op het gebied van Techniek, Organisatie en Mens Plaats : Delft Medewerkers : 12

Security Management nummer 10 oktober 2011

Labruyère komt meteen met een praktijkvoorbeeld van briefpapier met een bedrijfslogo dat eenvoudig door kwaadwillenden is te ontvreemden of na te maken, waarmee het bedrijf vervolgens veel schade kan worden berokkend. Verburg reageert instemmend: ‘Je hebt gelijk, maar als ik op dat niveau onze beveiliging moet inrichten, dan wordt het bijna onmogelijk om op een normale manier met elkaar te werken. Natuurlijk moet je niet naïef zijn, want gelegenheid maakt de dief. Maar de ba-

Foto: Eduard van der Worp

t hema | informatiebeveiliging

Matthijs Verburg (Meurs HRM): ‘Onze basishouding is dat we veel vertrouwen aan elkaar geven. Dat is naar mijn idee de beste beveiliging tegen kwaadwillendheid.’ sishouding hier is dat we veel vertrouwen aan elkaar geven. Dat is naar mijn idee de beste beveiliging tegen kwaadwillendheid. Je moet dan ook een balans vinden tussen mensen prettig behandelen en beveiliging. Voor de

gaat nadenken over de vraag of hij er iets mee moet. Om dan vervolgens met droge ogen te kunnen zeggen “Nee, dat hoeft niet, want we nemen het risico”. Maar het risico niet zien, het onbewust onbekwaam, dat is lastig.’ En richting

‘Voor de belangrijkste risico’s moet je maatregelen treffen, maar het houdt een keertje op’ belangrijkste risico’s moet je uiteraard maatregelen treffen, maar ergens houdt het wel een keertje op.’

Bewustzijn Medewerkers bewust maken van de risico’s die het bedrijf loopt, is een van de maatregelen die bij Meurs in dat kader worden getroffen. Verburg schetst deze aanpak: ‘Wij betrekken de mensen die bij ons verantwoordelijk zijn voor de veiligheid van onze software en services er actief bij, zodat zij ook zelf de dynamiek voelen als wij een klant moeten garanderen dat de gegevens van zijn medewerkers goed beveiligd zijn.’ Labruyère reageert kritisch, want in zijn ogen is dat meer de manier waarop je het doet. ‘Mijn missie is dat iemand

Verburg: ‘En de vraag is natuurlijk of jouw invloed zover gaat dat jouw goede wil en ook de uitvoering daarvan tot in de tweede of derde graad gaat. Want jouw mensen hebben ook allemaal weer hun netwerk. Vertrouwen is mooi, maar …’ Hier onderbreekt Verburg hem: ‘Maar je moet je geen angst laten aanpraten. Ik denk dat je dan een bedrijfscultuur creëert, waarin je elkaar niet vertrouwt. Dan kun je het pad inslaan van een extra regel en een extra vangnet, maar dat maakt het slechtste in mensen los. Dus moet je de balans bewaken tussen vertrouwen geven en mensen zinvol bezig laten zijn. Daarbij hoort ook dat je ze behandelt als volwassenen die met verantwoordelijkheden kunnen om-

gaan. Tegelijkertijd moet je op tijd de gaten dichten en zorgen dat er beveiligingsmaatregelen worden genomen. Dat ben ik helemaal met Hans eens, want het is niet zo dat alles vanzelf wel goed komt als je een bepaalde bedrijfscultuur hebt.’ ‘Maar hoe stevig zijn dan die beveiligingsmaatregelen? En hoe heb je die ingericht?’, wil Labruyère meteen van hem weten. ‘Ik denk daarbij niet aan technische maatregelen, maar ik heb het dan over een niveau hoger en de vraag of je iets moet met vertrouwelijkheid, beschikbaarheid, integriteit, bescherming van de informatie. Je zegt ja dat moeten we, maar wat moet je er mee?’ Verburg: ‘Wij moeten een kandidaat kunnen vertellen dat zijn persoonlijke informatie goed beveiligd is. Dat bereiken we door ons met elkaar steeds bewust te zijn van het belang van dit onderwerp en door beveiligingsmaatregelen te nemen voor het beschermen van vertrouwelijke informatie.’

Regels In de ogen van Labruyère is dat inderdaad het juiste antwoord. Maar hij heeft weer een vervolgvraag paraat, namelijk hoe je dat dan doet? Volgens hem ontkom je er dan namelijk niet aan om regels op te stellen, deze naar de medewerkers te communiceren, en ervoor te zorgen dat iedereen zich eraan houdt om problemen te voorkomen. Verburg is het in principe met hem eens, maar stelt realistisch vast dat regels kunnen worden genegeerd. ‘Daarom moet je vooral met elkaar delen wat je belangrijk vindt. Je kunt afspraken maken, maar het allerbelangrijkste voor mij is dat je medewerkers inzicht biedt. Dat is een belangrijker wapen dan een regel opschrijven. Daarom hebben wij hier zo min mogelijk regels.’ ‘In jouw ideale wereld kan dat misschien’, aldus Labruyère, ‘maar in de werkelijke wereld – althans de wereld die ik elke dag zie – is dat niet altijd zo. Je hebt maar één medewerker nodig die in de fout gaat …’ ‘Maar helpt een regel dan wel?’, reageert Verburg. Labruyère: ‘Dat is geen garantie, dat ben ik met je eens. Maar als er geen regels zijn, kun je er nauwelijks wat aan

Security Management nummer 10 oktober 2011

$)- " ( , *.. , (

-. ( 0**, !/) .$*) ,$-- ) *+ # . " $ 0 )

- /,$.3 +/ '$ - ! .3 2. ,) 0 $'$"# $ ($'$ / 4*," , * ) ,$-&( ) " ( ).

ÂĽ

) $)$.$ .$ ! 0 )

. / 1 . ) , ) $) 0 $'$"# $ -& . ) 0**, / &/)) ) . & ) ) $ . / & )- ) 0**, - ( )1 ,&$)"-(*" '$%&# ) ( . ) , ,$-$ *+,*! --$*) ' . / 1 . 0 '&/$' ) 4$%) 0 ) ) 0 ,4/$' ,$-$ * # ,-$)" ) #* . **, - ( )1 ,&$)" & ) 1*, ) 0**,&*( ) !. / & ))$- 0 ) * - ) *). - 0 ) ) $). ", ' ,$-$ * # ,-$)" - #$&. / *0 , )$ /1 $)4$ #. ) 0**, /1 1 ,& $ * $ ) ) $) )

,.) ,-

CHAINels The business network

t hema | informatiebeveiliging

morgen niet meer. Maar het gaat mij erom niet de hele wereld dicht te timmeren met beveiligingsmaatregelen. Belangrijker is je bewust te blijven van je risico’s en op basis daarvan beslissingen te nemen. Ook de beslissing om iets niet te beveiligen, als je die maar bewust neemt.’ Labruyère valt hem daarin bij. ‘Wat niet hoeft, moet je vooral ook laten. Maar dat is wat anders dan helemaal niets doen. Ik vraag altijd aan mijn gesprekspartner: denk erover na, denk erover na wat je kan gebeuren, en vraag je af of je het kunt betalen als er iets misgaat. Doet hij dat, dan is mijn missie geslaagd.’

Grens

Hans Labruyère (LBVD) over informatiebeveiliging: ‘Wat niet hoeft, moet je vooral ook laten. Maar dat is wat anders dan helemaal niets doen.’ doen. Met regels kun je tegen zo iemand in ieder geval nog juridische stappen ondernemen.’

Alert Voor Verburg is alertheid echter belangrijker dan regels. ‘Het risico van te veel regels, voorschriften en beveiligingsmaatregelen is dat mensen lui

ging. Veel regels opstellen die vervolgens worden genegeerd, dat heeft niet veel zin.’ Op de vraag hoever hij daarin dan wil gaan, is Verburg duidelijk: ‘Wat regels betreft gaat het mij alleen om de noodzakelijke. Dan heb je het over de wettelijke, en een aantal technische zodat je niet zomaar bij informatie

‘Je kunt afspraken maken, maar het allerbelangrijkste is dat je medewerkers inzicht biedt’ worden. Als ze een vreemde zien lopen, denken ze dat het wel in orde zal zijn, omdat er bijvoorbeeld al zoveel controles zijn uitgevoerd. Het resultaat daarvan is dat niemand een ander nog aanspreekt. Mensen alert maken is dus misschien wel een veel krachtiger wapen dan iedereen door een detectiepoortje te laten gaan. Dat gaat wat mij betreft ook op voor informatiebeveili-

kunt komen. Maar verder wil ik vooral het inzicht van de medewerkers zo groot mogelijk hebben, zodat zij zelf kunnen beslissen welke informatie ze wel of niet delen. Ik wil daarin niet krampachtig zijn. Natuurlijk moet je kijken waar de zwakke plekken zitten en daarop je maatregelen nemen. En je moet kijken wat er in de tijd verandert, want wat vandaag veilig is, is dat

Afsluitend richt de discussie zich op de vraag wat voor een bedrijf als Meurs HRM acceptabele risico’s zijn. Verburg schetst daarom maar eens zijn ideaalbeeld van informatiebeveiliging. ‘Mijn ideaal is eigenlijk dat iedereen in de organisatie weet wat de meest gevoelige informatie is die we met elkaar delen zowel mondeling, op papier, als digitaal - die goed in de beveiligingshiërarchie kan duiden, en vervolgens ook snapt waarom we met elkaar bepaalde beveiligingsmaatregelen treffen. Dan geloof ik dat we onze zaken op orde hebben en hebben we niet veel regels nodig.’ En hoe erg is het dan, mochten zaken eventueel misgaan? Verburg: ‘We willen informatie delen, dat is belangrijk voor ons werk. Dat gebeurt op een dermate grote schaal, dat volledig beveiligen niet kan. De vraag is dan welke informatie wij wel of niet moeten beschermen. De discussie die je dan krijgt, is dezelfde als die rond Wikileaks speelt, namelijk of het wel zo kwalijk is dat die informatie op straat ligt. Want hoe schadelijk is dat nu eigenlijk? Ik vind het leuk om deze discussie ook in ons bedrijf te voeren.’ Labruyère: ‘En nu komt de dochter van Willem-Alexander en Maxima hier een test afnemen en iemand van jouw mensen lekt de resultaten. Hoe erg is dat?’ Verburg: ‘Dat vind ik schadelijk. Hiermee wordt de privacy van een kandidaat geschonden, wat raakt aan de kern van onze business. Dat is van een andere orde en dat is voor mij een harde grens.’ ‹‹

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Informatiebeveiliging in vogelvlucht Informatiebeveiliging en fysieke beveiliging hebben veel met elkaar gemeen. De onderwerpen overlappen elkaar ook sterk. Vanwege de directe zichtbaarheid spreekt fysieke beveiliging vaak goed tot de verbeelding en wordt ze door medewerkers tamelijk gelaten geaccepteerd. Informatiebeveiliging daarentegen is wat abstracter en ‘landt’ lang niet zo gemakkelijk bij medewerkers of managers. JEROEN VAN DONGEN EN RONALD DOLFSMA *

ij fysieke beveiliging gaat het veelal om het beschermen van mensen en organisaties tegen de gevolgen van opzettelijk of door toeval veroorzaakt fysiek onheil. Bij informatiebeveiliging gaat het doorgaans om het beschermen van mensen en organisaties tegen de gevolgen van ongewenste verspreiding, manipulatie of verlies van informatie. De indirecte relatie, informatie beschermen om een

voorziet in een beschrijving van het beveiligingsproces op hoofdlijnen én een groot aantal mogelijke beheermaatregelen, min of meer logisch verdeeld over een aantal aandachtsgebieden. In het vervolg van dit artikel gaan we in vogelvlucht door het proces zoals dat in de Code voor Informatiebeveiliging wordt beschreven. Dat geeft een goed beeld van informatiebeveiliging in het

Informatie is op zichzelf niet tastbaar

willen we hanteren ten behoeve van informatiebeveiliging? » Hoe gaan we daadwerkelijk beheermaatregelen selecteren? » Wie heeft welke verantwoordelijkheden in het kader van informatiebeveiliging? Veelal is het moeilijk om antwoorden te formuleren op deze vragen. Het is echter de moeite waard om hier tijd en energie in te steken. Later vloeien vervolgstappen dan tamelijk logisch voort uit de gegeven antwoorden.

Neus op de feiten persoon of informatie te beschermen, maakt het al lastig. Daar komt dan nog bij dat informatie op zichzelf niet tastbaar is. Informatiebeveiliging komt daardoor meestal neer op het beveiligen van informatiedragers. Om toch alle betrokkenen zover te krijgen dat zij hun bijdrage leveren in het terugdringen van risico’s en het voldoen aan weten regelgeving, is het daarom zaak om a. de beveiliging zo eenvoudig en beperkt mogelijk te houden, en b. zo concreet mogelijk te worden in het doel van de beveiliging. Gelukkig zijn er goede hulpmiddelen om deze klus te klaren. Eén van deze hulpmiddelen is de Code voor Informatiebeveiliging (of wat formeler: de ISO 27002 standaard). Deze standaard

algemeen en biedt aanknopingspunten om zelf mee aan de slag te gaan.

Met beleid Eén van de meest fundamentele beheermaatregelen uit de Code (hoofdstuk 5.1.1) is het formuleren en vaststellen van informatiebeveiligingsbeleid. Veelal wordt hierbij gedacht aan een document dat alle te nemen beveiligingsmaatregelen opsomt. Dat is echter niet wat hier wordt bedoeld. Het gaat daarbij om een document dat antwoord geeft op fundamentele vragen zoals: » Wat bedoelen wij binnen onze organisatie met de term ‘informatiebeveiliging’? » Wat willen we ermee bereiken of juist voorkomen? En hoe belangrijk is dat voor ons? » Welke globale normen en kaders

Security Management nummer 10 oktober 2011

Is het beleids-ei eenmaal gelegd, dan volgt het moment dat daadwerkelijk beheermaatregelen moeten worden geselecteerd. De hamvraag is welke beheermaatregelen minimaal noodzakelijk zijn om de in het beleid gestelde doelen te bereiken. Het woord ‘minimaal’ is hierin cruciaal. Wat je niet hoeft te doen, moet je zeker laten. Een beheermaatregel niet implementeren die wel echt nodig was, kan je duur komen te staan. Zorgvuldigheid en realiteitszin zijn hierbij sleutelwoorden. Een goede manier om dit vraagstuk te slechten is door het op te knippen in drie delen. Allereerst zijn er de ‘nobrainers’. Antivirussoftware op Windows-pc’s? Natuurlijk! Iedereen vrij in

t hema | informatiebeveiliging

en uit laten wandelen in de serverruimte? Vast geen goed plan. Als alle direct betrokkenen het er unaniem over eens zijn dat een bepaalde maatregel een no-brainer is en gewoon moet, doe het dan gewoon. Geen woorden meer aan vuil maken. Als dat toch gebeurt, is het kennelijk geen no-brainer en komen we er later nog op terug. Vervolgens is er een categorie beheermaatregelen die in de Code voor Informatiebeveiliging worden omschreven als ‘essentieel’ en ‘fundamenteel’. Dit zijn maatregelen waar je vrijwel zeker iets mee moet. In vogelvlucht zijn dit: » Intellectuele eigendomsrechten (15.1.2) » Bescherming van bedrijfsdocumenten (15.1.3) » Bescherming van gegevens en geheimhouding van persoonsgegevens (15.1.4) » Beleidsdocument voor informatiebeveiliging (5.1.1) » Toewijzen van verantwoordelijkheden voor informatiebeveiliging (6.1.3) » Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging (8.2.2) » Correcte verwerking in toepassingen (12.2) » Beheer van technische kwetsbaarheid (12.6) » Rapportage van informatiebeveiligingsgebeurtenissen (13.1.1) » Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer (14.1.1) » Beheer van informatiebeveiligingsincidenten en -verbeteringen (13.2) Voor elk van deze (clusters van) beheermaatregelen geldt dat bekeken moet worden in welke mate ze van toepassing zijn en wat je er, gezien het opgestelde beleid, aan zou moeten doen. Hoe geheim zijn onze bedrijfsdocumenten? Verwerken wij persoonsgegevens? Hoe gaan we de maatregelen ‘tussen de oren’ krijgen? Ten slotte zijn daar de ‘overige’ beheermaatregelen als opgenomen in de Code voor Informatiebeveiliging. Sommige hebben een vrij algemeen geldend karakter, andere zijn wat specifieker. Voor

al deze beheermaatregelen geldt dat ze meer over details gaan en dat hun nut en noodzaak niet voor elke organisatie vanzelfsprekend zijn. Het hele proces om te komen tot een gezonde set van concrete maatregelen is feitelijk een risicoanalyse. Hierover is al veel geschreven (zie o.a. Security Management augustus 2009 - Leven met Risico’s door Rein de Vries) en ook in de Code worden hiervoor handvatten geboden.

Just do it! Als op enig moment het beleid helder is en de maatregelen geselecteerd zijn, is de volgende stap deze maatregelen

al duidelijk omschreven in het beveiligingsbeleid. De afdeling communicatie kan vast creatieve manieren verzinnen om de inhoud van dat document goed voor het voetlicht te brengen.

Vooral doorgaan Beveiligen is een werkwoord. Als de verschillende beheermaatregelen eenmaal hun plek in de organisatie hebben gevonden, kan het onderwerp niet met rust worden gelaten. Als aan een onderwerp lange tijd geen aandacht meer wordt geschonken, gelooft niemand dat het onderwerp belangrijk is. Regelmatige audits en routinecontroles als onderdeel van de werkprocessen

Het is cruciaal om het belang van informatiebeveiliging goed uit te leggen daadwerkelijk geïmplementeerd te krijgen. Voor de meer technische maatregelen is dit veelal niet zo ingewikkeld. Natuurlijk kost deze implementatie tijd en geld, maar als antivirussoftware eenmaal is geïnstalleerd, dan doet deze daarna wat hij moet doen. Met meer op de persoon of organisatie gerichte maatregelen is dat minder vanzelfsprekend. Met name beheermaatregelen op het gebied van beveiligingsbewustzijn zijn daarbij dan van groot belang. Veelal komt dit neer op goede communicatie. Goed uitleggen waarom informatiebeveiliging van belang is en wat de rol van iedere medewerker daarin is, is van cruciaal belang. Gelukkig staat dit

zijn daarbij onmisbaar. Maar zeker ook de zichtbare ondersteuning van de diverse maatregelen door het hogere management (als de directeur ook geen pasje draagt ...). En uiteraard verandert de omgeving voortdurend. Daarom is het zaak periodiek het hele beveiligingshuis in de steigers te zetten. Informatiebeveiliging is eigenlijk gewoon een ondersteunend bedrijfsproces - en als zodanig zou het onderwerp moeten zijn van de planning & control cyclus. ‹‹ * Jeroen van Dongen is senior consultant en partner bij LBVD. Ronald Dolfsma is senior consultant bij LBVD.

