Diginotar en de menselijke factor

De afgelopen week zijn we weer eens met de neus op de feiten gedrukt. Beveiliging van digitale overheidsdiensten is zo lek als een mandje. Ik voorzie kamervragen! Maar na een week de commentaren te hebben gelezen valt er toch wel weer een duidelijk patroon waar te nemen. Falende techniek speelt een belangrijke rol en we moeten het vooral helemaal anders gaan doen. Maar het ligt natuurlijk helemaal niet aan de techniek. Zoals bijna altijd is de menselijke factor de bron van alle ellende.

Roger Grimes schreef deze week, na aanleiding van de hack bij DigiNotar en de vermoedelijke hack bij GlobalSign, een blog op Infoworld met de intrigerende titel ‘PKI didn’t fails us, humans did’. Hierin betoogt hij dat de implementaties de afgelopen jaren kwalitatief ernstig te kort hebben geschoten. Zo bleek uit onderzoek van het bedrijf Qualys dat ruim 22 miljoen sites een SSL voorziening hebben. Slechts 720.000 bleken te zijn voorzien van de juiste naamgeving (3%!). Een flink percentage bleek ook nog eens geen afdoende waarborging in de keten te hebben. Juist dit laatste werd deze week nog wel eens vergeten door een aantal overheidsinstanties. Uitspraken als ‘onze certificaten komen niet bij Diginotar vandaan dus wij zijn veilig’ snijden echt geen hout. Overheidsorganisaties werken steeds meer in ketens, en de zwakste schakel bepaalt ook hier de sterke (van de beveiliging). Kortom, veel slordig implementatiewerk en een gebrek aan kennis.

Ook het gedrag van gebruikers is trouwens nog wel voor verbetering vatbaar. Menig gebruiker klikt na de melding dat een site wellicht niet veilig is gewoon door. En veel digitale bankfraude wordt nog steeds veroorzaakt doordat mensen op basis van een onduidelijke e-mail zomaar hun PIN code op een site deponeren. Daar kan techniek toch echt weinig aan doen.

In het licht van de affaire DigiNotar speelt er echter nog een ander aspect. Terecht is er veel verontwaardiging over de belabberde staat van het IT beheer bij het bedrijf. Zo waren er geen afdoende updates geplaatst en beschikten cruciale servers niet eens over anti-virus software. Inderdaad hopeloos slecht, maar waarom is dit niet gecontroleerd? Het is toch vreemd dat je als overheid een essentieel onderdeel van de digitale beveiliging bij een extern bedrijf neerlegt en er vervolgens klaarblijkelijk niet meer naar omkijkt. Geen periodieke controles of externe audits? Dit is precies de reden dat ook veel outsourcingprojecten fout gaan. We gooien het over de muur en we zien wel weer hoe het gaat. Het ontbreekt structureel aan een goede IT Governance. Natuurlijk heeft DigiNotar een wanprestaties geleverd, maar de overheid dient ook de hand in eigen boezem te steken!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *