Bewustwording van informatiebeveiliging

informatiebeveiliging-header

Vroeger bewaarde men geld in een oude sok, paspoorten in de keukenla en dagboeken onder het hoofdkussen. Tegenwoordig staat ons elektronische geld op de bank, onze gegevens in verschillende databases en ons dagboek op social media. Het beveiligen van deze informatie kan niet meer door eenvoudigweg de voor- en achterdeur goed op slot te draaien.

Artikel uit Objective 19, mei 2013 - ook beschikbaar in pdf

We leven in een informatiemaatschappij. Zonder pasje kom je bijna nergens meer binnen en op internet hebben we meerdere accounts om te winkelen of deel te nemen aan fora en social media. Zo staat er op veel plaatsen informatie over ons geregistreerd. Helaas gaat niet elke organisatie even verantwoord met die gegevens om. Naïviteit is niet enkel voorbehouden aan de consument, die zelf via Facebook, Google en andere media persoonlijke informatie rondstrooit. Ook de overheid en het bedrijfsleven zijn zich vaak onvoldoende bewust van de risico's die ze lopen op het gebied van informatiebeveiliging. Dat kan gaan om een onschuldig voorval als het vinden van de miljoenennota (2011) en de kersttoespraak van de koningin (2012) door een getalletje in de oude URL te veranderen. Maar diezelfde overheid zet bij aanbestedingen voor bruggen of sluizen ook de complete systeemarchitectuur inclusief IP-adressen voor de bediening online. Informatie die iedereen mag downloaden, zonder enige vorm van 'pre-kwalificering'. Commerciële organisaties die over veel persoonlijke informatie beschikken zijn vaak doelwit voor hackers. Zo moest iedereen vorig jaar zijn wachtwoord van LinkedIn wijzigen. Hackers hadden de wachtwoorden op internet gepubliceerd en beschikten waarschijnlijk ook over de bijbehorende gebruikersnamen.

Data wildgroei

Hoewel ons veiligheidsbewustzijn zich langzaam maar zeker ontwikkelt, schrijdt de techniek met rasse schreden voort. Dankzij (draadloze) netwerktechnieken zijn koppelingen te maken tussen systemen en gegevens die vroeger niet mogelijk waren. Thuis koppelen we ons mobiele devices aan het netwerk, en bedrijven en instanties koppelen hun systemen aan elkaar, allemaal voor makkelijke en snelle informatie-uitwisseling. Elke koppeling levert weer nieuwe mogelijkheden op om verbanden te leggen en conclusies te trekken over bijvoorbeeld gedrag en gezondheid.

Verantwoord omgaan met data wordt dus steeds belangrijker. Maar nog voor je de beveiligingsvraag stelt, dien je je af te vragen: heb ik die data allemaal nodig? Veiligheidshalve is het verstandiger om zo min mogelijk data te genereren, zoals eerder te lezen was in het visie-artikel van Objective 13. Wat er niet is, hoef je ook niet te beveiligen. Dus sla alleen de data op die echt noodzakelijk is voor de bedrijfsvoering of de functionaliteit van het systeem.

Informatie is business

Inmiddels is het niet meer zo eenvoudig om zo min mogelijk data te genereren, we leven immers in een informatiemaatschappij waarin het delen van data gewoon is geworden. Informatie speelt ook een economische rol. Bedrijven als Google, Facebook en Twitter leven van informatie. Zij hebben heel andere belangen en hebben dus ook een heel andere interpretatie van het fenomeen informatiebeveiliging. Voor hen is informatiebeveiliging eerder 'het veilig stellen van inkomsten'. Informatie is geld en daar ben je zuinig op. Zo zuinig dat ze zich eigenaar achten van de persoonlijke foto's en ontboezemingen die wij op ons eigen profiel plaatsen. Dat staat in de kleine lettertjes en daar is immers elke gebruiker mee akkoord gegaan.

Bewustwording

De consument zal zich meer bewust moeten worden van de risico's van sociale media. Via Twitter en Facebook leggen we onze ziel en zaligheid bloot. Veel mensen passen de zichtbaarheid van hun berichten niet aan en plaatsen alles publiekelijk zichtbaar, want zo is het uiteraard standaard ingesteld door het sociale medium. Bedenk dat iedereen dan kan meekijken: je collega's, je baas, je familie. Maar ook het dievengilde, dat ziet dat je op vakantie bent in Zuid-Frankrijk. En de verzekeraar die op Facebook vakantiekiekjes ziet waar je die dure zonnebril draagt die onlangs als verloren was geclaimd. Besef dat alles wat op internet belandt sowieso tot in eeuwigheid is terug te vinden in zoekmachinedata. Op zich is dit nog niet eens zo erg, zolang mensen zich er maar bewust van zijn. Maar wie wil over tien jaar nog steeds worden geconfronteerd met de getwitterde opmerking over de regering die nu zo onschuldig lijkt, maar in de toekomst ineens gevoelig ligt?