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Rubriceren, een vak apart? Informatiebeveiliging vanuit het oogpunt van exclusiviteit bestaat veelal uit maatregelen op het terrein van bewustwording en een veilige opslag, transport, verwerking en vernietiging van gerubriceerde informatie. In dit artikel wordt – op basis van het afstudeeronderzoek voor de executive Master of Security Science & Management aan de TU Delft – ingegaan op het fenomeen dat gerubriceerde informatie niet altijd gevoelige informatie is, en andersom. Ook wordt stilgestaan bij het nadelige effect dat de kans op het lekken van gevoelige informatie wordt vergroot. JOHRI MAAT *

n de meeste bedrijfsprocessen van overheid en bedrijfsleven is informatie een belangrijke ‘grondstof’. Sommige informatie heeft een dusdanige gevoelige lading dat kennisname door niet-gerechtigden belangen kan schaden. Bijvoorbeeld in het geval van (bedrijfs)spionage en het intentioneel of verwijtbaar lekken van gevoelige informatie.

Rubricering en compromittering Om hier op een juiste wijze mee om te kunnen gaan moet een dergelijk belang wel duidelijk herkenbaar zijn. Daarom behoort gevoelige informatie als zodanig aangeduid te zijn en wat betreft verwerking, transport, opslag en vernietiging ook behandeld te worden. Het aanduiden van de gevoeligheid ge-

beurt door de informatie te rubriceren (in het Engels: to classify). Binnen de rijksoverheid is dit geregeld in het ‘Voorschrift informatiebeveiliging rijksdienst – bijzondere informatie’ (Vir-

Het onnodig (te zwaar) beveiligen van informatie kost onnodig geld bi). Ook bepaalde (veelal grotere) bedrijven hebben dergelijke regels vastgesteld, soms omdat ze hier van overheidswege of door afnemers toe verplicht zijn. Binnen de rijksoverheid worden naar gelang de ernst van het nadeel of de schade bij onbevoegde kennisname de oplopende niveaus ‘Departementaal Vertrouwelijk’,

Rubricering uit gewoonte Een aantal rapporten met de correcte rubricering ‘Departementaal Vertrouwelijk’ werd toegezonden met een begeleidende brief – zonder enige inhoudelijke behandeling – die gerubriceerd was op het hogere niveau ‘Staatsgeheim Conﬁdentieel’. Hierdoor zou de begeleidende brief zonder enige gevoelige informatie in een kluis opgeborgen moeten worden, terwijl de rapporten met de gevoelige informatie in een standaard kantoorkast opgeborgen mochten worden. Dit is een voorbeeld van een rubricering uit gewoonte; de rubricering ‘Staatsgeheim Conﬁdentieel’ was een ‘standaardinstelling’.

‘Staatsgeheim Confidentieel’, ‘Staatsgeheim Geheim’ en ‘Staatsgeheim Zeer Geheim’ onderscheiden. Binnen het (internationale) bedrijfsleven wordt de gevoeligheid bijvoorbeeld aangeduid als

Security Management nummer 10 oktober 2011

‘Internal use only’ en ‘Confidential’, maar ook andere aanduidingen kunnen voorkomen. Als niet-gerechtigden kennis genomen (kunnen) hebben van deze gerubriceerde informatie is er sprake van compromittering.

Onjuist rubriceren Ondanks de eerdergenoemde maatregelen die men neemt, komt het geregeld voor dat gevoelige informatie toch in handen van onbevoegden raakt. Het veelal heimelijke karakter maakt dat dit meestal onopgemerkt gaat, maar soms halen deze voorvallen de media: het uitlekken van het Amerikaanse diplomatieke berichtenverkeer via WikiLeaks (‘Cablegate’), de Prinsjesdagstukken die bij herhaling via RTL Nieuws voortijdig wereldkundig werden gemaakt, het digitaal en op papier verliezen van klan-

t hema | informatiebeveiliging

Totale verzameling informatie

Rubricering dekt gevoelige informatie correct af Gerubriceerde informatie

Gevoelige informatie

Niet gevoelige informatie

Eclips Model (© J.H. Maat): De twee ‘maansikkels’ geven de ten onrechte gerubriceerde en niet-gerubriceerde informatie weer. Idealiter is er een volledige overlap van gerubriceerde en gevoelige informatie.

tengegevens, het uitlekken van Ministerraadstukken, afgedankte pc’s met gevoelige informatie, verloren usbsticks en onderweg verloren dossiers zijn enkele voorbeelden van de afgelopen jaren. Eén van de oorzaken van het lekken van gevoelige informatie is gelegen in een onjuiste wijze van rubriceren. Dit werkt twee kanten op. Zo komt het voor dat informatie (te hoog) gerubriceerd wordt uit gewoonte of gemakzucht, om betwistbare informatie achter te houden of om concurrentie van eigen collega’s uit te schakelen. In het ernstigste geval kan er sprake zijn van het onterecht rubriceren van informatie om zo misstanden te verhullen.

ceren wordt in het Eclips Model geïllustreerd.

Eclips Model Idealiter past binnen de totale verzameling informatie de blauwe schijf met gerubriceerde informatie naadloos over de gele schijf met gevoelige informatie. Daar waar ze elkaar overlappen, zijn ze groen: de rubricering dekt de gevoelige informatie correct af. In de praktijk is dat niet altijd het geval. De linker gele ‘maansikkel’ is onbedekt, deze gevoelige informatie is ten onrechte niet gerubriceerd. De rechter blauwe ‘maansikkel’ bedekt informatie die niet gevoelig is, deze informatie is daardoor overgerubriceerd. Dit is het ‘Eclips Model’ te noemen vanwege de overlap en de twee

Onjuist rubriceren leidt tot extra risico’s Aan de andere kant zijn er ook voorbeelden bekend van informatie waarbij niet of te laag gerubriceerd wordt om de als omslachtig ervaren beveiligingsmaatregelen – zoals beveiligd emailen of faxen, opslag in kluizen en het gebruik van veiligheidsenveloppen – te omzeilen. Naast dit intentionele handelen komt het ook voor dat de onjuiste wijze van rubriceren is gelegen in een onvoldoende besef van het belang van de informatie waarmee gewerkt wordt of een gebrek aan deskundigheid op het gebied van rubriceren. Het onjuist rubri-

‘maansikkels’. Uiteraard is dit een modelmatige weergave, de grootte van de verzamelingen en de ‘maansikkels’ kunnen variëren.

Onnodige uitgaven en risico’s Het beveiligen van informatie kost geld, denk maar aan de extra procedures, kluizen en beveiligde verbindingen. Het onnodig (te zwaar) beveiligen van informatie kost dus onnodig geld. Ernstiger is het feit dat onjuist rubriceren tot extra risico’s leidt. Onterecht of te hoog gerubriceerde informatie krijgt

Derubriceren met Tipp-Ex Om bepaalde gerubriceerde informatie veilig te kunnen versturen dient gebruik te worden gemaakt van speciale software of (fax)apparatuur. Het gebruik hiervan is vaak arbeidsintensiever dan reguliere onbeveiligde middelen. Het is dan ook voorgekomen dat de rubricering met Tipp-Ex werd weggelakt teneinde de informatie toch onbeveiligd te kunnen verzenden.

een zwaarder belang toegekend dan het verdient. Daarmee krijgt het ook een bepaalde nieuwswaarde en wordt de indruk gewekt dat de organisatie zoveel mogelijk geheim wil houden. De Commissie Lemstra – die in 2005 onderzoek heeft gedaan naar lekken binnen Defensie – wijst dit ook aan als een van de oorzaken van lekken. Daarnaast leidt onnodig rubriceren tot inflatie van de rubricering; de gebruikers zien het belang er niet meer van in waardoor men slordiger met deze informatie omgaat, ook als deze wel terecht gerubriceerd is. Als informatie gevoelig is, maar niet (juist) gerubriceerd, dan leidt dat ook tot risico’s. Vanuit de commissie-Davids – die in 2009 onderzoek deed naar de besluitvorming rond de inval in Irak – is aangegeven dat tijdens het onderzoek bleek dat bij het ene departement bepaalde informatie wel en bij het andere departement dezelfde of

Security Management nummer 10 oktober 2011

(FRQRPLVFK (FRQRPLVFK (FRQRPLVFK (FRQRPLVFK PRHLOรณNH WรณGHQ" PRHLOรณNH WรณGHQ" PRHLOรณNH WรณGHQ" PRHLOรณNH WรณGHQ" ย Z RUJDQLVDWLH ย Z RUJDQLVDWLH ย Z RUJDQLVDWLH ย Z RUJDQLVDWLH NDQ KHW DDQ NDQ KHW DDQ NDQ KHW DDQ NDQ KHW DDQ /LQNSRZHU PHHWEDDU EHWHU /LQNSRZHU PHHWEDDU EHWHU /LQNSRZHU PHHWEDDU EHWHU /LQNSRZHU PHHWEDDU EHWHU 7HDPFRDFKLQJ HQ 7HDPFRDFKLQJ HQ 7HDPFRDFKLQJ HQ 7HDPFRDFKLQJ HQ RUJDQLVDWLHRQWZLNNHOLQJ RUJDQLVDWLHRQWZLNNHOLQJ RUJDQLVDWLHRQWZLNNHOLQJ RUJDQLVDWLHRQWZLNNHOLQJ ??? 416387?-: 64 ??? 416387?-: 64 ??? 416387?-: 64 ??? 416387?-: 64

416387?-: 416387?-: 416387?-: 416387?-: 8);;1- :-;=4<))< 8);;1- :-;=4<))< 8);;1- :-;=4<))< 8);;1- :-;=4<))< ->-6?1+0< >1;1->-6?1+0< >1;1->-6?1+0< >1;1->-6?1+0< >1;187?-:-, *A 34=?-: 87?-:-, *A 34=?-: 87?-:-, *A 34=?-: 87?-:-, *A 34=?-:

t hema | informatiebeveiliging

vergelijkbare informatie niet gerubriceerd was, of op een ander niveau. Maar de commissie zag soms ook ongerubriceerde stukken waarbij men zich afvroeg of die eigenlijk niet gerubriceerd hadden moeten zijn, omdat openbaarmaking tot schade zou kunnen leiden. Hoevéél informatie precies ten onrechte gerubriceerd is, laat zich lastig onderzoeken; de informatie is immers gerubriceerd. De commissie-Lemstra heeft aangegeven dat van verschillende zijden erop is gewezen dat 95 procent van het aantal gerubriceerde stukken ten onrechte gerubriceerd zou zijn. Dit is wel een heel hoog percentage, maar ook de commissie-Davids heeft in een van haar conclusies aangegeven dat ze zich bij sommige staatsgeheime documenten afgevraagd heeft wat het nut was van de nog steeds daaraan gehechte rubricering. Ze stelde dat geschiedschrijving en waarheidsvinding hiermee zonder voldoende grond belemmerd worden. Een rubricering dient dan ook actief

periodiek herzien te worden, maar dan moet daar wel de personele capaciteit voor aanwezig zijn.

De Staatsgeheim Zeer Geheime knipselkrant Bij een overleg zou een knipselkrant – met volledig openbare krantenberichten – worden verspreid. Men wilde deze rubriceren op het hoogste niveau ‘Staatsgeheim Zeer Geheim’, want het was immers een belangrijk overleg over een onderwerp met een hoog afbreukrisico. Daarnaast was het de bedoeling dat de knipselkrant in een oplage van zeker twintig exemplaren verspreid zou worden, zonder enige vorm van nummering en registratie, waarna men de knipselkrant gewoon mee naar huis kon nemen. Dit zou in strijd zijn geweest met de rubriceringsregels en is door ingrijpen dan ook niet doorgegaan. De knipselkrant hoefde uiteindelijk in het geheel niet gerubriceerd te worden.

Samenvatting » Door te rubriceren kunnen het belang van de exclusiviteit van gevoelige informatie en de schade bij kennisname door niet-gerechtigden aangegeven worden. » In de praktijk is zowel sprake van onterecht wel als niet rubriceren. Soms is hierbij sprake van opzet, vaak echter ook van ondeskundigheid. » Onterecht of te hoog rubriceren leidt tot onnodige uitgaven voor beveiligingsmaatregelen en inﬂatie van de rubricering. Onterecht niet of te laag rubriceren vergroot de kans op aantasting van de exclusiviteit van gevoelige informatie. » Door heldere en bondige richtlijnen te geven over doel en werking van de rubricering kan de kwaliteit hiervan verbeterd worden. Een voorbeeld hiervan is het invoeren van collegiale toetsing bij het bepalen of informatie gerubriceerd dient te worden.

Rubriceren als kunde ‘Classificeren is een vak apart dat niet elke ambtenaar verstaat’, zo gaf een van de respondenten in het onderzoek aan. Het is daarom verstandig om hierin te investeren. Als men beter in kan schatten wat het belang van de informatie is – en daarmee ook de ernst van de schade die op kan treden bij compromittering – kan het onterecht wel of niet rubriceren van informatie teruggedrongen worden. Heldere en bondige richtlijnen kunnen hierbij helpen, net als het toepassen van een ‘vierogen-principe’ bij wijze van collegiale toetsing om te bepalen óf informatie gerubriceerd moet worden en zo ja, op welk niveau. In deze tijd van bezuinigingen kan ook het terugdringen van onnodige uitgaven door onnodige rubriceringen een drijfveer zijn, net zoals het terugdringen van de risico’s op kennisname door niet-gerechtigden. Want incidenten met gevoelige en gerubriceerde informatie en de daarop volgende onderzoeken kunnen organisaties ook veel kosten, zowel wat geld als wat imago betreft. ‹‹ * mr. J.H. Maat MSSM is werkzaam bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Mobiele apparatuur niet schakel in securitybeleid Door Het Nieuwe Werken maken veel medewerkers zowel zakelijk als privé gebruik van smartphones en andere mobiele devices zoals laptops en de populaire tablets. Bovendien worden de smartphones van deze tijd steeds complexer. IT staat dan ook voor nieuwe uitdagingen op het gebied van security en beheer. ERIK VAN VEEN EN TOM WELLING *

et Nieuwe Werken (HNW) heeft een haat-liefdeverhouding met IT. Aan de ene kant stellen de ontwikkelingen op het gebied van informatie- en communicatietechnologie ons in staat om op afstand te werken. Aan de andere kant lopen bedrijfsgegevens een groter gevaar en moeten er extra maatregelen worden genomen om deze te beschermen. Door HNW maken veel medewerkers zowel zakelijk als privé gebruik van

tief is, is niet belangrijk, maar het gaat om een groot bedrijf met misschien wel 10.000 medewerkers. Over het geheel genomen is het een goed geleide, rendabele organisatie die wordt gezien als een leider in de markt. Zoals de meeste bedrijven heeft dit denkbeeldige bedrijf te maken met zakelijke en vertrouwelijke informatie: van bedrijfsgeheimen en gevoelige concurrerende details tot particuliere klantgegevens. Onder leiding van de Chief Information Officer

Smartphones en tablets worden vaak helemaal vergeten binnen het securitybeleid smartphones en andere mobiele devices. Ook worden de smartphones van deze tijd steeds complexer. IT staat dus voor nieuwe uitdagingen op het gebied van security en beheer. In een ideale situatie voert iedere organisatie een actief securitybeleid om informatie adequaat te beschermen. Voor veel organisaties geldt echter dat het beveiligingsbeleid erg passief of zelfs helemaal niet wordt uitgevoerd. Dit geldt niet alleen voor laptops en desktops, maar ook voor mobiele devices. Smartphones en tablets worden vaak zelfs helemaal vergeten binnen het securitybeleid.

Tikkende tijdbom Stelt u zich eens een onderneming voor. De specifieke sector waarin ze ac-

heeft het bedrijf een IT-securitybeleid opgesteld om deze informatie te beschermen. Stel nu dat de IT-afdeling het hierboven genoemde securitybeleid níet zou handhaven. Iedereen heeft toestemming om zijn eigen laptop te verbinden met het netwerk. Tot overmaat van ramp is de IT-afdeling laks in het beveiligen en beheren van laptops en desktops die eigendom zijn van het bedrijf. Wachtwoordhandhaving en andere beveiligingsinstellingen, samen met een applicatie-updatesysteem, zijn een bijzaak. Hoe zou dit de perceptie van het bedrijf veranderen? Zou het nog steeds positief zijn? Naar alle waarschijnlijkheid zien klanten, afnemers en toeleve-

Security Management nummer 10 oktober 2011

ranciers een dergelijk bedrijf als een tikkende tijdbom die wat IT-beveiliging betreft op het punt van ontploffen staat.

Consumerization van IT Geloof het of niet, veel ondernemingen vallen daadwerkelijk in deze categorie. Maar in plaats van niet-gewaarborgde en slecht beheerde laptops en desktops, zijn het mobiele apparaten zoals smartphones en tablets die vaak zijn verwaarloosd en daarmee een oorzaak vormen van het probleem. De huidige smartphones en andere mobiele apparaten – en de service provider-netwerken waarop zij werken – zijn ongelooflijk geavanceerd en worden dat alleen maar méér. In toenemende mate worden deze apparaten en de daarmee verband houdende netwerken van service providers de onderneming binnengebracht door eindgebruikers. Ook worden de apparaten steeds vaker gebruikt voor zowel persoonlijke als zakelijke doeleinden. Deze ‘consumerization van IT’ biedt in veel gevallen een enorme stijging van de productiviteit doordat personeel feitelijk constant bezig is met het werk, maar creëert ook nieuwe beveiligingsen beheeruitdagingen voor IT; uitdagingen die niet langer mogen worden genegeerd. Om deze uitdagingen aan te gaan moet de informatie- en communicatietech-

t hema | informatiebeveiliging

langer zwakste schoenen staan en niet in de buurt van het niveau van de traditionele platforms komen, hebben sommige cybercriminelen creatieve manieren gevonden om slimme mobiele apparaten te exploiteren. Dit gebeurt door middel van virussen, Trojans, sms of e-mail phishing en mobiele spyware die functies op een apparaat activeren zonder medeweten van de gebruiker, zoals microfoon of camera. Het is daarom steeds belangrijker om mobiele beveiligingsoplossingen te gaan gebruiken, net als bij de laptop en desktop. Beveiligingsoplossingen die de mogelijkheden bepalen om toegang te krijgen tot het bedrijfsnetwerk, kunnen ook helpen om de naleving van de beveiliging af te dwingen en te garanderen dat alleen veilige, policy-compliant apparaten toegang hebben tot zakelijke netwerken en e-mailservers.

