Beheer

Security

Opinie: Dom, dom, dom ...

20 april 2012

Dat argument illustreert namelijk eens te meer hoe beroerd het is gesteld met het beveiligingsbewustzijn bij mensen die uit hoofde van hun beroep gegevens verzamelen die u en ik liever niet op straat zien liggen. In dit geval bij het Diagnostisch Centrum in Eindhoven en Den Bosch, dat diefstal van inloggegevens ter verdediging aanvoerde toen zijn site met labuitslagen toegankelijk bleek voor onbevoegden, en bij VCD Automatisering, dat zijn straatje zo schoon probeerde te vegen nadat bekend werd dat via zijn toepassing Humannet verzuimgegevens met medische achtergronden van 300.000 mensen in principe op straat lagen. Zouden ze zelf echt niet doorhebben welk oordeel ze hiermee vellen over de kwaliteit van de beveiliging van hun systemen, en over zichzelf?

Want wat is dat voor een verdediging, je beroepen op diefstal van inloggegevens. Alsof er geen veiliger manieren zijn om de authenticatie te regelen. Een privé-bankrekening is beter beschermd. Kun je als specialist in de verwerking van privacygevoelige gegevens – met ongetwijfeld ook een online bankrekening - dan niet bedenken dat inloggen op je databases vanaf elke willekeurige locatie met niet meer dan een gebruikersnaam en een wachtwoord een dom idee is? Want dat is wat Zembla en Krol deden: gewoon vanaf een willekeurig kantoor c.q. van huis uit grasduinen in een verzuimregistratie respectievelijk labuitslagen van patiënten.

Automatiseringsbedrijf hoort beter te weten

Het ergste vind ik nog wel, dat dit argument ook naar voren wordt gebracht door VCD Automatisering. Van een ICT-bedrijf mag, nee moet je beter verwachten. Zeker als het zich – zoals VCD Automatisering – laat voorstaan op 30 jaar ervaring. Het had bij zijn Humannet eigener beweging een veiliger authenticatiemethode verplicht moeten stellen. Natuurlijk, je product wordt wat duurder in aanschaf en implementatie. Maar het geeft je ook een geweldig verkoopargument – een argument dat je klanten ook donders goed begrijpen, als je de tijd neemt om het belang ervan uit te leggen.

Het is verhelderend dat de 'slachtoffers' nu hebben toegegeven dat hun authenticatiemethode ontoereikend is. Maar het akelige is wel dat het er alle schijn van heeft dat de 'inbraken' door andere zwakheden in de beveiligingsopzet mogelijk werden. Als de rapporten kloppen, hoefde men niet eens inlognamen te stelen om in te breken. Bij het Diagnostisch Centrum in Eindhoven en Den Bosch was volgens de berichten inbraak mogelijk omdat het gebruik van simpele, voor de hand liggende en zeer korte inlognamen was toegestaan. Iets dat met wat aanvullend programmeerwerk eenvoudig te voorkomen is. En bij Humannet kwam Zembla naar eigen zeggen binnen via een SQL-injectie – basale programmeerfouten waar al jaren voor gewaarschuwd wordt.

Effectieve maatregelen blijven uit

Dat stemt allemaal heel erg somber. Temeer omdat er op korte termijn geen oplossing voor lijkt te komen, daar verantwoordelijken zich onder hun verantwoordelijkheid uit proberen te draaien met kletsargumenten. En de politiek neemt ook geen maatregelen. Natuurlijk, er komt een meldplicht voor datalekken, en GroenLinks en PvdA pleiten nu voor boetes voor bedrijven die met privacygevoelige gegevens morsen. Als dergelijke maatregelen in stelling worden gebracht, is het kwaad al geschied. En het gaat er juist om, te voorkomen dat persoonlijke gegevens in onveilige constructies worden opgeslagen.

Wat nodig is, is een inspectiedienst die vooraf toetst of de beveiliging van voldoende niveau is, voordat organisaties toestemming krijgen om privacygevoelige gegevens over openbare netwerken toegankelijk te maken. En die periodiek verrassingsinspecties uitvoert, om te kijken of de beveiliging nog wel op orde is. Maar dat zal er wel niet snel van komen, in deze tijden waarin men wars is van overheidstoezicht en – ingrijpen.

Onnodige smet op het IT-blazoen

Vandaar dat ik een beroep doe op alle IT’ers in Nederland: trek aan de bel, protesteer bij je leidinggevende tegen onveilige constructies die je tegenkomt. En de beroepsverenigingen en ICT~Office roep ik op om het initiatief te nemen voor een meldpunt waar de klok geluid kan worden zonder dat de klokkenluider uit de anonimiteit hoeft treden. Voor als leidinggevenden niet in actie komen wanneer ze erop gewezen worden dat hun producten of diensten het recht op privacy in gevaar brengen of schenden, of als de bedrijfscultuur het zelfs onmogelijk maakt om voor deze problematiek aandacht te vragen zonder persoonlijke consequenties voor de brenger van de onwelkome boodschap. Want deze stroom van incidenten is een smet op het blazoen van de IT en van de IT’er. En dat is volstrekt onnodig.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!