Innovatie & Strategie

Security
kapotte deur

Waarom beveiliging in de basis brak blijkt

Overal “ongelofelijke oliebollen”? En waarom dan?

© CC BY 2.0 - Flickr.com taymtaym
30 september 2020

Justitieminister Ferd Grapperhaus was glashelder: als je je patches niet op orde hebt, ben je een “ongelofelijke oliebol”. Alleen bleek toen dat zijn ministerie zelf ook laks was met VPN-patches. En Justitie is lang niet de enige, en lang niet de ergste. Basismaatregelen voor IT-beveiliging blijken maar al te vaak niet op orde. Over oorzaken daarvoor, en wat ertegen te doen.

De ‘oliebol’-uitspraak van minister Grapperhaus vorig jaar behoeft wel enige nuancering. De minister had het over mensen die noodzakelijke veiligheidsmaatregelen niet nemen vanwege het excuus dat software-updates bijvoorbeeld het productieproces tijdelijk stilleggen. Alleen valt vooraf niet altijd goed in te schatten of een ‘veiligheidsmaatregel’ verstorende impact gaat hebben.

Zachte hand en harde aanpak?

En wat zijn precies 'noodzakelijke' veiligheidsmaatregelen? Om dat te beoordelen, is een betrouwbare inschatting nodig van de securitystaat en IT-inventaris van een organisatie. Plus inzicht in welke patches en updates er zoal zijn voor die inventaris. Plus wat die updates dan fixen. Toch wil Justitieminister Grapperhaus een harde aanpak van bedrijven met slechte digitale beveiliging. En daar zijn er nogal wat van, inclusief Grapperhaus’ eigen ministerie.

Bovendien zorgt de doorzettende digitalisering in ons land voor grotere risico’s, waarschuwen organisaties zoals de Cyber Security Raad (CSR). Ook op het vlak van waarschuwen voor digitale dreigingen valt er nog vooruitgang te boeken. Deels wordt dat gedaan door NCSC-allianties met sectororganisaties zoals CERT’s en lokale weerbaarheidscentra zoals OKTT's (organisaties die ‘objectief kenbaar tot taak’ hebben om te informeren over relevante dreigingen). En deels door een vrijwilligersorganisatie als het Nederlands Security Meldpunt, dat kwetsbare partijen waarschuwt.

Maar ook als er informatie beschikbaar is en er linksom of rechtsom wordt geïnformeerd, blijft beveiliging nogal eens in gebreke. Is het laksheid, bij IT’ers die toch beter (moeten) weten? Zij moeten diverse hordes nemen, wat niet allemaal lukt. Waarom niet?

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!