Mobiele apparatuur wordt vaak vergeten binnen het securitybeleid.

nologie allereerst als geheel opschuiven in de richting van een complete benadering van mobiele beveiliging en beheer om gevoelige bedrijfsgegevens veilig te stellen.

ken van uitzonderingen voor mobiele apparatuur en ze behandelen als elk ander endpoint. Het directe gebruik van beveiligingsen beheersoftware voor mobiele apparaten is de eerste stap.

Bescherming zichtbare mobiele ecosysteem

Door gerichte implementatie van oplossingen met als doel het beschermen en beheren van de apparaten zelf - net zoals die gebruikt worden voor beveiliging en het beheer van de data op pc’s - kunnen organisaties ervoor zorgen dat mobiele apparaten niet de zwakke schakel zijn in hun ITbeveiligingsharnas. Dit geldt ook voor mobile security, device management, informatiebescherming en authenticatietechnologieën. De volgende handvatten kunnen bijdragen aan een goed securitybeleid.

Aangezien mobiele apparaten steeds geraffineerder worden, betere toegang bieden tot bedrijfsgegevens en ook meer gegevens opslaan, worden ze een steeds populairder doelwit voor hackers. Ze worden ook een groter doelwit voor diefstal en bovendien zorgt het steeds handzamere formaat dat ze veel makkelijker kwijtraken. Hun capaciteiten maken ze ook tot een handig alternatief voor de traditionele laptop. Als gevolg hiervan moeten bedrijven deze apparaten beheren en zorgen dat ze veilig in gebruik zijn. Om dit effectief te doen, moeten bedrijven stoppen met het ma-

» Beveiliging: hoewel mobiele bedreigingen nog steeds in de kinder-

» Actief beheer: een goed beheerd apparaat is een veilig apparaat. Het is belangrijk dat mobiele apparaten te allen tijde goed geconfigureerd en beheerd blijven. Mobile device management (MDM-)oplossingen kunnen dit realiseren. Door het verhogen van de IT-efficiency met behulp van de inzet van configuraties, applicaties en updates, zorgen managementoplossingen ervoor dat apparaten beschikken over het vereiste beleid en applicaties en dat ze correct geconfigureerd en up-to-date zijn. Dit verbetert niet alleen de productiviteit van de eindgebruiker, maar voorkomt ook beveiligingsproblemen op de apparaten. » Impact beperkende maatregelen na verlies van mobiel apparaat: de grootste bedreiging voor mobiele apparatuur blijft het risico van

Security Management nummer 10 oktober 2011

» 21

Academie Bestuur & Recht

Toe aan een nieuwe stap in uw carrière? Security Management Een compacte studieroute speciaal voor professionals op zoek naar een verdiepingsslag op het gebied van risk management, business continuity en strategisch adviseren.

Als afgestudeerd Security Manager krijgt u het diploma Bachelor of Business Administration (BBA).

De HBO bacheloropleiding Security Management leidt op tot manager van veiligheidsvraagstukken in grote organisaties. De studie heeft een stevige bedrijfskundige basis met zowel relevante theorie als praktische vaardigheden en sluit aan bij actuele thema’s.

Kom verder. Saxion.

saxion.nl/sec

Eerstvolgende instroommodule start 16 februari 2012

“Security manager met oog voor veiligheid” Master of Security Science & Management Wie al enige tijd werkzaam is op het gebied van Security, weet dat optimale beveiliging en veiligheid pas tot stand kunnen komen, wanneer zij op strategisch niveau goed worden gemanaged. Delft TopTech’s Master of Security Science & Management biedt een integrale benadering van security management. De opleiding combineert een wetenschappelijke benadering van het werkveld met security oplossingsconcepten en management. Hierdoor kunt u uw kennis op een hoger niveau brengen en uw carrièremogelijkheden vergroten. Voor meer informatie bel Marieke de Werker, 015 278 29 20 of kijk op www.delfttoptech.nl/security.

t hema | informatiebeveiliging

verlies of diefstal. Naarmate meer bedrijven gebruikmaken van deze apparaten, lopen de opgeslagen gegevens een nog groter risico. Zakelijke e-mail en gegevens die beschikbaar zijn via zakelijke toepassingen op smartphones bevatten vaak intellectueel eigendom of informatie onderworpen aan overheidsregulering. Verlies of diefstal van het apparaat legt gevoelige gegevens bloot, kan resulteren in financiële en imagoschade

Beschermen minder zichtbare ecosysteem Naarmate meer en meer bedrijven direct toegang hebben tot de netwerken van service providers via mobiele apparatuur, moeten organisaties ervan op aan kunnen dat de vitale service provider-netwerken waarop hun mobiele apparaten aansluiten, ook vrij zijn van aanvallen en bedreigingen. Die zouden zich namelijk kunnen gaan verspreiden in hun eigen systemen. Door goede mobiele beveiliging en uitgebreide netwerk-

Bedrijven moeten stoppen met het maken van uitzonderingen voor mobiele apparaten en deze behandelen als elk ander endpoint en kan juridische consequenties hebben. Een sterk wachtwoord voorkomt dat onbevoegden toegang krijgen tot het mobiele apparaat en de bijbehorende gegevens. Mobiele encryptie-technologieën bieden bescherming voor data die worden doorgegeven en opgeslagen op mobiele apparaten van eindgebruikers. Dankzij remote wipe- en lock-mogelijkheden kan een onderneming op afstand alle zakelijke gegevens op het apparaat wissen. Ook moeten bedrijven ervoor zorgen dat het juiste preventiebeleid tegen lekkage voorhanden is om de stroom van gevoelige gegevens vanuit mobiele apparaten te beperken. » Authenticatie: de meeste bedrijfsnetwerken vereisen een gebruikersnaam en wachtwoord om gebruikers te kunnen identificeren, maar gebruikersnamen en wachtwoorden kunnen worden aangetast. Een two factor-authenticatietechnologie biedt betere beveiliging als gebruikers inloggen op het bedrijfsnetwerk. Kwalitatieve authenticatietechnologieën bieden dezelfde veiligheid wanneer gebruikers inloggen vanaf een mobiel apparaat. Als ondernemingen applicaties op maat ontwikkelen, moeten ze ook aandacht besteden aan de uitbreiding van de authenticatie op deze apps.

bescherming kunnen service providers vervolgens ook dat vertrouwen geven aan ondernemingen. Enkele handvatten voor een adequate beveiliging zijn: » Bescherming van het netwerk: nu kwaadaardige bedreigingen die worden ontworpen en verspreid via mobiele netwerken alsmaar toenemen, moeten ook de maatregelen om deze bedreigingen te blokkeren aangescherpt worden. Netwerken van service providers moeten worden beschermd, waardoor deze bedreigingen niet de kans krijgen om toe te slaan. Met de bouw van een netwerkbreed controle- en handhavingsbeleid worden deze netwerken beschermd tegen malware. Dit netwerkbrede veiligheidsbeleid moet ook oplossingen voor applicaties bieden, die beschermen tegen de belangrijkste vormen van netverkeer, waaronder het web, sms en mms. Door dit applicatiebeleid kunnen service providers nieuwe bedreigingen identificeren en evalueren zodra ze verschijnen en voorkomen dat ze andere ondernemingen en eindgebruikers bedreigen. » Controle over het securitybeleid: verbetering van de algemene beveiliging met een netwerkbreed beleid en de controle en handhaving ervan bieden extra voordelen. Het bieden van bescherming van diensten voor zowel

bedrijven als consumenten versterkt de rol van providers. Het omvat ook controle voor bedrijven, bijvoorbeeld over waar gebruikers kunnen surfen op het web of het beheer van apparaten die verbinding kunnen maken met de infrastructuur van het bedrijf. Deze mogelijkheden kunnen worden verkocht als Security-as-a-Service-oplossing aan zakelijke klanten. Ze kunnen ook worden aangeboden als controlemogelijkheden op consumentenniveau of het verstrekken van individuele controle over mobiele aanwezigheid in alle diensten. » Inzicht in beveiliging: ter bescherming van de stabiliteit van het netwerk, de prestaties en het gebruikersvertrouwen, is het essentieel dat service providers real-time inzicht hebben in wat voor soort activiteiten binnen hun netwerk plaatsvinden. Daarnaast moeten dienstverleners zich aan de steeds strengere wettelijke eisen houden die aan hen gesteld worden. Een intelligente beveiligingsoplossing die is ontworpen om verdachte activiteiten in real-time te identificeren, te beheren en te rapporteren, maakt een proactieve aanpak mogelijk ter verbetering van de netwerkefficiency door alleen geldig verkeer het netwerk binnen te laten. Als we doorgaan met de speurtocht door dit nieuwe computertijdperk, een waar laptops en desktops steeds vaker plaatsmaken voor slimme mobiele apparaten, en deze willen verzekeren van een veilige communicatie met andere netwerken, lijkt dat een enorme uitdaging. Het is echter geen onmogelijke taak. De sleutel ligt in een industriebrede holistische benadering die stopt met het maken van uitzonderingen voor mobiele apparaten en ze behandelt als echte endpoints. Idealiter zou dit ook moeten gelden voor geïntegreerde bescherming voor eindgebruikers, bedrijven en aanbieders van telecommunicatiediensten. ‹‹ * Erik van Veen is Senior Manager Technical Sales Organisation bij Symantec Nederland. Tom Welling is Senior Technical Account Manager bij Symantec Nederland.

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

De buitenwereld op je netwerk Het Nieuwe Werken en Bring Your Own Device zijn ontwikkelingen waarmee steeds meer organisaties te maken krijgen. Draadloze netwerken zijn een aanjager hiervan. Een belangrijk gevolg van het toenemende gebruik van draadloze netwerken, is dat je als organisatie te maken krijgt met ‘nieuwe’ gebruikers. Hoe regel je dan je beveiliging? JAN BUIS *

raadloze netwerken zijn een belangrijke aanjager van Het Nieuwe Werken, zo onderstreept ook een recent onderzoek van IDC. Gedreven door productiviteitsverhoging, kostenreductie en veranderend gebruikersgedrag worden er nieuwe eisen gesteld aan hoe een bedrijf werknemers faciliteert in hun functioneren. Dit fenomeen heeft een aanzienlijke impact op de manier waarop organisaties hun informatiebeveiliging inrichten. De inzet van draadloze netwerken zal hierin nog meer de boventoon gaan voeren. Umts/HsxPA, oftewel 3G (in de toekomst LTE) en wifi (op 2.4 GHz en 5 GHz op zowel de A- als de Nband) zijn daarbij de leidende stan-

UV-filters. Daardoor is het 3G-signaal binnen het pand vaak veel minder sterk. In dat opzicht volstaat het 3Gnetwerk niet om in de behoefte van de mobiele werkers te voorzien. Een wifibasisstation heeft als voordeel dat het qua capaciteit vijf à tien keer zoveel aankan als een 3G-antenne.

Gebruikersklassen Een belangrijk gevolg van dit toenemende gebruik van draadloze netwerken binnen bedrijven is het feit dat je als organisatie te maken krijgt met ‘nieuwe’ gebruikers. Er zijn in bedrijfssituaties drie, soms vier klassen gebruikers van een draadloos netwerk te onderscheiden. De meeste zakelijke omgevingen hebben te maken met de eigen medewer-

Het zakelijk gebruik van privé-middelen levert wel meer vrijheid op, maar is niet vrijblijvend daarden voor spraak, data- en videoverkeer. Binnen kantooromgevingen zal wifi op basis van een wlan (wireless local area network) met access points en routers overwegend ingezet worden wat draadloze communicatie betreft. Dat heeft te maken met kosten- en praktische overwegingen. Veel moderne gebouwen hebben veel metaal in de constructie en beschikken over ramen met

kers, eenmalige bezoekers en frequente externe gebruikers. Daarbij valt te denken aan onderhoudsmonteurs, het schoonmaakbedrijf en externe adviseurs. Binnen zorginstellingen kan hier nog een vierde klasse aan worden toegevoegd, te weten de bewoners dan wel patiënten. Deze verschillende gebruikersklassen vereisen dat er verschillende ‘toegangs-

Security Management nummer 10 oktober 2011

poorten’ worden gecreëerd om te voorkomen dat een bezoeker toevallig de sleutels tot de kluis krijgt. De eigen medewerkers hebben de meeste rechten en zullen moeten worden gefaciliteerd om zo snel en efficiënt mogelijk toegang te krijgen tot de systemen, waar de beveiligingsvoorschriften dat toelaten.

Wachtwoorden Te vaak wordt er nog vanuit de techniek gedacht en gewerkt vanuit deels verouderde paradigma’s. Een goed voorbeeld daarvan is het gebruik van wachtwoorden. Tegenwoordig kunnen op hoog niveau beveiligingscertificaten worden gebruikt om binnen de kantooromgeving toegang tot een draadloos netwerk te krijgen, waarmee automatisch een deel van de aanmeldprocedure wordt uitgevoerd. Deze certificaten worden door de IT-afdeling op de laptop, tablet of smartphone geïnstalleerd en zorgen ervoor dat de gebruiker bij betreding van het pand binnen het draadloze netwerk geauthenticeerd wordt en toegang krijgt tot het wlan. Dat levert de gebruiker veel minder kopzorgen op dan steeds wisselende en verplicht moeilijke wachtwoorden met verschillende letters en leestekens erin. Wachtwoorden worden in zo’n geval gebruikt voor toegang tot specifieke onderdelen van de systemen en voor applicaties. Het gebruik van een ‘single sign-on’ toepassing op basis van wie je

Foto: SNS Reaal

t hema | informatiebeveiliging

laatste geval is het overigens belangrijk dat de interne HR-systemen goed geïntegreerd zijn met de systemen voor identity management, om ervoor te zorgen dat een uitgeschreven werknemer ook direct de toegang tot het bedrijfsnetwerk ontzegd wordt. Met een dergelijk beleid wordt het aan BOYD’ers (bring your own device) duidelijk gemaakt dat het zakelijk gebruik van hun privé-middelen wel meer vrijheid oplevert, maar niet vrijblijvend is.

Buitenwereld binnen

Veel bedrijven hebben inmiddels ook een beleid geformuleerd om het gebruik van privé IT-middelen toe te staan op de werkvloer. bent, waar je bent en wat je weet, kan de inlogprocedure voor toepassingen verder vereenvoudigen zonder de databeveiliging te compromitteren. Deze applicaties verplaatsen de wachtwoordcomplexiteit naar de achtergrond en kunnen zeer granulair de toegangsrechten helpen inregelen. Wanneer eigen medewerkers vanaf een andere locatie toegang willen tot de bedrijfssystemen, is de meest aangewezen manier een VPN (Virtual Private Network). Dit concept dateert al uit de jaren negentig van de vorige eeuw en is een veilige manier om via het internet twee (netwerken van) computers met elkaar te verbinden over een internetverbinding. Op het toestel van de gebruiker moet een VPN-client worden geïnstalleerd, die via een zogeheten tunnel contact zoekt met het bedrijfsnetwerk. Mits goed geconfigureerd is het even veilig als een ‘vaste’ verbinding. Naast VPN-clients voor pc’s en notebooks zijn er steeds meer en betere VPNclients beschikbaar voor smartphones en tablets.

Beleidsregels Van werknemers die hun eigen apparaten willen aansluiten op het bedrijfs-

netwerk, mag wel worden verwacht dat ze beseffen dat ze de organisatie tegemoetkomen op het gebied van met name veiligheid. Veel bedrijven (volgens een internationaal onderzoek van de Aberdeen Group 75 procent) hebben inmiddels ook een beleid geformuleerd om het gebruik van privé IT-middelen toe te staan op de werkvloer. Deze beleidsregels kunnen zeer uitgebreid zijn of heel summier, maar omvatten globaal allemaal deze uitgangspunten: » Gebruikers ondertekenen een document voor redelijk gebruik en staan toe dat de IT-afdeling bij hun toestel kan, mocht dat nodig zijn voor ondersteuning. » De IT-afdeling zal dan het hierboven besproken digitale certificaat installeren om authenticatie te kunnen uitvoeren. Hiermee krijgt de gebruiker veilige toegang tot bedrijfsbronnen en kan het bedrijf de toegangspatronen van de gebruiker bijhouden. Vaak krijgt de gebruiker hiermee ook meteen toegang tot e-mail en kalenderfuncties. » Gebruikers stemmen ermee in om remote wiping software te installeren in het geval een device verloren raakt, gestolen wordt of wanneer de werknemer het bedrijf verlaat. In het

Het Nieuwe Werken is, zoals eerder al omschreven, een full circle fenomeen. Nieuwe gebruikersgroepen willen voor korte of langere tijd toegang tot uw netwerk. Onder invloed van het feit dat steeds meer apparaten communiceren via het Internet Protocol (IP) zijn dat steeds vaker ook mensen die niet direct IT-gerelateerd werk doen. Hierbij valt te denken aan technici voor klimaatsystemen of bijvoorbeeld voor hartmonitoring. Bij een storing zullen ze ter plekke op hun laptop de informatie over het systeem willen uitlezen om een diagnose te kunnen stellen dan wel te kunnen controleren of een reparatie succesvol is geweest. De vraag hierbij is hoe deze mensen te faciliteren in hun werk. Je wilt ze immers toegang geven tot het netwerk zelf, maar niet tot bedrijfsinformatie. Het meest eenvoudig is dan je netwerk te virtualiseren, oftewel de draadloze bandbreedte te scheiden in verschillende ‘kanalen’ met elk hun eigen karakteristieken. Mensen die niet beschikken over de vereiste beveiligingscertificaten, krijgen met een wachtwoord toegang tot het semivuile netwerk. Dat biedt toegang tot gefilterd internet (geen porno en malafide websites) om hun taken uit te voeren. De beveiliging van het apparaat of systeem is de verantwoording van de leverancier ervan en valt buiten het bereik van de IT-beheerders. ‹‹ * Jan Buis, international director bij Lancom. Met dank aan Wim Bos, directeur bij Lumiad.

