Hoe dom je kan zijn, dat laat Diginotar zien

Dat Diginotar failliet zou gaan, dat was wel duidelijk. Niemand wil nog zaken doen met een certificeringsbedrijf dat zo openlijk heeft gefaald in het eigen veiligheidsbeleid. Dat is logisch. Maar voordat de hack aan het licht kwam, had iedereen het volste vertrouwen in het bedrijf. Hoe logisch is dat eigenlijk vraagt Seth van der Meer van Astaro Benelux zich af?

De overheid vertrouwde voor cruciale publieke processen op de betrouwbaarheid van een derde. Nu dat is misgegaan, is dat niet de schuld van die derde. Iedereen - bedrijf, instelling en overheid – blijft altijd zelf verantwoordelijk voor zijn digitale veiligheid. Of je het nu zelf inricht of uitbesteedt.

Risico's kennen
Als onderneming moet je de risico’s kennen plus de mogelijke gevolgschade die veroorzaakt wordt als onbevoegden toegang krijgen tot het bedrijfsnetwerk. Maak een risicoanalyse en stem daar je beleid op af. Als je de netwerkbeveiliging in eigen beheer wilt houden zorg er dan voor dat de verantwoordelijken de vereiste kennis en kunde hebben en verzeker je ervan dat ze bekend zijn met de gevaren en de do’s and don’ts.

Beveiliging = educatie + beleid + technologie. Zo’n 70 procent van de gevaren komt van binnen de organisatie. Medewerkers zijn zich vaak niet eens bewust van de beveiligingsrisico’s die zij zelf veroorzaken. Leid ze daarin op. Leg het beleid vast en zorg er ook voor dat die in alle geledingen bekend is. Niet door een document uit te geven waarvan je vervolgens maar moet hopen dat dat gelezen wordt. Dan bestaat namelijk nog steeds het gevaar dat een medewerker z’n inloggegevens op een post-it op z’n scherm plakt. Zorg dat de ernst ervan duidelijk is en dwing naleving desnoods af door sancties in het vooruitzicht te stellen.

Besteed je de netwerkbeveiliging uit, vraag dan naar certificaten van de betreffende organisatie maar ook van de leverancier die de uiteindelijke producten levert. Zoals EAL4+-certificering of ISO 27002. Dat zijn objectieve normeringen. En laat kosten niet de reden zijn om concessies te doen aan netwerkveiligheid.

De Diginotar-case heeft het helaas ook in zich om de alertheid op veiligheidszaken na de eerste schok juist weer in slaap te sussen. Het was tenslotte gewoon maar één bedrijf dat faalde in zijn beveiliging. De overheid heeft de plooien weer glad getrokken en de ophef tot bedaren gebracht. Maar deze case is heel duidelijk een alarmbel voor alle organisaties om zich eens heel serieus over het eigen veiligheidsbeleid te buigen en vast te stellen wat de risico's zijn als bij hen een digitale inbraak zou plaatsvinden.