‘Awareness’ mag geen alibi zijn voor brakke IT

In IT-blaadjes verschijnen voortdurend artikeltjes waarin wordt aangedrongen op meer cybersecurity bewustzijn bij de medewerkers.
Onlangs zag ik weer zo’n bericht op iBestuur, waarin bewustzijn met het akelige woord ‘awareness‘ wordt aangeduid. Terecht wordt het artikel begonnen met de opmerking dat veiligheid begint met techniek en organisatie. Vervolgens komt het bewustzijn-verhaal.

Intussen maak ik me zorgen over de kwaliteit van de IT en van de interfaces.

Brakke IT
Aan de techniek mankeert regelmatig het nodige. Zo heb ik nooit begrepen hoe de overheid een ‘DigiD’ bestaande uit een inlognaam en een wachtwoord kon invoeren voor vertrouwelijke persoonsgegevens. Een veilige vervanging is in voorbereiding.

De affaire ‘DigiNotar’ markeert een ernstig digitaal falen: de zogenaamde controleurs van het Big4 kantoor PWC keken bij hun IT-audit wel naar de organisatie maar niet naar de techniek. Zo konden onverlaten software compromitteren.

Bugs en rare interfaces
De huis-tuin-en-keuken IT binnen grote en kleine organisaties zit vol met fouten en rare bugs. Onoverzichtelijke en onlogische interfaces zijn aan de orde van de dag, zeker als het software is die is ontwikkeld voor een relatief kleine groep gebruikers. De gemiddelde gebruiker denkt ‘het doet het niet‘ en werkt er vervolgens omheen. Het onderscheid tussen bugs en onveilige situaties is dan niet te maken.

Onveilige communicatie
De praktijk is verder dat onveilige methoden niet worden bekend gemaakt. Zo weet niemand dat e-mail onveilig is en onderweg gelezen kan worden en dat ‘gratis’ services zoals Dropbox en WeTransfer niet gebruikt kunnen worden voor het uitwisselen van vertrouwelijke informatie.
Nog meer bizar is dat grote organisaties, zoals banken, voor communicatie met hun klanten gebruik maken van datagraaiende bedrijven zoals Facebook en Twitter.

Kortom: met awareness hoef je bij mij niet aan te komen zolang de IT zelf brak is.

PS De voorbeelden DigiD en DigiNotar komen uit de overheid, maar ik vermoed dat het in het bedrijfsleven er niet beter aan toe is.

Meer informatie:

iBestuur, artikel “Werken aan awareness“, 29 januari 2019.
DigiNotar: faillissementspagina. Het recentste niet-financiële verslag is van november 2018 (pdf). Uit dat verslag blijkt dat de voormalige bestuurders EUR 350.000 aan de curator hebben betaald.
Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden, Axel Arnbak, 23 oktober 2018.
Artikel Wanneer stoppen banken met Facebook, 12 augustus 2018

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels

View all posts by Ellen Timmer →