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Vrijheid versus veiligheid Voor criminelen is internet een grote speeltuin. De vrijheid is enorm. Er is geen internationale internetpolitie of internationaal internetstrafhof. Criminelen zien internet als een handig hulpmiddel of een plek die uitnodigt tot nieuwe misdaad. Wetgeving, vrijwel altijd op nationaal niveau, hobbelt achter de feiten aan. Terwijl het grote publiek steeds vaker wordt geconfronteerd met de gevolgen van cybercrime, van het hacken van persoonsgegevens en identiteitsfraude tot slecht gespelde phishingmails.

n dit artikel belichten we het thema internetvrijheid en veiligheid van drie kanten. Willemijn Aerdts van Burgerrechtenbeweging Bits of Freedom vindt dat we eerst moeten onderzoeken wat de aard en omvang van cybersecurity is, voor

we nieuwe bevoegdheden toestaan. Erik Akerboom, Nationaal Coรถrdinator Terrorismebestrijding en Veiligheid en co-voorzitter van de Cyber Security Raad, kiest voor een pragmatische benadering: zo min mogelijk bureaucratie en samenwerking met marktpartijen.

Voor criminelen is internet een grote speeltuin.

Security Management nummer 10 oktober 2011

Ronald Prins, directeur van Fox-IT, benadrukt tot slot hoe belangrijk het is om cyberdreigingen op tijd te signaleren. Hij vindt het geen probleem als de overheid daarvoor wat meer op internet rondsnuffelt.

t hema | informatiebeveiliging

Willemijn Aerdts over vrijheid en veiligheid organisatie van waar de overheid controle over heeft.’ De nadruk op zelfregulering en publiek-private samenwerking vormt een gevaar voor de parlementaire democratie en onze internetvrijheid.

Bits of Freedom is een beweging die opkomt voor digitale burgerrechten. De beweging analyseert nieuwe ontwikkelingen, informeert hierover, lobbyt en voert campagne. Centraal staan communicatievrijheid en bescherming van de privacy op het internet.

2. Het ontwikkelen van offensieve capaciteiten voor ordehandhaving in het cyberdomein is noodzakelijk. Deels voldoen traditionele opsporingsmethoden nog. Voor je nieuwe bevoegdheden gaat toestaan, moet je eerst helderheid krijgen over de aard en omvang van cybersecurity. Wat is cybersecurity precies? Hoe groot is het probleem? Wat kan er met de bestaande opsporingsmethoden? Wie mag wat doen? Daar moet eerst onafhankelijk onderzoek naar worden gedaan. Een gebrek aan nuance over cybersecurity doet meer kwaad dan goed. 3. De traditionele aanpak van misdaad en vervolging is niet meer adequaat door het vervagen van de landsgrenzen in het cyberdomein. Als een cybercrimineel vanuit de Russische stad Che-

‘Eerst helderheid verkrijgen over aard en omvang van cybersecurity’ 1. Private partijen moeten zich niet met cybersecurity bemoeien. Aan publiek-private samenwerking op veiligheidsgebied kleven nadelen. We noemen vooral het gebrek aan transparantie; op het functioneren van overheidsinstanties kan het parlement een bepaalde controle uitoefenen; dat ligt moeilijker bij private partijen. Als blijkt dat de overheid structureel kennis over digitale opsporing mist, dan moet de overheid daar zelf iets aan doen en niet een derde partij voor deze taak inhuren. Je ziet dat aan de organisatie die zich bezighoudt met de OV-chipkaart, het parlement zegt nu: ‘Maak daar een

lyabinsk een computer in Nederland hackt, moet de Nederlandse jurisdictie gelden. Dit klinkt in eerste instantie aantrekkelijk maar wat als, bij wijze van spreken, China computers in Nederland gaat onderzoeken? Traditioneel wordt ervoor gekozen de bevoegdheden van de politie binnen de eigen landsgrenzen te houden. Ook om jezelf te beschermen. Er is een aantal verdragen dat samenwerking tussen landen mogelijk maakt. Desgewenst kan Nederland die aanpassen. 4. Bescherming van privacy is niet nodig als je toch niks te verbergen hebt.

Daar zijn we het niet mee eens en dat geldt voor steeds meer Nederlanders. Met de groei van het internet groeit het bewustzijn dat we op onze privacy moeten letten. Iedereen kent wel verhalen, variërend van identiteitsfraude tot Facebookfoto’s die een probleem vormen bij een sollicitatie of promotie. Uit informatie die we van Hyves ontvingen, blijkt dat bijna 90 procent van de jongeren zijn privacy-instellingen aanpast. 5. Je mag in sommige gevallen best de vrijheid een klein beetje inperken als daarmee de veiligheid enorm wordt vergroot. De meeste grondrechten zijn niet absoluut. Je moet een afweging maken, maar dat moet wel volgens strakke regels. Het Europees Verdrag voor de Rechten van de Mens besteedt daar veel aandacht aan en wijst op noodzakelijkheid en proportionaliteit als je rechten wil inperken. Neem de bewaarplicht. Wordt door alle telefoonen internetgegevens te bewaren de veiligheid enorm vergroot? Tot nu toe heeft geen enkel land aan kunnen tonen dat het opslaan van gegevens leidt tot een stijging van de opsporingspercentages. Op de vraag van de Europese Commissie of landen iets aan het bewaren hadden, is onvolledig of helemaal niet gereageerd. Inmiddels is de bewaarplicht voor internetgegevens teruggebracht naar zes maanden. Wij pleiten ervoor de bewaarplicht helemaal af te schaffen. 6. Cybercrime is breder dan het internet. Eigenlijk is er geen verschil meer tussen gewone misdaad en cybercrime. Er is inderdaad geen verschil als je het bekijkt vanuit de grondrechten: die gelden altijd. Er is wel verschil in handhaving, omdat die semi-geautomatiseerd plaats kan vinden. Daardoor moet extra worden gewaakt voor het onnodig en disproportioneel schenden van grondrechten.

Security Management nummer 10 oktober 2011

» 27

t hema | informatiebeveiliging

Erik Akerboom over vrijheid en veiligheid Erik Akerboom, vooral bekend als Nationaal Coordinator Terrorismebestrijding en Veiligheid, is ook co-voorzitter van de net opgerichte Cyber Security Raad. Deze raad adviseert de regering over digitale veiligheid. Hoe denkt hij over vrijheid en veiligheid? 1. Private partijen moeten zich niet met cybersecurity bemoeien. Ik geloof in publiek-private samenwerking. Als je cybersecurity alleen een zaak van de overheid maakt, dan is de opbrengst van je acties beperkt. Want de wereld van de ICT is veel sneller, veel minder orthodox maar bovenal voor 90 procent in handen van private partijen. Amerikanen en Canadezen die bij ons op bezoek komen, vinden

We moeten in ieder geval toe naar een ander concept van cyberbeveiliging. Bij cloudcomputing heeft het bouwen van ﬁrewalls niet zoveel zin meer. Je moet eigenlijk het internetverkeer gaan monitoren. Dat is nogal een opdracht om te doen zonder dat je goede afspraken maakt om privacy te borgen. Je moet aan de voorkant afspreken hoe je dat aan wilt pakken en daarna toetsen of het gebeurt zoals is afgesproken. Wat je niet moet doen is daar een enorme bureaucratie voor optuigen, want dat beperkt. 3. De traditionele aanpak van misdaad en vervolging is niet meer adequaat door het vervagen van de landsgrenzen in het cyberdomein. Als een cybercrimineel vanuit de Russische stad Chelyabinsk een computer in Nederland hackt, moet de Nederlandse jurisdictie gelden. Het is een van de dingen die de Cyber Security Raad in beeld wil brengen. Het is een interessant idee. In Oostenrijk gebeurt dat al. Je kunt zo handelen zonder direct de hele wereld over

‘Privacy is voor mij geen obstakel, maar een vertrekpunt’ het reuze interessant zoals wij samenwerking zoeken met private partijen. Nederland ontwikkelt zich dankzij die aanpak tot gidsland op het gebied van cybersecurity. De vraag is wel: in hoeverre is het toetsbaar wat private partijen doen? Er moet een kader zijn voor hoe partijen met gevoelige informatie omgaan. Je moet duidelijke afspraken maken én je aan die afspraken houden. Overigens zijn er goede ervaringen in het samenwerken tussen private partijen en de overheid op het gebied van veiligheid. Denk aan de beveiliging op Schiphol of de inzet van forensische accountants. 2. Het ontwikkelen van offensieve capaciteiten voor ordehandhaving in het cyberdomein is noodzakelijk.

te moeten met rechtshulpverzoeken. In cybersecurityzaken moet je snel kunnen reageren. Een internationaal verdrag over deze materie gaat lang duren. Uiteindelijk wil je een verdrag, maar in de tussentijd moet er een Nederlandse oplossing komen. In de huidige situatie moeten we ons in ieder geval aan de spelregels houden, juist op het punt van jurisdictie. 4. Bescherming van privacy is niet nodig als je toch niks te verbergen hebt. We weten uit de fysieke wereld dat anonimiteit de schuilplaats van het kwaad is. Het is goed als je criminaliteit uit de anonimiteit haalt. Aan de andere kant is anonimiteit een garantie dat internet maximaal zijn rol vervult; kijk naar wat er nu in het Midden-Oosten gebeurt met de Arabische

Security Management nummer 10 oktober 2011

lente. Als er indicaties zijn dat er strafbare feiten plaatsvinden, dan moet je de anonimiteit echter wel opheffen. 5. Je mag in sommige gevallen best de vrijheid een klein beetje inperken als daarmee de veiligheid enorm wordt vergroot. Bij de aanpak van cybercrime is privacy voor mij geen obstakel, maar een vertrekpunt. De Raad en de overheid moeten duidelijke ideeën ontwikkelen over privacy en waar de grenzen liggen. Iedere maatregel die de privacy beperkt, moet aan een duidelijk veiligheidsdoel verbonden zijn en worden getoetst. Als je zegt: dit doen we om het internet veilig te houden, dan moet je je ook echt daartoe beperken. Je moet goed nadenken over de balans. Hoe ver ga je voor veiligheid? Niet alles is te voorkomen, er zullen altijd risico’s blijven. In het verkeer bestaat ook de kans dat je door een auto wordt geschept, toch gaan we dagelijks de straat op. 6. Cybercrime is breder dan het internet. Eigenlijk is er geen verschil meer tussen gewone misdaad en cybercrime. Het gaat niet om nieuwe fenomenen. Het gaat om bestaande vormen van criminaliteit, onveiligheid en dreiging in een ander medium: internet. In dat medium gaat alles wél sneller. Bovendien zijn de actieradius en de schaal groter. De vraag is: hoe dam je die dreigingen in? Het kan niet blijven zoals het is. Samen met bijvoorbeeld providers moeten we kijken naar de bedreigingen en risico’s en die vertalen in maatregelen. Dat vereist een transparante aanpak, maar niet een waarbij we alles dichtregelen, want dat verhoudt zich niet met de dynamiek van de internetwereld. Een goed voorbeeld vind ik de Notice-and-takedown procedure voor het verwijderen van onrechtmatige inhoud op het internet. In andere landen bestaat in dat opzicht veel meer spanning tussen overheid en providers. De in samenspraak met marktpartijen opgestelde gedragscode heeft voorkomen dat er bij ons een heel strafrechtelijk systeem werd opgetuigd.

t hema | informatiebeveiliging

Ronald Prins over vrijheid en veiligheid Ronald Prins, directeur van FoxIT, werkt regelmatig samen met de overheid aan cybersecurity-projecten en heeft een eigen kijk op digitale vrijheid en veiligheid. 1. Private partijen moeten zich niet met cybersecurity bemoeien. Ik denk dat de overheid zelf meer digitale slagkracht nodig heeft. Private partijen moeten geen unieke rol in de opsporing krijgen, maar de overheid kan ze wel heel goed inzetten om nieuwe onderzoekstechnieken te ontwikkelen. Daarnaast blijkt de overloopfunctie erg praktisch bij onverwachte digitale incidenten. Een private partij kan dan snel bijspringen om het incident te verhelpen. Het is voor de overheid soms lastig om de goede mensen te vinden en aan zich te binden. De samenwerking tussen private en publieke opsporing geeft de overheid ook een beter idee over het type medewerkers dat ze nodig heeft. 2. Het ontwikkelen van offensieve capaciteiten voor ordehandhaving in het cyberdomein is noodzakelijk. In de Defensiecontext hebben we zeker offensieve capaciteit nodig om een aanval af te kunnen slaan. Maar het is nog belangrijker dat de overheid investeert in een ‘operationeel dreigingsbeeld’. Hiermee bedoel ik niet dat we opnieuw moeten onderzoeken of er wel een cyberdreiging is, maar dat we haar op tijd signaleren. Op dit moment blijft heel veel cyberellende onopgemerkt. We hebben geen idee hoeveel informatie wegstroomt door digitale spionage of hoeveel privacygevoelige gegevens worden gestolen. Hier is duidelijk

sprake van een kip-eiprobleem. Zonder monitoring weten we niet hoe het zit. We weten ook niet of de door de overheid geïntroduceerde privacyrisico’s gerechtvaardigd zijn. Maar we kunnen het ons ook niet veroorloven om ze te negeren.

op internet vastgelegd dan veel mensen denken. Het internet vergeet niets en het risico van privacy-inbreuken wordt alleen maar groter. Daarom is het steeds belangrijker om al die privacygevoelige gegevens te beschermen.

3. De traditionele aanpak van misdaad en vervolging is niet meer adequaat door het vervagen van de landsgrenzen in het cyberdomein. Als een cybercrimineel vanuit de Russische stad Chelyabinsk een computer in Nederland hackt, moet de Nederlandse jurisdictie gelden. We moeten met een cyberbril onze wetgeving opnieuw doorlichten. Natuurlijk moet de Nederlandse politie niet lukraak hacken in het buitenland om een zaak rond te krijgen. Maar bij delicten die niet op een andere manier op te lossen zijn, moet het misschien wel worden toegestaan. Als voorbeeld noem ik de hidden services binnen het TOR-netwerk. Een TOR (The Onion Router) is een open netwerk voor anonieme communicatie. Daar kan verboden content op staan, zoals kinderporno, terwijl we niet eens weten in welk land zo’n server staat. Waar meld je je dan met een rechtshulpverzoek? Andere bevoegd-

5. Je mag in sommige gevallen best de vrijheid een klein beetje inperken als daarmee de veiligheid enorm wordt vergroot. Dat is de beroemde virtuele tegenstelling. Ik vind het juist belangrijk dat de overheid waakt over mijn privacy. Ik wil niet dat die vergaarbak van twintig jaar gegevens op straat komt te liggen. Als het daarvoor nodig is dat de overheid meer rondsnuffelt op het internet, vind ik dat prima. Vanzelfsprekend moet de overheid dat heel zorgvuldig doen en hier transparant over zijn. Het lijkt mij een goed idee om een internetprivacywaakhond in het leven te roepen. Die kan dan niet alleen de overheid op de vingers tikken, maar ook bedrijven die onzorgvuldig met de gegevens van hun klanten omgaan. 6. Cybercrime is breder dan het internet. Eigenlijk is er geen verschil meer tussen gewone misdaad en cybercrime.

‘Ik vind het belangrijk dat de overheid over mijn privacy waakt’ heden van de overheid mogen juist wel worden ingeperkt. Als de politie nu bij mij een huiszoeking doet en alle computers meeneemt, heeft ze twintig jaar historie in handen. Twintig jaar geleden bewaarden we niet zo veel en was een huiszoeking misschien veel minder ingrijpend dan nu. 4. Bescherming van privacy is niet nodig als je toch niks te verbergen hebt. Dat is te kort door de bocht. Iedereen heeft wat te verbergen. Er is veel meer

Juridisch gezien zijn het misschien allemaal dezelfde delicten. Maar de impact is heel anders. Bij cybercrime kunnen een paar individuen veel meer schade veroorzaken dan bij ‘gewone’ misdaad. Verder hebben we online nog een heel ander normbesef dan ofﬂine. Op straat heeft de politieman een pistool en dus een geweldsmonopolie. Maar online zijn we feitelijk allemaal even sterk en wordt de strijd tussen de good guys en bad guys op een andere manier gevoerd.

Dit artikel is eerder gepubliceerd in Fox Files 2011, nummer 2. ‹‹

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Informatiebeveiliging in de cloud Opkomende diensten in de vorm van ‘cloudservices’ stellen organisaties voor nieuwe uitdagingen. Waar eerst alle informatie en diensten nog door de organisatie zelf werden beheerd en aangeboden, zullen in het geval van cloudservices de informatie en diensten worden beheerd en aangeboden door een andere partij. Deze nieuwe vorm van dienstverlening brengt specifieke risico’s met zich mee ten aanzien van informatiebeveiliging. TOM KLEIBERG *

et internet heeft een steeds prominentere rol gekregen in zakelijke toepassingen en processen. Werknemers in alle lagen van de organisatie, van bestuurders tot het personeel op de werkvloer, gebruiken het internet of toepassingen die via in-

internetomgeving is steeds onveiliger geworden. Cybercriminaliteit behoort tegenwoordig tot de meest lucratieve vormen van criminaliteit. Overtreders hebben eenvoudig toegang tot vele slachtoffers, terwijl het risico gearresteerd te worden of überhaupt betrapt te

De afnemer van de cloudservice legt een deel van de informatiebeveiliging in handen van de cloudprovider terne netwerken communiceren. Met deze nieuwe ontwikkelingen ontstaan ook nieuwe risico’s. De bedrijfsinformatie die gedeeld wordt via deze netwerken, is doorgaans vertrouwelijk en dient binnen de organisatie te blijven. Voorheen werd deze last op de schouders van de IT-afdeling gelegd. Informatie was een IT-aangelegenheid en het was de taak van de IT-beheerder om de omgeving zo veilig mogelijk in te richten. Beveiliging werd gezien als een product: installeer een firewall, voorzie alle systemen van virusscanners en de beveiliging is in orde.

Nieuwe bedreigingen Vandaag de dag zien we dat dit uitgangspunt niet meer toereikend is. De

worden, bijzonder laag is. Bovendien is de beloning zeer aantrekkelijk. Kortom, cybercriminaliteit is niet langer iets voor eenzame hackers op een zolderkamertje, maar is verworden tot een georganiseerde vorm van misdaad. Deze nieuwe bedreigingen vormen aanzienlijke financiële en economische risico’s voor een organisatie en hebben een onmiskenbare invloed op de beveiligingshuishouding.