Verplichting versus keuze

Als consument vertrouwen we vrijwillig ons privéleven toe aan commerciële partijen, maar als burger gaan we met de hakken in het zand als de overheid een kilometerheffing, OV-chipkaart of elektronisch patiëntendossier invoert. De overheid legt ons beslissingen op, terwijl de klantenkaart van de supermarkt of de apps op onze smartphone onze eigen keuzes zijn. We staan er niet bij stil dat we via de klantenkaarten en apps heel veel inzicht in ons privéleven geven. De lange termijn risico's omtrent privacy wegen niet op tegen de korte termijn voordelen van een korting of een leuk gratis spelletje. Zo zit de menselijke psyche in elkaar. We nemen de meeste beslissingen op emotie en daar spelen bedrijven handig op in.

Verantwoord met data omgaan

Niet alle bedrijven die gegevens verzamelen, doen dat om er geld mee te verdienen. Maar zij hebben wel privacy gevoelige gegevens in beheer om hun taken uit te kunnen voeren. Ook deze bedrijven lopen risico’s met informatiebeveiliging en/of schendingen van de privacywetgeving. Ze bedenken een fantastische app of interactief systeem waarmee ze (indirect) informatie van de gebruiker vergaren, zonder te beseffen dat ze privacy-regelgeving overtreden.

Imago-schade

Wie zich bij dataverwerking onvoldoende bewust is van zijn kwetsbaarheid, kan de mist ingaan en daarbij een forse deuk in het imago oplopen. Om imagoschade te voorkomen, stellen ze zeer hoge beveiligingseisen bij een nieuw ontwerp. Soms zelfs hoger dan voor de betreffende toepassing noodzakelijk is. "Wij willen niet in de krant komen met een verhaal over een hoogleraar die met een paar studenten in een uur ons product kraakt. Ook al is de winst van zo'n kraak marginaal, de imagoschade is enorm."

Het gevolg is dat relatief simpele producten toch behoorlijk duur kunnen worden vanwege de uitgebreide specificaties voor informatiebeveiliging. Terwijl het hierbij vooral om ‘imagobeveiliging’ gaat, dat wellicht meer kost dan dat het oplevert. Met behulp van de juiste technische keuzes tijdens het ontwerpen van het product, kan de optimale prijs/beveiliging-verhouding worden bereikt.

Alles is te kraken

Wie na al deze waarschuwingen denkt dat nu het gouden ei komt, moeten we helaas teleurstellen. Een universele oplossing is er niet, wel een universele stelregel: hoe goed de beveiliging ook is, uiteindelijk is alles (met heel veel geduld en kunde) te kraken. Een bijbehorende vuistregel is ‘je doet het goed of je doet het niet’. ‘Een beetje beveiligd zijn’ is net zoiets als ‘een beetje zwanger zijn’, dat kan dus niet.

Informatiebeveiliging is een eeuwige wedloop tussen hackers en cryptografie experts. Qua techniek geven crypto-experts actuele aanbevelingen. Maar wat je ook kiest, je weet dat het ergens in de toekomst weer gekraakt kan worden. Zeker in de continu veranderende wereld van connected elektronica, waar een product in een paar jaar is verouderd. Daarom moet je blijven evalueren. Is mijn beveiliging nog steeds toereikend? Helaas zijn er genoeg voorbeelden van producten waar we - om veiligheidsredenen - beter afscheid van zouden moeten nemen. GSM, GPRS en DECT zijn bijvoorbeeld zo lek als een mandje.

Beveiligen is anders denken

Veiligheidsdenken vraagt een andere manier van bekijken hoe een systeem misbruikt kan worden. Intuïtief gaan we uit van het goede in de mens. Gelukkig maar, in een normale samenleving is dat ook wenselijk. Echter, veiligheidsdenken vraagt het tegenovergestelde. Je hebt maar één persoon nodig die niet van goede wil is, ga daar dus ook vanuit. Breng risico’s in kaart door naar kwetsbaarheden te kijken en maak een bewuste keuze voor de maatregelen die je vandaag-de-dag moet en kunt nemen. Vergeet vooral niet om over een paar jaar nog eens goed naar die risico’s en keuzes te kijken: de technologie verandert en de keuzes van vandaag zijn morgen achterhaald. Dit vraagt om bewustwording van de risico’s, vandaag, morgen, volgend jaar: zowel bij consumenten als bij organisaties.

Contact:

willem-de-boer-1

Gerelateerde items

Samenwerken aan slimme assets

Lees meer

Nieuws

Technolution sluit zich aan bij FAN

Lees meer

Nieuws

‘Jouw Energie Moment’ verlengd en uitgebreid

Lees meer

Nieuws

Bewust energieverbruik in Breda

Lees meer

Nieuws