Niet de echte maar de digitale dijken staan op springen

Van de week had ik het genoegen om met de Amerikaanse Betsy Hight een kopje koffie te drinken. Deze marine officier buiten dienst die in haar werkzame leven de scepter zwaaide over de IT van een groot deel van de Amerikaanse marine leidt op dit moment een team van informatiebeveiligers bij HP en reist op dit moment heel wat bezorgde Amerikaanse bondgenoten af.

Want het is alle hens aan dek op dit moment rond de beveiliging van informatiesystemen. Eerder op de dag was ze in het commandocentrum van Rijkswaterstaat geweest om een hoge ambtenaar bij te praten over de nieuwe golf aan hackpogingen die op dit moment ook grote consequenties lijkt te hebben voor tal van processystemen en andere informatiesystemen die aan de basis staan van vitale infrastructuren. Het commandocentrum van Rijkswaterstaat had Hight als oud-militair aangesproken. Vanuit deze tegen een aanval van atoomwapens bestendige bunker lijken de crisismanagers alle onheil op de wegen en het water aan te kunnen. Maar net zoals atoombunkers in deze tijd glorieus achterhaald zijn sinds de val van de muur in Berlijn, zo is een watersnood of een majeure calamiteit op de weg ook niet hetgeen de agenda van de Rijkswaterstaat crisismanager bepaalt. Nee het is eerder een hack van de processystemen waar deze overheidsinstelling zich zorgen over maakt. Hoe beheers je een crisis die geen onheil op het water of de weg brengt maar die je informatiesystemen beschadigt en lamlegt.

Risico voor iedereen
Een echt antwoord daarop had Hight niet. Wel hamerde ze op een betere bewustwording rond informatiebeveiliging. Nu alles en iedereen op internet is aangesloten is een risico dat door een persoon op dit netwerk losgelaten wordt per definitie een risico voor alle deelnemers aan dit netwerk. Hackaanvallen zijn geraffineerder geworden, moeilijker te ontdekken en gericht op specifieke bedrijven met bijvoorbeeld kostbaar intellectueel eigendom of instellingen die cruciale infrastructuren beheren. Het wordt hoog tijd om de digitale dijken op te gaan hogen. Dat betekent afstappen van perimeter beveiliging met firewalls alleen. Het netwerk zelf is inherent onveilig en moet met een combinatie van technieken bewaakt worden. Maar mevrouw Hight heeft als marine-officier aan de andere kant gestaan en weet als geen ander dat maar een klein deel van het antwoord uit technologievernieuwing komt. Veel belangrijker zijn de procedures en de invulling van de beveiliging in de dagelijkse praktijk.

Hight was lovend over de nieuwe aanpak van de Nederlandse overheid waarbij overheid en bedrijfsleven gezamenlijk de informatiebeveiliging van cruciale systemen bewaken met behulp van de nieuwe Cybersecurity Raad en het bijbehorende Cybersecurity Center. Op de recente top in Londen had ze de Nederlandse terrorismebestrijder Erik Akerboom er nog om geprezen. De kennisuitwisseling tussen de overheid en bedrijven is cruciaal meent Hight. Het stelt bedrijven in staat om in deze vertrouwelijke omgeving informatie over beveiligingsincidenten uit te wisselen en maatregelen te nemen. In de informatiesamenleving van vandaag de dag zal de vinger continu zo continu op de pols moeten blijven.