Nieuwe uitdagingen Technologische ontwikkelingen vormen een andere stimulans voor het herzien van de filosofie dat informatiebeveiliging wel ‘uitbesteed kan worden’ aan de IT-afdeling. Opkomende diensten in de vorm van ‘cloudservices’

Security Management nummer 10 oktober 2011

stellen de organisatie voor nieuwe uitdagingen. Waar in het traditionele scenario alle informatie en diensten nog door de organisatie werden beheerd en aangeboden, zullen in het geval van cloudservices de informatie en diensten worden beheerd en aangeboden door een andere partij! Een deel van de rol van de IT-beheerder wordt hierdoor overgenomen door de cloudprovider. Deze nieuwe vorm van dienstverlening brengt specifieke risico’s met zich mee ten aanzien van informatiebeveiliging. Zo is een cloudprovider een zeer interessant doelwit voor criminelen vanwege de enorme hoeveelheid informatie die voorhanden is. Daarnaast is het zaak om informatie van de verschillende organisaties die gebruikmaken van de cloudprovider, zo goed mogelijk te scheiden. Bovendien kleven er allerlei juridische kwesties aan cloudservices; wie is er bijvoorbeeld aansprakelijk wanneer een inbraak op één van de systemen van een cloudprovider ook gevolgen heeft voor andere klanten van de cloudprovider?

Security in de cloud Om deze risico’s te kunnen bepalen, is het voor de cloudprovider belangrijk om te weten wat de waarde is van de informatie op zijn systemen. Dit vereist medewerking van alle betrokkenen, van zowel de cloudprovider als de afne-

t hema | informatiebeveiliging

mer van de cloudservices. Beiden dienen een beleidsplan in werking te hebben dat aangeeft hoe er met gevoelige informatie omgegaan dient te worden en wat de eisen zijn ten aanzien van informatiebeveiliging. De afnemer van de cloudservice legt een deel van de taak van informatiebeveiliging in handen van de cloudprovider en wil dus zekerheid hebben dat zijn informatie in veilige handen is. Een goed beleidsplan brengt structuur aan in de beveiliging van informatie en schept een kader voor het eisenpakket. Informatiebeveiliging dient als een integraal proces ingebakken te worden in de organisatie en zou een belangrijk onderdeel van de bedrijfsvoering moeten vormen. Boven-

dien helpt een beleidsplan bij het maken van afspraken en het verdelen van verantwoordelijkheden tussen een cloudprovider en de afnemer.

Beleid, techniek en de mens Beveiliging berust op drie pijlers: beleid, techniek en de mens. Het samenspel tussen deze drie factoren bepaalt de kwaliteit van beveiliging van de IT-omgeving en zodoende de bedrijfsinformatie. Informatiebeveiliging is een integraal risicomanagementproces waaraan een visie en beleid ten grondslag liggen. Beleid Een informatiebeveiligingsbeleid is een op strategisch niveau vastgesteld docu-

ment waarin op hoofdlijnen doelen en richtlijnen worden geformuleerd op het gebied van informatiebeveiliging. Het schept een kader voor de tactische en operationele invulling van informatiebeveiliging. Het is een richtinggevend document voor de uitvoerders, het middenkader en de medewerkers, en beschrijft een (niet te gedetailleerde) route van de huidige situatie naar de te bereiken doelstelling. Het beleid bepaalt aan welke eisen de omgeving dient te voldoen, waarbij zowel technische als niet-technische aspecten aan de orde komen. Hoe kunnen resources optimaal worden ingezet om de beveiliging te realiseren en te garanderen, welke trainingen zijn nodig voor het

Security Management nummer 10 oktober 2011

Âť

t hema | informatiebeveiliging

personeel en aan welke wettelijke voorschriften of regulerende normen dient te worden voldaan? Daarnaast dient een beleid te voorzien in een gestructureerd auditplan, dat de aanwezige omgeving met regelmaat controleert op gebreken. Het uitvoeren van audits of security reviews, door interne of externe partijen, is van grote waarde om de beveiliging scherp te houden en leidt vaak tot verbeteringen. Ten slotte is het volgen van technische ontwikkelingen belangrijk om op de hoogte te blijven van de ontwikkelingen in de markt en te weten waar de nieuwe mogelijkheden én bedreigingen liggen. Techniek Informatievoorziening en de technische infrastructuren die hieraan ten grondslag liggen, worden steeds com-

dit stuit regelmatig op verzet en men verzandt vaak in een overvloed aan regels en overhead. Zo zou men het gebruik van cloudservices kunnen beperken tot eindstations met zeer repressieve beveiligingsmaatregelen, of alleen vanaf zeer beperkte locaties, maar dit zal frustrerend werken en de flexibiliteit van de werknemer onder druk zetten. De ervaring leert dat het belangrijk is een balans te vinden tussen beveiliging en werkbaarheid, waarbij de techniek liefst zoveel mogelijk op de achtergrond acteert en de werknemer zo min mogelijk gehinderd wordt in zijn dagelijkse bezigheden. Een voorbeeld hiervan is het gebruik van encryptie op eindstations, zoals laptops. De medewerker zal zich nauwelijks bewust zijn van deze maatregel, maar een eventueel verlies van de laptop zal zich

Cloud-infrastructuren zijn uitermate complex en hebben zeer specifieke eisen voor informatiebeveiliging plexer, dynamischer en ingrijpender. Cloud-infrastructuren zijn uitermate complex en hebben zeer specifieke eisen ten aanzien van informatiebeveiliging. Vanwege virtualisatie en het delen van resources is er extra technologie vereist om de informatie veilig te houden. Het inrichten van een beveiligingsomgeving bestaat niet louter nog uit het simpel configureren van een firewall, maar is vakwerk en dient uitgevoerd te worden door experts met de focus op beveiliging. Zij beschikken over de kennis die nodig is om technische oplossingen te configureren, integreren en beheren. De impact van een falende technische oplossing is aanzienlijk. Een falende technische oplossing in een cloudomgeving heeft vaak gevolgen voor meerdere klanten. De gevolgen van een falende oplossing dienen dus geïsoleerd te worden en zoveel mogelijk beperkt te blijven. Aan de andere kant is het belangrijk dat men oog houdt voor de werkbaarheid van de cloudservices. Het is relatief eenvoudig om de hele omgeving dicht te timmeren zodat men geen enkele vrijheid meer heeft in de werkomgeving, maar

tot een klein materieel verlies beperken, aangezien de informatie die op de laptop staat niet toegankelijk is voor derden. Mens Het ontwerp van uw IT-omgeving maar ook die van de cloudprovider moet niet alleen bestand zijn tegen aanvallen van buitenaf, maar dient ook rekening te houden met dreigingen van binnenuit. Veel beveiligingsincidenten ontstaan door onopzettelijk dataverlies, zoals het

verliezen van een laptop of het per ongeluk e-mailen van gevoelige informatie naar een verkeerde persoon. Technische maatregelen kunnen een belangrijke rol spelen als vangnet voor menselijk handelen, maar hier zitten grenzen aan en het aansturen van mensen vormt een belangrijk facet van een degelijk beveiligingsbeleid. Een beleidsplan is daarom niet compleet zonder de belangrijkste schakel daarin mee te nemen: de mens. De mens vormt zowel de sterkste als de zwakste schakel in het beveiligingsbeleid. Het verschil tussen deze twee uitersten wordt bepaald door bewustwording van de gevaren van het internet en het volgen van de juiste richtlijnen met betrekking tot het omgaan met informatie. Verdeel de verantwoordelijkheden binnen de organisatie over verschillende mensen en zorg dat informatie alleen beschikbaar wordt gesteld aan degenen die het nodig hebben. Gecombineerd met de juiste training kan het personeel bewust worden gemaakt van het belang van beveiliging en krijgt het aandacht voor de risico’s die met gevoelige informatie gepaard gaan. In het geval van de cloudprovider zal de medewerker van de cloudprovider ruime kennis van zaken hebben en zich bewust zijn van de gevaren van cloudservices. Aan de andere kant zijn de belangen van de cloudprovider bijzonder groot. De impact van dataverlies bij een cloudprovider kan gevolgen hebben voor veel organisaties die bij de cloudprovider aangesloten zijn. ‹‹

* Tom Kleiberg is Security Consultant bij Pinewood in Delft

Samenvatting » Het is belangrijk dat er een beleid is dat aangeeft hoe men omgaat met waardevolle informatie en objecten. » Dit beleid wordt doorgevoerd in verschillende processen, zoals fysieke beveiliging, maar ook informatiebeveiliging. » Houd criminelen op afstand door medewerkers bewust te maken van het belang van informatiebeveiliging en regel de techniek op de achtergrond in als een vangnet voor onbewust handelen. » Zorg ervoor dat uw cloudprovider een helder beleidsplan heeft dat aansluit op uw eisen en zorg ervoor dat er afspraken gemaakt zijn met betrekking tot aansprakelijkheid.

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

Oplossingen voor databeveiliging Wie kent het niet: een zelfbedacht geheimschrift om stiekem briefjes te schrijven in de klas. Mocht de juf het onderscheppen, dan was er nog niets verloren. Maar geheimschrift is niet voldoende om vertrouwelijk bedrijfsinformatie te delen. Daar zijn andere hulpmiddelen voor. En dat hoeven heus geen James Bond-technieken te zijn. FERDI VAN DER ZWAAG *

egelmatig verschijnen er verhalen in de pers over gelekte bedrijfsinformatie of het verlies van een usb-stick met vertrouwelijke gegevens. In mei van dit jaar is er nog informatie over een geheime verkoop van Nederlandse F16 â&#x20AC;&#x2122;s in onbevoegde handen terechtgekomen. Simpelweg doordat een usb-stick met die informatie op een rommelmarkt is verkocht.

Onzorgvuldig Bovenstaand voorbeeld is natuurlijk wel erg slordig, maar bedrijfsinformatie wordt nog altijd vrij gemakkelijk verloren. Bedrijven worden steeds flexibeler in werktijden en -locaties. De voordelen zijn bekend: minder files, effectievere tijdbesteding en productievere werknemers. Maar er kleven ook nadelen aan. Bedrijfsinformatie wordt meer verspreid en het risico dat er onzorgvuldig mee wordt omgegaan is groter. Werknemers maken gebruik van eigen apparatuur die net wat meer malen spyware bevat dan de pc op kantoor. Een laptop verlies je niet zo snel, een usb daarentegen laat je gemakkelijk in je jaszak zitten om vervolgens je jasje naar de stomerij te brengen.

Reputatieschade Steeds meer instellingen en bedrijven worden geacht gebruik te maken van encryptie bij persoonlijke klantinformatie, toch zijn er voldoende voorbeelden waarbij dit niet het geval is. Deze bedrijven zijn zich waarschijnlijk niet

bewust van de gevolgen die verlies kan hebben. Wat kan er nu helemaal gebeuren? Het verliezen van bedrijfsdata, informatie over personen of IP-gegevens kan zeer schadelijk zijn voor bedrijven. Dataverlies heeft vaak reputatieschade tot gevolg. Bedrijven doen er alles aan om in een positief daglicht te staan bij consumenten en andere bedrijven. Verlies van data kan daar een bres in slaan die moeilijk weer te dichten is. Reputatieschade kan leiden tot verlies van klan-

dollar. Daarmee komen de gemiddelde kosten van dataverlies voor een bedrijf op 2.568.000 dollar. Dat is een hoop geld dat met een goed databeveiligingsbeleid in de kas kan blijven.

Databeveiliging De hiervoor geschetste situaties onderstrepen het belang van goede databeveiliging. Daarom is het aan te raden om als bedrijf een beleid op te stellen om dataverlies te voorkomen. Wanneer een dergelijk beleid ingevoerd wordt, is het allereerst belangrijk om medewer-

Flexibiliteit en eenvoud van usbâ&#x20AC;&#x2122;s kan juist een pluspunt zijn in een beveiligingsstrategie ten, inkomstendaling en soms zelfs tot faillissement. En wat als vertrouwelijke informatie in handen komt van concurrenten? Wellicht blijft dan grootschalige reputatieschade achterwege, maar gaat de concurrent er wel met uw verse bedrijfsplannen of vertrouwelijke klantinformatie vandoor. Uit onderzoek van het Amerikaanse onderzoeksinstituut Ponemon naar databeveiliging kwamen de kosten van dataverlies duidelijk naar voren. Elk verloren document kost een bedrijf 214

Security Management nummer 10 oktober 2011

kers bewust te maken van het belang van databeveiliging. Een onderneming kan een geweldig beleid hebben, als de medewerkers er het nut niet van inzien en er niet mee willen werken, sorteert het geen effect. Om te bepalen welke mate van databeveiliging voor een organisatie van toepassing is, zijn verschillende factoren van belang. Bedenk of de data te gevoelig zijn om gekopieerd te mogen worden naar een externe drive. Mocht dat het geval zijn, zorg dan dat de gegevens niet gekopieerd kĂşnnen wor-

t hema | informatiebeveiliging

den. Als de informatie wel gekopieerd mag worden, is het dan wel nodig dat deze versleuteld wordt? Het is ook mogelijk te bepalen welke apparaten gekoppeld mogen worden aan de bedrijfsapparatuur en het externe drives onmogelijk te maken ermee verbinding te maken. Bedrijven zijn misschien huiverig voor het gebruik van usb-sticks, maar de flexibiliteit en eenvoud van deze oplossing kan juist een pluspunt zijn in een beveiligingsstrategie. Wanneer tot het gebruik van beveiligde usb’s wordt overgegaan, is gebruiksgemak een eigenschap waar niet meteen aan gedacht wordt. En dat terwijl het een van de belangrijkste factoren in het beleid is. Als het gebruik te ingewikkeld is, zijn werknemers snel geneigd om informatie toch maar even op een – onbe-

veiligde - stick ‘van thuis’ te zetten. Dergelijke situaties leveren onnodig risico op, want encryptie klinkt misschien ingewikkeld, dat hoeft het niet te zijn.

Usb’s in bedrijf Als een bedrijf besluit over te gaan op gebruik van beveiligde usb-sticks, is het natuurlijk zaak om niet te verdwalen in het woud van aanbieders die stuk voor stuk hun eigen product het beste vinden. Uit een onderzoek dat onderzoeksinstituut Gartner in februari 2011 hield, is gebleken dat er enkele punten zijn waaraan een beveiligde usb-stick voor bedrijfsmatig gebruik moet voldoen. » Allereerst is het aan te raden usb’s te gebruiken waarvan de encryptie door de hardware wordt geregeld.

De codes en sleutels zijn niet gekoppeld aan een pc en kunnen – in tegenstelling tot oplossingen met software-encryptie - onafhankelijk van een apparaat werken. » Behalve de manier van encryptie is ook de certificering van het veiligheidsniveau een waardevolle raadgever. FIPS (Federal Information Processing Standards) is een onafhankelijke aanduiding die een indicatie geeft van het veiligheidsniveau. FIPS 140-2 is een specificatie die verschillende levels bevat, die oplopen van 1 tot 4. Niveau 2 is het meest voorkomend bij versleutelde usb’s. Toch zegt het niet alles. Zelfs uit een niet-FIPS gecertificeerde drive is het nog moeilijk om informatie te krijgen. Het kost bijvoorbeeld heel veel moeite om de inhoud

Security Management nummer 10 oktober 2011

t hema | informatiebeveiliging

te lezen van een versleutelde usbstick die je op straat vindt. Het â&#x20AC;&#x2DC;ontsleutelenâ&#x20AC;&#x2122; is zoveel werk dat er niet eens aan begonnen wordt. Pas als je met hoogwaardige, vertrouwelijke informatie werkt, is het aan te raden om gebruik te maken van een FIPS 140-2 niveau 3. Âť Een ander belangrijk instrument is de herstelsleutel op een stick. Deze â&#x20AC;&#x2DC;recovery keyâ&#x20AC;&#x2122; kan een andere, geautoriseerde partij toegang geven tot de data op de usb. Wanneer de hoofdgebruiker van de drive niet langer werkzaam is of om bepaalde redenen een tijd uit de running is, kan het handig zijn om toch bij zijn informatie te kunnen. Een IT-medewerker met administrator-taken kan als het nodig is toch bij de data. Âť Als je een vaste pc of laptop gebruikt, heb je een gebruikersnaam en wachtwoord nodig om in te log-

gen. Het is aan te raden drives te gebruiken die ook met een dergelijk systeem werken. Na een bepaald aantal mislukte inlog-pogingen sluit het systeem zichzelf af. Âť Mocht je veel op weg zijn of op wisselende locaties werken, dan kan het goed zijn om een usb-stick te gebruiken die een veilige, virtuele desktop biedt ongeacht op welk platform deze gebruikt wordt. Werknemers zijn zo dus niet afhankelijk van hun eigen pc of laptop, maar kunnen op verschillende plaatsen computers gebruiken, zoals bijvoorbeeld in een internetcafĂŠ waar de computers vaak onbeveiligd zijn. En op die manier toch veilig werken. Âť Er zijn ook zogenaamde managed usbâ&#x20AC;&#x2122;s verkrijgbaar. Deze drives met op hardware gebaseerde encryptie kunnen op afstand worden beheerd. Mocht een stick verloren gaan of ge-

(Advertentie)

stolen worden, dan is er de mogelijkheid deze af te sluiten of te wissen, zonder dat deze daar overigens onbruikbaar door wordt.

Preventief Databeveiliging werkt preventief. Om een beleid goed te kunnen invoeren is het belangrijk dat werknemers zich bewust zijn van het belang van databeveiliging. Bepaal daarnaast goed welke mate van beveiliging nodig is voor uw bedrijf, welke gegevens u wilt beveiligen en stem daar de soort bescherming op af. Hoe belangrijker de informatie, des te strenger de beveiliging. Maar bedenk ook dat het hoogste niveau niet altijd nodig is. Een level lager voldoet waarschijnlijk ook prima ĂŠn bespaart in de kosten. â&#x20AC;šâ&#x20AC;š * Ferdi van der Zwaag is Business Development Manager Netherlands bij Kingston Technology

(Advertentie)

De kandidaat die u zoekt hebben wij al gevonden

'9%. "

8#.+5'+5 -'05 ''0 #.5'30#5+'(

Â&#x2021; 2'3('%5 .+%*5$''.& &3+' 45#0&'0 4531$' Â&#x2021; .+%*512$'0)45 .6/'0 %#0&.'218'3 Â&#x2021; .'7'04&663 663 Â&#x2021; '0 0#5663.+,- 10;' 7'353168&' 4'37+%' '0 )#3#05+'

+0(1 4#('5: .69 0.

Security Management nummer 10 oktober 2011

www.jobnews.nl

gastcolumn

Niet mijn probleem! Een andere oplossing (uit het heel brede arsenaal, vraag uw lokale hulpdiensten) is een incident. Nou zit u daar natuurlijk niet op te wachten maar voor het NMP-syndroom is het een zegen! NMP wordt ineens WDMP: Wel Degelijk Mijn Probleem.

De afdelingsmanager die best wil meewerken aan informatiebeveiligingsbeleid en het ook heus belangrijk vindt, maar als zijn mensen op vakantie gaan, heeft hij toch echt dat wachtwoord nodig. De IT-directeur die zijn systeem wil laten outsourcen en vervolgens in de besprekingen voorafgaand aan het event meedeelt dat hij ‘beveiliging met genoegen aan de partner overlaat, want daar worden ze toch voor betaald’.

Men ziet dat ‘het’ niet alleen kan gebeuren, maar dat het daadwerkelijk gebeurt. Dat uw afdeling de stress en de schuld krijgt, weegt veelal best op tegen het positief bewustwordingsproces.

Zulke mensen kent u ongetwijfeld. ‘Not my problem’, dat is het probleem. Beveiliging van informatie is wel een probleem, dat onderkennen we allemaal. Maar van wie is het probleem? Geen idee en eigenlijk geen interesse. Wat te doen bij zoveel onwetendheid? Want het is echt geen onwil: geef ze een incident en er gebeurt echt wel het een en ander.

Beveiliging van informatie is wel een probleem, maar van wie is het?

Als er een incident in het nieuws is over een verloren usb-stick, vraagt u zich af of zoiets zich ook in uw organisatie zou kunnen voordoen ... Maar na een paar dagen is deze zeer oncomfortabele gedachte alweer uit uw hoofd verdwenen. Tot het volgende incident, dat misschien wel in uw organisatie gebeurt. Want ook bij u laat de directeur zijn smartphone op het bureau liggen als hij moet plassen. En kan de deur niet op slot, omdat dat niet ‘open en sociaal’ staat. Er zijn gelukkig wat eenvoudige middelen om het informatiebewustzijn te vergroten. Houd een incidentenblog bij. Dit is niet alleen effectief voor IT-incidenten, maar ook voor incidenten op het gebied van beveiliging, op het gebied van de Wet persoonsgegevens, enzovoorts. Het is leerzaam om te zien over welke incidenten het precies gaat en belonend om te kunnen laten zien welk effect je maatregelen hebben - en dat tegen geringe kosten! Not My Problem wordt Ons Gezamelijke Probleem en dat levert een heel andere resultante op!

Maar op deze stress en oncontroleerbare factoren zit u natuurlijk niet te wachten. Een vooropgezet incident heeft deze nadelen niet. Een incident dat je in de hand hebt, zoals een ﬁkkie stoken in een veilige stalen prullenbak en als het ﬂink rookt heel hard ‘Brand!’ roepen.

Velen van u doen dit al, alleen in bescheiden kring. Wie huurt er niet af en toe een hacker in om te zien hoe het netwerk zich houdt tegen de laatste stand van de technische wetenschap? Maar wie heeft het lef om tegenover de collegae net te doen of hij van niets weet? Wie wacht af of de procedures voor incidenten ook daadwerkelijk werken? Wie durft tegen de leiding te zeggen dat het niet goed is gegaan? Not My Problem en ik hoor het u denken: dat is ook mijn probleem niet. Hans Labruyère Mede-eigenaar LBVD (adviesbureau informatiebeveiliging)

Security Management nummer 10 oktober 2011

securit y

Wat kunnen security en arbo van elkaar leren?

Professionals vinden elkaar in risico Veiligheid is een breed begrip waar verschillende groepen professionals elk met een eigen blik naar kijken, en waar ze een eigen aanpak op loslaten met een eigen instrumentarium. Maar wat kunnen ze van elkaar leren? En hoe zien die leerprocessen er in de praktijk uit? WALTER ZWAARD EN JOP GROENEWEG *

eiligheid is een niet-eenduidig begrip, het kent vele domeinen. Bovendien bestaan er grote verschillen tussen de veiligheidsactiviteiten van bedrijven en organisaties. Het algemene veiligheidsmanagement wordt geheel bepaald door de aard van het bedrijf: een financiële instelling heeft een ander ‘primair proces’ dan bijvoorbeeld een olieraffinaderij of een dakdekkersbedrijf. Afhankelijk van het bedrijfsproces ligt het accent op één of meer veiligheidsdomeinen en voor elk domein zijn eigen modellen en instrumenten ontwikkeld om risico’s aan te pakken. De laatste tijd wordt nagedacht en gepubliceerd over de vraag wat de professionals in de verschillende veiligheidsdomeinen van elkaar kunnen leren. Dit artikel gaat in op de mogelijkheden die deze leerprocessen bieden.

Drie domeinen In dit artikel staan drie grote domeinen centraal: fysieke veiligheid, sociale veiligheid en financiële veiligheid. Ze liggen ver uit elkaar qua activiteiten en aard van de risico’s, en kennen allemaal een goed doortimmerd risicomanagement. Doordat de domeinen zo sterk van elkaar verschillen, is het klakkeloos overnemen van elkaars werkwijzen niet mogelijk. Wel leren maar niet kopië-

ren, is het devies. Want hoewel het in alle gevallen over risico’s gaat, is het onvermijdelijk dat de invulling van dat begrip per domein en per professional verschilt.

schillen in opleiding en doelstellingen slechts zelden voor dat adviezen over risicomanagement op de drie gebieden door dezelfde professional worden gegeven.

Fysieke veiligheid is een verzamelbegrip waaronder niet alleen arbeidsveiligheid valt, maar bijvoorbeeld ook verkeersveiligheid, voedselveiligheid, patiëntveilig-

In alle veiligheidsdomeinen gaat het over risico’s en over de beheersing daarvan om schade te voorkomen dan

Harde en zachte kanten

Zoeken we een schuldige om te bestraffen of gaan we het systeem verbeteren? heid en externe veiligheid; we beperken ons hier tot de professionals die zich bezighouden met arbeidsveiligheid. Bij sociale veiligheid gaat het om bedreigingen die uitgaan van ‘kwaadwillenden’, terwijl financiële veiligheid betrekking heeft op verliezen die het gevolg kunnen zijn van financiële verplichtingen of economische ontwikkelingen. Elk bedrijf heeft te maken met deze drie veiligheidsdomeinen, hoewel niet in dezelfde mate en met verschillende relevantie van de diverse thema’s. Voor een bank ligt bijvoorbeeld de nadruk op financieel risicomanagement en voor een dakdekker vooral op fysieke veiligheid. In de praktijk komt het door ver-

Security Management nummer 10 oktober 2011

wel te beperken. Het betreft hierbij de invloed van onzekerheid op de gestelde doelen, en de verschillende domeinen verschillen in de effecten en in de onzekerheden waarop zij betrekking hebben. Risico heeft in elk domein zowel rationele als gevoelsmatige kanten. De rationele zijn gericht op het zo betrouwbaar en objectief mogelijk schatten van het risico als combinatie van kans en effect, en de gevoelsmatige hebben betrekking op de risicobeleving. In alle domeinen gaat het zowel bij het analyseren als bij het beheersen van risico’s over harde en zachte kanten. En in alle domeinen bestaat na een ongeval of incident hetzelfde dilemma: zoeken we

securit y

Manieren van denken In een denkbeeldige situatie zitten de drie risicoprofessionals aan tafel en bespreken hun problemen, de aanpak daarvan en de presentatie aan het management. De arboprofessional legt de keuze voor een arbomanagementsysteem op tafel. Hij vindt het belangrijk dat het systeem is gecertificeerd en dat het uiteindelijk leidt tot minder ongewenste incidenten. De securityprofessional vraagt zich hardop af waar de gaten in het systeem zitten en hoe daarmee is om te gaan. Hoe worden bijvoorbeeld managers aangepakt van afdelingen die het systeem niet serieus nemen? En zijn technische oplossingen niet veel effectiever? De financiële professional brengt de reductie van het risiconiveau na invoering ter sprake. Weegt deze verlaging wel op tegen de kosten en de tijd? Is dat niet een goed argument in de discussie met het management? De mogelijke lessen die de arboprofessional kan leren van de collega’s: » Niet altijd veronderstellen dat iedereen van goede wil is en dus zal meewerken, en vooraf bedenken wat daaraan te doen is. » Concreet maken welke ‘gaten er worden gedicht in het managen van veiligheid’ en wat de relatieve grootte is van die gaten. Wordt er niet met een kanon op een mug geschoten? » Bepalen welke risicowinst haalbaar is met de invoering van het zorgsysteem. Hanteer daarbij zowel rationele als emotionele argumenten. Het axioma ‘risico’s moeten worden geëlimineerd’ kan buitenproportioneel zijn. » Nadenken over de kosten en baten van de invoering van het systeem in plaats van je klakkeloos achter het managementsysteem te scharen. De securityprofessional wil de toegangscontrole aanscherpen. Hij vindt het vooral belangrijk dat het systeem waterdicht is en dat er mensen worden aangesteld die helpen bij de controle. Zijn voorkeur gaat uit naar een technische oplossing: pasjes voor iedereen en overal poortjes die uitsluitend opengaan als het pasje met chip tegen een lezer wordt gehouden. De arboprofessional wijst op de mogelijkheid van organisatorische veranderingen: medewerkers kunnen personen aanspreken als ze het vermoeden hebben dat die er niet thuishoren. Hij benadrukt dat toegangscontrole vervelend is voor sommige mensen en dat de sociale aspecten zeker niet mogen worden vergeten. Wat waren eigenlijk de oorzaken van eerdere gevallen van ‘onwenselijke binnenkomst’ van buitenstaanders? Loont het wellicht om daar onderzoek naar te doen en een paar van deze analyses aan het management te presenteren? De financiële professional vraagt zich af wat er eigenlijk te beveiligen is en of het sop de kool wel waard is. Is verzekeren tegen diefstal niet een veel betere optie? Mogelijk moet het management een serie opties krijgen aangeboden, inclusief kosten-batenanalyses. De mogelijke lessen voor de securityprofessional: » Ook denken aan niet-technische oplossingen in de organisatorische sfeer.

een operationele schuldige of een verantwoordelijke om te bestraffen, of gaan we proberen het systeem te verbeteren?

» Onderzoeken van eerdere incidenten, beoordelen of de gekozen oplossing die had kunnen voorkomen en of er geen effectievere oplossingen denkbaar zijn. » Er rekening mee houden dat security niet voor iedereen de hoogste prioriteit heeft. Met name goedwillende mensen kunnen erdoor worden geschoffeerd of kunnen zich er ongemakkelijk door voelen. » Securitymaatregelen niet als vanzelfsprekend beschouwen, zelfs al is het te bestrijden gedrag vervelend of zelfs schadelijk. De maatregelen dienen proportioneel te zijn. De financiële professional wil de organisatie vooral beschermen tegen klanten die facturen niet betalen. Zeker in een periode van economische crisis is de kans groot dat een klant niet aan de verplichtingen kan voldoen. Dit kan de bedrijfscontinuïteit in gevaar brengen. De securityprofessional waarschuwt om vooral de kleine lettertjes van de contracten te lezen: aanbieders van dergelijke verzekeringen zijn zeker niet altijd te vertrouwen. Maak aan het management duidelijk dat elke niet-betaalde factuur een probleem is, ongeacht de hoogte ervan. Het gaat om het principe: een rekening moet worden betaald. De reputatieschade kan aanzienlijk zijn als klanten in de gaten krijgen dat de organisatie niet van elke rekening evenveel werk maakt. De arboprofessional brengt naar voren dat het mogelijk ook interessant is om te zoeken naar indicatoren dat bedrijven rekeningen niet zullen betalen. In de arbo-wereld geldt dat verzekeren de laatste optie is om risico’s te managen; bronbestrijding heeft de voorkeur. Hoe selecteert het bedrijf eigenlijk de klanten? Hoe en wanneer worden verkopers en hun managers beloond voor het binnenhalen van klanten: na het tekenen van de opdracht of na betaling ervan? Zijn er hier geen ‘strijdige doelstellingen’ die het binnenhalen van slechte klanten stimuleren? Is het mogelijk om bij collega-bedrijven te informeren welke klanten regelmatig slecht betalen? De mogelijke lessen voor de ﬁnanciële professional: » Beseffen dat het niet altijd gaat om het rationele argument van de absolute hoogte van het bedrag, maar ook om het principiële, emotionele argument dat rekeningen betaald moeten worden, ook al zijn die niet altijd direct te kwantiﬁceren. » Verzekeren niet altijd beschouwen als de beste optie; klantselectie en het aanpassen van beloningssystemen zijn mogelijk effectievere maatregelen. » Denken in termen van worst-case scenario’s, ook al lijkt de kans daarop erg klein. Is de gekozen maatregel nog steeds effectief als er een ‘black swan’ optreedt? » Zoeken naar ‘vroege waarschuwingen’ dat een klant niet gaat betalen en proberen om in een zo vroeg stadium dit risico te elimineren. » Delen van kennis over incidenten met collega-bedrijven.

Naast grote verschillen tussen de risicoprofessionals bestaan er ook overeenkomsten. Het zijn veelal adviseurs zoals staffunctionarissen en externe

consultants en in elk domein vinden wel discussies plaats over de grenzen van dat adviseurschap. De strikt adviserende risicoprofessionals hebben vaak

Security Management nummer 10 oktober 2011

securit y

Arbo (Fysieke veiligheid)

Security (Sociale veiligheid)

Risicomanagement (Financiële veiligheid)

Deelthema’s en randgebieden

Arbeidsveiligheid Gevaarlijke stoffen Procesveiligheid Productveiligheid Voedselveiligheid

Criminaliteit Beveiliging Computerveiligheid Informatiebeveiliging Fraude

Business continuity Aansprakelijkheid Valutarisico’s Beleggingsrisico’s Solvabiliteitsrisico’s

Risico

Kans op fysieke of psychische schade aan werknemers

Kans op schade door kwaadwillenden

Kans op verlies door ﬁnanciële verplichtingen of economische ontwikkelingen

Zuivere risico’s of ondernemersrisico’s?

Nadruk op zuivere risico’s (onzekerheden bestrijden)

Uitsluitend zuivere risico’s (onzekerheden voorkomen)

Aandacht voor zuivere risico’s en ondernemersrisico’s (onzekerheden beperken)

Bron van bedreigingen

Vooral intern

Intern en extern

Vooral extern

Kennisinfrastructuur (kennis delen binnen domein)

Goed

Matig

Slecht

Belangstelling in media en van politiek

Incidentgedreven

Groot

Klein

Denkwijze

Kwantitatief en kwalitatief

Voornamelijk kwalitatief

Strikt kwantitatief

Rol overheid

Wetgever en handhaver (terugtredend)

Betrokkene (externe bedreigingen)

Wetgever en handhaver (beperkt)

Risicoprofessional

Arboprofessional

Security manager

Risicomanager

Tabel 1. Verschillen tussen de drie veiligheidsdomeinen. moeite met het duidelijk maken van hun meerwaarde. De beeldvorming dat zij weinig meer doen dan achter hun bureau zitten, is hardnekkig. Een trieste constatering is dat risicoprofessionals hebben geleerd dat er vaak pas na een ongeval of ramp ineens veel mogelijk is en zij daar dan gebruik van moeten maken om overtuigend over noodzakelijke maatregelen te adviseren. In elk domein vinden verder discussies en ontwikkelingen plaats op het gebied

is tenslotte dat in elk domein het besef is gegroeid dat risicobeheersing niet uitsluitend gaat over harde, technische zaken: men onderkent nu ook het grote belang van zachte thema’s zoals gedrag, communicatie, cultuur en ethiek.

Menselijk gedrag Zoals gezegd staan tegenover deze overeenkomsten duidelijke verschillen. Uiteraard heeft het begrip ‘risico’ in elk van de drie veiligheidsdomeinen een eigen inhoud. Ook bestaan er verschil-

Wel leren maar niet kopiëren, is het devies van professionaliteit en professionalisering. Dat impliceert bijvoorbeeld het probleem van de grenzen van de eigen deskundigheid. Elke risicoprofessional kent situaties waarin het nodig is om specialisten in te schakelen. Opvallend

len in de manier van denken over risico’s en hoe die te beheersen (zie tabel 1). Dat blijkt bijvoorbeeld uit het omgaan met kennis en informatie: bij arbo bestaat weinig geheimzinnigheid en is er een breed gedragen wens tot

Security Management nummer 10 oktober 2011

informatie-uitwisseling. Bij security en risicomanagement is dat veel minder het geval, hoewel vooral in de financiële wereld een steeds luidere roep klinkt om openheid en het stellen van minimumeisen aan banken ter minimalisering van de kans op onacceptabele risico’s met een globale impact. Een van de opvallendste verschillen tussen de domeinen is de beoordeling van de rol die menselijk gedrag speelt. Weliswaar willen de risicoprofessionals in elk domein iets begrijpen van deviant gedrag, maar de benaderingswijzen verschillen. Bij fysieke veiligheid gaat het vooral om het gedrag van eigen personeel: waarom gedraagt een werknemer of manager zich zoals hij zich gedraagt? En hoe komt het dat hij een fout maakt? Bij security en financiële risico’s gaat het vooral om het beoordelen van gedragingen van mensen in de buitenwereld en van de

securit y

Arboprofessional

Security manager

Risicomanager

Opleidingsniveau

HBO+

HBO-

HBO-WO

Argumenten bij advisering

Wetgeving, imago

Schade

Financiën (winst en verlies)

Toegang tot hoger management

Slecht

Goed

Kennis van oorzaak-gevolgketens

Groot

Klein

Denkwijze

Kwantitatief en kwalitatief

Voornamelijk kwalitatief

Strikt kwantitatief

Maatregelen

Technisch, organisatorisch, gedragsgebonden

Organisatorisch, bouwkundig, elektronisch

Organisatorisch (portefeuille management, verzekeren, risico’s hedgen)

Cultuur

Risico’s zijn slecht

Risico’s bieden mogelijkheden

Tabel 2. Verschillen tussen veiligheidsprofessionals. mogelijkheden om daar als organisatie op te anticiperen. Bij zowel arbo, security als risicomanagement beoordeelt men personeel doorgaans positief, zolang het iemand uit de eigen organisatie betreft. Het menselijk gedrag waarover het dan gaat, is meestal weinig verrassend: het gebeurt zelden dat iemand een fout maakt die de arbowereld nog niet eerder heeft meegemaakt. Bij security gaat het ook om het gedrag van de ‘kwaadwillende’: hoe komt iemand tot zo’n daad, waarom is iemand crimineel? Het verrassingselement is hierbij groot:

de crimineel zoekt steeds naar lekken in de beveiliging en naar slimme manieren om zijn doel te bereiken. Bij financieel risicomanagement bestaat een gemengd beeld: er kunnen externe redenen zijn dat een klant een factuur niet voldoet en er hoeft lang niet altijd sprake te zijn van kwade trouw. Voor de risicoprofessional maakt dat niet veel uit: het gaat om de kans dat een rekening onbetaald blijft.

Elkaar inspireren en aanvullen De professionals uit de verschillende domeinen kunnen veel van elkaar leren. Het is daarvoor nodig dat zij elkaar

Congres Veiligheid en Risico - Meer winst uit samenwerking Dinsdag 6 december 2011 SS Rotterdam (Rotterdam) Tijdens dit congres krijgt u antwoord op de volgende vragen: » Weet u wat anderen in de veiligheidsketen voor u kunnen betekenen? » Ziet u kansen voor samenwerkingsmogelijkheden met andere risicoprofessionals? » Weet u wat de valkuilen zijn van een verzuilde risicobeheersing en hoe dat door samenwerking kan worden voorkomen? » Heeft u kennis van de do’s en don’ts van een integrale risicobeheersing? » Beschikt u over nieuwe inzichten voor uw werk die boeien en binden?

weten te vinden en in gesprek komen. De eerste barrière die dan moet worden geslecht, is die van de taal: het jargon verschilt per domein en zelfs de term veiligheid is multi-interpretabel. Maar het begrip risico verbindt de professionals. De overeenkomsten en leermogelijkheden zijn vooral te vinden in de ‘zachte’ facetten daarvan, veel minder in de ‘harde’. De harde aspecten zijn immers domeinspecifiek, de zachte domeinoverstijgend. De zachte kanten van risico kunnen zorgen voor kennisdeling en inspiratie. En in de harde kanten kunnen de verschillende professionals elkaar aanvullen. Daarvoor is het nodig dat zij accepteren dat iedere professional iets kan bijdragen aan de discussie over risicoreductie. Onze boodschap luidt dan ook: kom uit de koker, zoek elkaar op, inspireer elkaar, leer van elkaar. ‹‹ * Walter Zwaard schrijft over veiligheid en leidt risicoprofessionals op. Jop Groeneweg is onderzoeker aan de Universiteit Leiden en TNO.

Partners: SSCM, DGMR, Chainels, TU Delft, TopTech, 365, G4S, DHV, Delta Lloyd Meer informatie: www.inosar.nl/congres

Security Management nummer 10 oktober 2011

congres

Asis 2011 in Orlando Van 19 tot en met 22 september vond het 57ste Annual Seminar & Exhibits van Asis International plaats. Meer dan 20.000 securityprofessionals vanuit de hele wereld kwamen daarvoor naar Orlando in de VS. GODFRIED HENDRIKS *

‘S

Werelds grootste organisatie van securityprofessionals, Asis International, organiseert jaarlijks een van de grootste vakbeurzen en congressen in het securitywerkveld ter wereld. Dit jaar had (ISC)2, de grootste organisatie voor IT-securityprofessionals met circa 75.000 leden wereldwijd, voor de eerste keer haar Security Congress als onderdeel van Asis 2011 gepland.

Herdenking Op maandagmorgen startte het evenement met de herdenking van tien jaar 9-11. Er werd stilgestaan bij alle zes Asis International leden die het leven verloren bij hun werkzaamheden om de aanwezigen uit het WTC te evacueren. Chief Richard Picciotto van het Fire Department of New York sprak over zijn ervaringen op die dag. Hij was tot op de 35ste verdieping gekomen in de North Tower toen de South Tower als eerste instortte. Hij bevond zich in het trappenhuis tussen de 6e en 7e verdieping van de North Tower toen deze instortte. Met dertien anderen overleefde hij dit wonderwel doordat het trappenhuis waarin zij zich bevonden voor een deel overeind bleef staan. Een indrukwekkend relaas.

President Net als de voorgaande jaren was er weer een grote delegatie uit Nederland aanwezig. Zij waren onder andere getuige

is bevestigd, hetgeen betekent dat Eduard Emde in 2012 de allereerste president zal zijn die niet uit de VS afkomstig is. Eén van de bewijzen dat Asis

Eduard Emde zal in 2012 de allereerste president zijn die niet uit de VS afkomstig is van het uitreiken van de prestigieuze Presidential Award of Merit aan Arjo de Jong door 2011 president Ray O’Hara. Hij werd geëerd voor de professionele en charmante wijze waarop hij al sinds 2002 als conference chairman bijdraagt aan het succes van de Asis International European Security Conferences. Voor de aanwezige Nederlanders was het ook geweldig om te horen dat de Board of Directors voor 2012 officieel

International in de afgelopen jaren daadwerkelijk een internationale organisatie is geworden.

CSO De Asis International CSO Roundtable had een aparte track voor de leden en potentiële leden van dit exclusieve gezelschap van de Chief Security Officers van de grootste bedrijven ter wereld. Binnen ASIS zijn er diverse initiatieven om de zakelijke kennis en kunde van

Convergence Naast de algemene sessies waren er in drie dagen zo’n 200 parallelsessies. Door de succesvolle samenwerking met (ISC)2, in Nederland vooral bekend van haar Cissp-certificatie, waren er 35 sessies specifiek voor IT security managers ingepland. Het lijkt er op dat de convergence tussen de meer traditionele security en IT-security nu echt ingeburgerd begint te raken.

De vakbeurs was overweldigend groot en had voor iedereen interessante ontwikkelingen en noviteiten.

Security Management nummer 10 oktober 2011

congres

securityprofessionals en de actieve en snelle respons van de politie en hulpdiensten. Onder het motto ‘Homeland security begins with hometown security’ accentueerde zij nog eens het belang van samenwerking en awareness.

De Amerikaanse minister van veiligheid Janet Napolitano maakte de samenwerking bekend met Asis voor het ‘See Something, Say Something’ programma. Dit heeft tot doel iedereen binnen de securitybranche in de VS actief te betrekken bij het voorkómen van aanslagen. securityprofessionals te ontwikkelen zodat zij succesvol op board level kunnen acteren.

Vrouwen in security Er waren ook de nodige sessies voor Young Professionals. Zij kunnen via een nieuw initiatief direct in contact met CSO’s komen voor een mentoring programma. Diverse sessies waren specifiek gericht op het toenemende aantal vrouwen in security. Het Women in Security initiatief is gericht op networking en mentoring. In de VS hebben een aantal dames reeds de CSO-positie bereikt en hun aantal is groeiende. De Young Professionals en Women in Security initiatieven worden overigens op dit moment ook bij de Asis International Chapters in Europa uitgerold en zullen bijvoorbeeld onderdeel van het Security Management Congres op 3 november in Zeist zijn.

Vakbeurs De vakbeurs was weer overweldigend groot en had voor iedereen interessante ontwikkelingen en noviteiten. Door een systeem van awards werden de deelnemers op eenvoudige wijze op de echte innovatieve noviteiten geattendeerd.

Lezingen Voormalig gouverneur (1999-2007) van de staat Florida Jeb Bush deelde op dinsdagmorgen zijn ervaringen

met crisis preparedness en disaster recovery. Met name de periode in 2004-2005 waarin Florida werd geconfronteerd met maar liefst acht orkanen en vier tropische stormen binnen zestien maanden droeg bij aan de continue verbeteringen van de hulpverlening in de staat. Op woensdagmorgen verraste voormalig president (2000-2006) van Mexico Vincente Fox de toehoorders met zijn scherpe analyse van de precaire gewelddadige situatie in zijn land. Zijn opinie met betrekking tot de legalisatie van soft drugs viel echter niet bij alle aanwezigen in goede aarde. Tijdens de lunch op woensdagmiddag benadrukte minister van veiligheid Janet Napolitano het belang van de samenwerking tussen haar Department of Homeland Security en Asis International. Naast de diverse reeds bestaande publiek-private samenwerkingsverbanden op het gebied van onder andere kritieke infrastructuur, werd de samenwerking bekendgemaakt voor het ‘See Something, Say Something’ programma. Dit heeft als doel om iedereen binnen de securitybranche in de VS actief te betrekken bij het voorkómen van aanslagen. Ze noemde een aantal voorbeelden van aanslagen die voorkomen konden worden dankzij de oplettendheid van

Asis 2011 werd afgesloten met een bijzonder inspirerende sessie door Burt Rutan, de ontwerper van de legendarische Voyager, het eerste vliegtuig dat non-stop rond de aarde vloog zonder te worden bijgetankt. Hij is ook de initiatiefnemer van de eerste privéruimtevlucht met SpaceShipOne. De opvolger daarvan (SpaceShipTwo) zal door Virgin Galactic van Richard Branson commercieel worden geëxploiteerd. Time Magazine rekent Rutan tot de honderd meest invloedrijke personen ter wereld. Zijn relaas en aansporingen voor nieuw elan en focus op engineering werden enthousiast door de securitywereld ontvangen.

Toegift Als toegift kon, dankzij een mooi staaltje van publiek-private samenwerking, het Orange County Sheriff’s Office een dief van een laptop ter plaatse arresteren en de laptop aan zijn rechtmatige eigenaar retourneren. De dief probeerde gebruik te maken van de soms nogal chaotische taferelen tijdens het afbreken van de vakbeurs, maar had niet op een gps-tracker in de laptop en een kordaat optreden van de plaatselijke politie gerekend ... Wie het spektakel zelf eens mee wil maken, kan van 10 tot en met 13 september 2012 terecht in Philadelphia voor het 58ste Annual Seminar & Exhibits. Van 15 tot en met 17 april 2012 staat de European Security Conference & Exhibits in Londen gepland. Beide evenementen zullen onder leiding van 2012 Asis International president Eduard Emde staan en zijn een aanrader voor alle securityprofessionals. ‹‹ * ing. Godfried Hendriks MBA CPP RSE is directeur/consultant van Going Consultancy bv en als volunteer leader SRVP (senior regional vice president) Europe en global co-chair van de SRVP Group van Asis International gh@goingconsultancy.nl

Security Management nummer 10 oktober 2011

recherche

Al is de leugen nog zo snel … Bij een woninginbraak zouden audio- en visuele apparatuur, inboedel en contanten zijn ontvreemd. In het onderzoek wordt geconstateerd dat de aan de woning waargenomen braaksporen niet aannemelijk zijn. Als bovendien blijkt dat door de bewoners vóór de inbraak een premieverhoging op de verzekeringspolis is toegepast ‘omdat zij bang waren voor onderverzekering’, gaan de alarmbellen rinkelen. ANJA COUZIJN *

en echtpaar ontdekte bij thuiskomst dat de woning overhoop was gehaald, dat de schuifpuideur was opengebroken en dat er vele goederen waren gestolen. De Technische Recherche constateerde echter sporen van braak die niet in verband konden worden gebracht met de inbraak. Tevens werden beschadigingen aangetroffen die niet in relatie stonden met de braaksporen. Zo werden er aan de schuifpuideur buiten- en binnenribbels aangetroffen, die ter hoogte van het slot naar buiten verbogen waren en die niets van doen hadden met de inbraak. Bovendien was slechts de middelste ribbel van de deurstijl beschadigd, hetgeen alleen met een geopende deur veroorzaakt kon zijn. Deze sporen konden niet met een gesloten deur van buitenaf zijn aangebracht. Toen de bewoner hiermee door de technische rechercheur werd geconfronteerd, raakte hij in paniek. Daardoor ontstond het vermoeden dat de bewoner de braaksporen nadien waarschijnlijk had verergerd om te voorkomen dat de verzekeringsmaatschappij niet tot uitkering van de schadepenningen zou overgaan.

Aankoopnota’s Uit het nadere onderzoek kwam nog een aantal opvallende feiten naar voren. Zo bleek dat de door de bewoners als bewijsmateriaal aangeleverde aankoopnota’s niet geheel leesbaar en niet compleet waren, en dat de nummering van de als bewijs overgelegde aankoopbonnen oplopend was, terwijl het laagste bonnummer van een latere datum was. Voorts bleek dat de som van de op

de aankoopbewijzen vermelde bedragen een veel lagere uitslag gaf dan op de bonnen stond vermeld. Enkele bonnen deden door de data vermoeden op dezelfde datum uitgeschreven te zijn, terwijl – gelet op de afmetingen van het papier – deze niet van dezelfde bonblokken afkomstig waren. Een bijzondere onderzoeksbevinding betrof de verklaring door een winkelier dat de bewoner enkele maanden daarvoor in zijn winkel was gekomen en hem had verzocht om enkele aankoopbonnen op te maken ‘omdat er bij hem was ingebroken, zodat hij deze aankoopbonnen naar de verzekeringsmaatschappij kon sturen’. Hij had om verschillende bonnen verzocht, met verschillende data zodat het zou lijken dat zij echt op verschillende data waren uitgeschreven.

door de dieven waren meegenomen. Desgevraagd vertelde hij dat ‘alle door hem overgelegde aankoopbonnen op de dag en datum van de aankoop van de betreffende goederen verkregen waren’.

Conclusies De conclusies van dit onderzoek waren duidelijk: er was geen sluitend bewijs, er waren grote verschillen in de opgave van schadebedragen, er bestond geen volledige duidelijkheid over de aantallen en de soorten van de als gestolen opgegeven goederen en de locaties waar deze zouden zijn gekocht. Bovendien bestond er ernstige twijfel over de juistheid van de aangetroffen braakschade. De bewoners hadden het aan de verzekeringsmaatschappij als bewijs overgelegde materiaal ná de inbraak laten

Er was opzettelijk een onjuiste verklaring gegeven over het overgelegde bewijsmateriaal Ten slotte liet een vergelijkend onderzoek van de bij de politie en bij de verzekeringsmaatschappij opgegeven schadebedragen aanzienlijke verschillen zien.

Confrontatie Toen de bewoner met deze bevindingen werd geconfronteerd, verklaarde hij dat de originele aankoopbonnen ‘waarschijnlijk in een geldkistje hadden gezeten en óók door de dieven waren meegenomen’. Hij deelde tevens mee dat de aankoopbonnen die door hem níet overgelegd hadden kunnen worden, óók

Security Management nummer 10 oktober 2011

opmaken en als echt en onvervalst willen doen laten gelden. Het vermoeden bestond dat de inbraak niet was gepleegd zoals door de bewoners was geschetst. En als laatste was gebleken dat de bewoner opzettelijk een onjuiste verklaring had gegeven over het overgelegde bewijsmateriaal, zodat de verzekeringsmaatschappij tot uitkering van de schadepenningen zou overgaan. ‹‹ * Anja Couzijn, Register Onderzoeker, Recherchebureau Couzijn Consultancy

recht

Ondanks bedreiging toch ontslag na fraude Een werknemer van een elektriciteitsbedrijf pleegt fraude bij het manipuleren van meters. Hij wordt ontslagen maar voert aan dat de fraude tot stand kwam onder ernstige bedreigingen door derden. De rechter gaat daar niet in mee: hij is van oordeel dat de man als ‘goed werknemer’ de politie had moeten inschakelen in plaats van te zwichten voor de bedreigingen. ROB POORT *

en man werkt sinds 1986 bij Eneco als medewerker Logistiek & Vervoer. Zijn werk bestaat uit het uitgeven en innemen van gas- en elektriciteitsmeters en het bijhouden van de administratie hieromtrent. Hij kan meters laten plaatsen, afnemen en overdragen en daarbij standen invoeren en wijzigen. Hij beschikt daarbij over alle opgenomen gegevens van klanten van het bedrijf. In augustus 2010 wordt de werknemer in hechtenis genomen op verdenking van meterfraude. Hij wordt ervan verdacht betrokken te zijn bij energiefraude (het bij derden terugdraaien van meters). De werkgever, die meegewerkt heeft aan het onderzoek van justitie, staakt direct de loonbetaling en ontslaat begin oktober van dat jaar de werknemer op staande voet. De werkgever verzoekt vervolgens de kantonrechter om de arbeidsovereen-

De werknemer geeft toe dat hij inderdaad derden heeft geholpen meterstanden terug te draaien, maar dat hij dit heeft gedaan onder ernstige bedreigingen. Hij is met deze informatie niet naar de werkgever of de politie gegaan, omdat hij niet het vertrouwen had dat zij adequaat op zouden treden. Hij wil dan ook afwijzing van het verzoek tot ontbinding.

Oordeel kantonrechter De kantonrechter stelt vast dat voldoende is gebleken dat de werknemer zich sinds 2008 talloze malen heeft bezondigd aan het terugdraaien van meterstanden. De rechter is bovendien van oordeel dat ernstige bedreigingen geen rechtvaardiging zijn voor deze handelwijze. Volgens de rechter ligt het op de weg van een ‘goed werknemer’ (artikel 7:611 Burgerlijk Wetboek) om de politie en de werkgever in te lichten

Een ‘goed werknemer’ licht de politie en zijn werkgever in als er sprake is van bedreiging komst wegens een dringende reden te ontbinden. Die reden is dat de werknemer bekend heeft betrokken te zijn geweest bij het manipuleren van meters en nu vastzit op verdenking hiervan. Daarmee is het vertrouwen van de werkgever in de werknemer volledig verdwenen.

als er sprake is van bedreigingen, in plaats van daarvoor te zwichten. De reden die hij aangeeft om dat niet te doen, acht de rechter niet overtuigend. Ook had de man moeten weten dat het verstrekken van onjuiste meetgegevens zijn werkgever ernstige schade zou berokkenen.

De werknemer heeft nog een beroep gedaan op zijn langdurig dienstverband. Maar volgens de kantonrechter doet dat niets af aan het feit, omdat juist dán verondersteld mag worden dat de werknemer bekend is met de ernst en ontoelaatbaarheid van zijn gedragingen. De kantonrechter ontbindt - voor zover dat nog nodig is - de arbeidsovereenkomst zonder toekenning van een vergoeding.

Aantekening Ontslag op staande voet kan door een werknemer worden aangevochten. Mocht de rechter dat ontslagbesluit onterecht achten, dan is de werknemer al die tijd nog in dienst geweest. Een dergelijke procedure kan behoorlijk wat tijd in beslag nemen en de werkgever zal dan het loon over die hele periode moeten doorbetalen. Vandaar dat bij een dergelijk ontslag de werkgever ook overgaat tot een verzoek om ontbinding van de arbeidsovereenkomst. Als dat wordt toegekend, zal de werkgever het loon slechts tot die datum hoeven te betalen, ook als het ontslag op staande voet achteraf onterecht blijkt te zijn gegeven. Ook in deze fraudezaak kiest de werkgever het zekere voor het onzekere! ‹‹ Kantonrechter Rotterdam, 3 januari 2011, Prg 2011, 177; LJN BQ5619 * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)

Security Management nummer 10 oktober 2011

gastcolumn

Het Nieuwe Werken = risico’s accepteren? Sinds enige tijd is Het Nieuwe Werken (HNW) de trend waaraan iedereen mee kan doen. Of het nu gaat om waar, hoe, en op welke tijden je werkt: het is allemaal een keuze van de medewerker geworden, als de resultaten maar naar tevredenheid zijn. En het moet gezegd, HNW lijkt de oplossing voor een aantal zaken waarmee we allemaal worstelen: minder files door een afname van het woon-werkverkeer, een betere work/life balance, en ook de tevredenheid en de productiviteit van medewerkers zouden door het slimmer werken moeten toenemen. Toch zit er in mijn ogen een belangrijke keerzijde aan HNW. Laten we het maar noemen: Het Onzichtbare Werken. Want werken buiten het directe (toe)zicht van de werkgever brengt de nodige integriteitsrisico’s met zich mee. Daarvan is urenfraude door medewerkers die minder werken dan waarvoor ze zijn aangenomen nog de minste. HNW gaat immers uit van resultaatverplichting, eigen verantwoordelijkheid en vertrouwen, nietwaar? Voor ICT- en securityprofessionals breekt daarom een spannende tijd aan. Zij moeten ervoor zorgen dat alles veilig blijft, met behoud van vrijheid en flexibiliteit. En wat te denken van het gezonde zelfreinigende vermogen van een organisatie als het gaat om integriteitsrisico’s en bedrijfsfraude? In veel organisaties is er een algemeen heersende norm die wordt gevormd en bepaald door cultuurdragers in een organisatie. Nu de helft van de medewerkers niet of op verschillende tijden op kantoor is, komen dergelijke normen en waarden veel minder ter sprake en worden ze minder uitgedragen. Ook neemt de gelegenheid tot frauderen en niet-integer handelen toe. Immers ‘wat het oog niet ziet, dat het hart niet deert’. Oftewel, de drempels die er waren om zaken te doen die het kantoorlicht niet kunnen verdragen, worden steeds lager. Collega’s vangen als je thuis werkt geen flarden op van een niet-integer telefoongesprek. Om nog maar te zwijgen over de ‘zachtere’ factoren die een rol spelen bij integriteitsrisico’s en bedrijfsfraude. De mate waarin mede-

werkers zich door HNW emotioneel en cultureel verbonden voelen met de organisatie waar ze werken, zou wel eens kunnen afnemen. Werkgevers zullen dus controlemechanismen in moeten voeren die deze risico’s verkleinen, maar tegelijkertijd het concept van HNW daarmee geen geweld aandoen. Dat kan door aan de ‘voorkant’ een aantal zaken goed te regelen. Screening van nieuw personeel en implementeren van en aandacht schenken aan een duidelijke gedragscode zijn hierbij van belang en zorgen voor een integere uitgangspositie. Vervolgens zal een organisatie afspraken moeten maken over afstemming en verantwoording van zaken, zeker als je op elkaar wilt blijven rekenen waar het gaat om integriteit en fraudepreventie. Tegelijkertijd zal er door de ICTen securityprofessionals vernieuwend moeten worden gedacht en gehandeld. De fossiele gewoonten die nog aanwezig zijn, moeten snel worden geïsoleerd. Zij zullen de vele technische mogelijkheden moeten benutten om te zorgen voor voldoende beveiliging en hier en daar wat controlemechanismen moeten inbrengen. En ja, deze zullen soms ingaan tegen de basisprincipes van HNW. Want ook al is het gedachtegoed mooi, de vraag die mij blijft bezighouden is of HNW een explosieve groei van bedrijfsfraude gaat opleveren als we de risico’s accepteren. Of moeten we als waakhonden van integriteit hier een serieuze interventie doen?

De gelegenheid tot frauderen en niet-integer handelen neemt toe

Security Management nummer 10 oktober 2011

Marcel Boekhorst, algemeen directeur Signum Interfocus Riskmanagement

Dit is de tweede gastcolumn van Marcel Boekhorst in een serie van drie. In Security Management 2011, nummer 7/8 schreef hij over het Calimero-complex van de security officer.

Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl

Compatibele schijfuitbreidingsunits Alle dvr’s in de Samsung H.264 SRDserie zijn nu compatibel met de onlangs geïntroduceerde 2TB-schijfstations van Seagate en Western Digital. Voor modellen met ingebouwde dvdstations biedt dit 8TB aan interne opslag en tot 10TB voor modellen zonder ingebouwde dvd-stations.

Hdtv PTZ dome camera Axis introduceert de eerste pan/tilt/ zoom dome camera met twee lenzen, waardoor een 360 graden panoramisch zicht in hdtv-kwaliteit mogelijk is.

De camera beschikt over 18x zoom voor gedetailleerde bewakingsbeelden. De P5544 biedt hdtv 720p beeldkwaliteit, ofwel 1280 x 720 pixel resolutie, progressive scan, hdtv kleurenechtheid, full frame rate en 16:9 beeldformaat. Verder kan de camera gelijktijdig verschillende, afzonderlijk in te stellen

H.264 en motion jpeg videostreams leveren. H.264 optimaliseert het gebruik van bandbreedte en opslag zonder de beeldkwaliteit te verminderen. De P5544 PTZ Dome-netwerkcamera is met name geschikt voor gebruik in bijvoorbeeld winkelcentra, treinstations, luchthavens en logistieke centra.

VMS voor meldkamers

Detectiesysteem voor bouwplaats

Mobotix introduceert een nieuwe versie van MxControlCenter.

Speciaal voor bouwplaatsbewaking – dus tijdelijk, ﬂexibel en modulair – introduceert Heras de Optica Secure.

Deze videomanagementsoftware wordt licentievrij meegeleverd met de intelligente IP-camera’s van het bedrijf. Versie 2.5 van MxControlCenter bevat vooral verbeteringen die het gebruiksgemak voor operators van meldkamers en andere controleposten verhogen. Onder andere voorgedefinieerde zoekprofielen voor veelgebruikte functies, het sneller kunnen raadplegen van opnames via internet en een volledige audit log van alle uitgevoerde acties.

IP-camera’s Geutebruck heeft een nieuwe serie netwerkcamera’s. Deze ‘TopLine’-serie heeft onder meer progressive scan, een resolutie die varieert van 720p tot full hd, 2 megapixels, en een frame rate tot 30 beelden per seconde. TopLine-camera’s zijn ook geschikt om aan te sluiten met PoE.

producten

Dit plug & play detectiesysteem is onderdeel van het totaalsysteem Elektronische Bouwplaats Beveiliging 2.0 (EBB).

Optica Secure detecteert tot wel 100 meter en maakt dag en nacht heldere beelden. Direct online te bekijken of eenvoudig terug te vinden. Bij alarm worden de beelden via het gsm-netwerk verzonden, zonder noodzaak van netwerkvoorbereiding. De systeemstabiliteit van de ‘filmende waakhond’ zorgt voor minder foutmeldingen en alarmverificatie. De camera is uitgerust met infrarood en werkt daardoor 24/7 zonder externe lichtbron.

Advantage Line

Video-encoders

Bosch Security Systems introduceert de Advantage Line, een nieuwe reeks producten voor kleine tot middelgrote beveiligingstoepassingen.

Axis Communications introduceert de M70 en P72 Video Encoder Series. Hiermee zijn analoge camera’s op een goedkope manier in te zetten in een IP-gebaseerd videobewakingssysteem.

Het nieuwe aanbod bestaat uit een compleet assortiment camera’s, inclusief minidome camera’s voor binnen en buiten, geïntegreerde infrarood dome camera’s en bulletcamera’s, plus nieuwe onopvallende camera’s op lipstick-formaat en IP-camera’s. Ook omvat het assortiment dvr’s (digitale videorecorders) en kleine monitors. De brede reeks beveiligingscamera’s levert 24 uur per dag en 7 dagen per week beelden. De dvr’s zorgen ervoor dat het opgeslagen videomateriaal te allen tijde bruikbaar is.

Deze video-encoders brengen digitale bewakingsmogelijkheden binnen handbereik van bedrijven als tankstations, winkels en kleine kantoren die nog analoge bewakingscamera’s gebruiken. Zo hoeven deze ondernemers niet te investeren in nieuwe camera’s, terwijl ze wel profiteren van voordelen als monitoring op afstand, grotere schaalbaarheid en beter beheer van beelden. De encoders hebben vier tot zestien kanalen, ondersteunen H.264, hebben PoE en bieden pan-, tilt- en zoom-ondersteuning. Beelden zijn in motion jpeg streams te versturen. De stand-alone versies kunnen lokaal beelden opslaan op een micro-sdhc geheugenkaart.

Security Management nummer 10 oktober 2011

produc ten -/dienstenregister Beveiliging en toegangscontrole

Beveiliging en Toegangscontrole

CCTV

Handlampen

Toegangscontrolesystemen

Nedap N.V. Security Management Postbus 103 7140 AC Groenlo (T) 0544 471 666 (F) 0544 464 255 (I) www.nedap-securitymanagement.com

Deursloten

â&#x153; Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.

Organisatie Naam

M/V

Ingevulde coupon kunt u sturen naar:

Postbus Postcode Plaats

U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl

Tel. Email

Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn

Security Management nummer 10 oktober 2011

Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl

Leverancier branddetectie

Directeur Patrol & Response Cendy Meijerink is per 1 september aangesteld als business unitdirecteur Patrol & Response Services bij G4S. Meijerink werkt al een aantal jaren bij

G4S, eerst als unitmanager, later als senior unitmanager met een aantal districtoverschrijdende werkzaamheden bij Security Services. Vervolgens was zij verantwoordelijk als districtmanager voor Oost-Nederland. De laatste 1,5 jaar werkte zij als regiomanager Noorden Oost-Nederland.

Convenant NVD en Criminee NVD Beveiligingsgroep en Stichting CrimiNee hebben hun samenwerking geformaliseerd om de criminaliteit richting ondernemers terug te dringen.

contacten en contracten

TEF is een nieuwe leverancier in branddetectie- en ontruimingssystemen op de Nederlandse markt. Het bedrijf is onderdeel van Global Fire Equipment uit Portugal. Global Fire Equipment is een private producent, die reeds twintig jaar bestaat en in meer dan vijftig landen over de wereld vertegenwoordigd wordt. TEF zal zich opstellen als producent en leverancier en heeft geen projecten/of serviceorganisatie.

deren van informatie-uitwisseling tussen de politie en NVD Beveiligingen.

Meer informatie: www.tefbrandbeveiliging.nl

Op 7 september vond de ondertekening van het convenant plaats op het hoofdkantoor te Haarlem. Met de ondertekening wordt de publiek-private samenwerking verstevigd op het gebied van intelligent cameratoezicht, verscherpte alarmverificatie en het bevor-

Arie Donders (links) en Otto Vroegop ondertekenen namens respectievelijk NVD en Stichting CrimiNee het convenant.

Europese aanbesteding voor Vision ISP

Adviesactiviteiten Fortress naar Interseco

Vision ISP uit Waalwijk gaat het cctvsysteem van de gemeente Venlo uitbreiden en voorzien van eventregistratieen rapportagemogelijkheden. De opdracht komt voort uit een Europese aanbesteding. Daarnaast wordt het centrale videomanagementsysteem in het politiebureau van Venlo aangepast en voorzien van eventregistratieen rapportagemogelijkheden. Tevens wordt de inrichting van de toezichtruimte aangepast en uitgebreid.

Per 1 september heeft Fortress Advisory haar adviesactiviteiten overgedragen aan Interseco Consultancy in Den Haag. Alle lopende projecten worden in overleg met de betrokken cliĂŤnten voortgezet. Fortress richt zich hierna volledig op de verdere groei van haar kernactiviteiten. De Fortress Group is gevestigd in NaardenVesting en bestaat uit Fortress Staffing Services (werving, selectie en detachering) en Fortress Academy (opleidingen). De organisatie telt twaalf medewerkers.

Lector Brandweerkunde

Lector Brandveiligheid

Ricardo Weewer is op 1 september gestart als lector Brandweerkunde aan de Brandweeracademie van het Nederlands Instituut Fysieke Veiligheid (NIFV). Weewer zal zijn functie als lector Brandweerkunde combineren met zijn functie als plaatsvervangend commandant Brandweer Amsterdam-Amstelland.

Saxion heeft ir. Ruud van Herpen aangesteld als nieuwe lector Brandveiligheid in de Bouw bij het Saxion Kenniscentrum Leefomgeving (KCL). In samenwerking met gespecialiseerde bedrijven ontwikkelt het lectoraat onderwijs op het gebied van brandveiligheid, met als belangrijkste doel de aandacht voor brandveiligheid in de bouw te vergroten.

Intentieovereenkomst TNO en Vebon TNO en Vebon gaan samenwerken bij het indienen, opstellen en uitvoeren van nationale en EU-projecten op het gebied van beveiligingstechnologie.

Beide partijen hebben hun voornemen om vaker gezamenlijk op te treden officieel bekrachtigd met de ondertekening van een intentieovereenkomst. Kern van deze intentieovereenkomst is dat beide partijen benadrukken dat zij op basis van de overeenkomst de komende jaren gezamenlijk werken aan het verwerven en uitvoeren van projecten ter bevordering van veilige en kwalitatief hoogwaardige beveiligingsproducten, -diensten en -oplossingen.

Ida Haisma, Director of Innovation Safety and Security Research van TNO en Erwin Schoemaker, directeur Vebon, ondertekenen de intentieovereenkomst.

Security Management nummer 10 oktober 2011

co lu m n

Virtueel kwaad

et speelveld van de security manager ondergaat een fundamentele verandering. Misschien niet altijd zichtbaar, maar op een schaal en met een snelheid die weinig precedenten kent. Security in de virtuele wereld wint snel terrein op beveiliging in de fysieke wereld. Security is in toenemende mate cybersecurity. Waar de blik en het instrumentarium van de security manager van oudsher zijn gericht op de 'tastbare' kwaadwillende, virtualiseert 'het kwaad' in toenemende mate. De kwaadwillende 2.0 is hyperactief in een – gevoelsmatig – nog ongrijpbare wereld: een stuwende kracht achter wellicht abstracte maar snel groeiende dreigingen. De metaforen dringen zich op: remmende voorsprong, achterhoedegevecht, nieuwe strijd met oude wapens, enzovoort. Risicobeheersing in de fysieke wereld is redelijk overzichtelijk en ﬁjnmazig. Natuurlijk lang niet volkomen, maar in staat om dreigingen te dempen en risico's te reduceren. De doorgaans private inspanningen van de security manager worden bovendien ondersteund door de rechtstaat. Zo worden samen met de autoriteiten barrières opgeworpen tegen kwaadwillenden. Hoe anders is dit in de virtuele vrijstaat. Ondanks dat wetten onverminderd van kracht zijn, ontbreekt het in cyberspace aan toezicht en handhaving. Gekoppeld aan het hightechkarakter van de virtuele misdaad is er tevens een schaarste voor wat betreft relevante kennis en kunde. Overheden staan hierdoor momenteel op zeer grote achterstand. Ondertussen blijft de virtuele wereld verstoken van serieuze barrières. De virtuele realiteit biedt zo een ongekende gelegenheidsstructuur voor criminelen wereldwijd. De belangen om deze status quo zo snel mogelijk te doorbreken zijn enorm. Afgaande op mijn kwaliteitskrant treft cybercrime wereldwijd dagelijks meer dan één miljoen mensen. Terwijl de mondiale schade van cybercrime op jaarbasis momenteel wordt geraamd op 1.000 miljard Amerikaanse dollar (!). Een criminele 'economy of scale' dus. Met groeiende

aantrekkingskracht op ondernemers uit alle krochten van de onderwereld. Variërend van individuele techneuten, tot 'klassieke' criminele groepen, tot activisten of zelfs staten. De recente certificatenkwestie onderstreept de – potentieel – forse impact van cyberrisico's. De schaal waarop de effecten van een security-incident voelbaar werden, illustreert het voornoemde belang nog eens extra. Als vrijwel geen burger meer kan vertrouwen op de integriteit van zijn privacy en persoonlijke gegevens. Als de overheid de betrouwbaarheid van haar systemen niet meer kan garanderen. En als burgers vervolgens, vanwege de nalatigheid van één 'trusted' certificatenleverancier, ook echt slachtoffer worden van kwaadwillenden, dan wordt duidelijk dat de kans en effecten van cyberrisico's al snel grootschalig zijn. Ook bezien vanuit bedrijfsbelangen. De certificatenleverancier is immers failliet, terwijl de gevolgen van de kwestie voortwoekeren. Nodig is een strategische verschuiving. Eén die maakt dat cyberrisico's bovenaan de risicoagenda komen – én voorlopig blijven. Een verschuiving die tevens aanstuurt op het snel verkleinen van de ruimte van cybercriminelen. Zowel door middel van het versneld doorvoeren van institutionele veranderingen, als door het creëren van het juiste instrumentarium om cybercrime te bestrijden. Een verschuiving die muren in de fysieke wereld naar beneden haalt en ons in staat stelt om het virtuele kwaad discipline-overstijgend, vanuit nieuwe bestrijdingsconcepten, tegen te gaan. We kunnen het ons niet meer permitteren om op achterstand te blijven. Anders zullen we de strijd blijvend verliezen.

Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.

Security Management nummer 10 oktober 2011

nummer 10, oktober 2011

ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING SECURITY Management

Advantage Line van Bosch Beveiligingstoepassingen voor het midden- en kleinbedrijf

www.securitymanagement.nl

THEMA: INFORMATIEBEVEILIGING

Discussie over dilemma’s informatiebeveiliging

Waar trek je de grens? Een nieuwe reeks beveiligingscamera’s en recorders met een uitstekende beeldkwaliteit voor een scherpe prijs. nummer 10, oktober 2011

Vrijheid versus veiligheid

Informatiebeveiliging in de cloud

Professionals vinden elkaar in risico