“Wij van WC-eend adviseren WC-eend”. Kent u ‘m nog? Het was de briljante slogan van de reclameklassieker uit de jaren ‘80, uitgesproken door een ernstige man in een witte jas, in een laboratorium-achtige setting. Met dank aan GeenStijl is het vorig jaar nog door Trouw uitgeroepen tot de beste reclameslogan aller tijden. De ultieme parodie op het gebruik van pseudo-onderzoek om een product aan de man te brengen, indertijd zeer gangbaar voor schoonmaakmiddelen, maakte meteen een einde aan dit gebruik. Althans, in de schoonmaakmiddelenbranche. Onze bedrijfstak heeft de WC-eendenles nog niet geleerd en blinkt nog altijd uit in reclame van het soort “onafhankelijk onderzoek wijst uit....”

Een paar recente voorbeelden. “Uit onderzoek, dat onder 370 Britse bedrijven is uitgevoerd, blijkt dat 65% van de bedrijven zichzelf onnodig in gevaar brengt, omdat zij het gevaar onderschatten van USB-sticks, flash drives, iPod’s en PDA’s, die een bedreiging vormen voor de veiligheid van hun netwerk”. Lulkoek. Dat bedrijven de risico’s onderschatten is geen feit – er is immers niet onderzocht of voor de specifieke bedrijven er sprake is van grote risico’s. Het zou best kunnen natuurlijk, maar dit onderzoek wijst dit niet uit. GFI gaat verder: “Het gebruik van draagbare opslagmedia is een grote bedreiging als bedrijven geen record hebben van de bestanden die van het netwerk naar het medium worden overgebracht en vice versa. Slechts 29% van de bedrijven registreert daadwerkelijk welke gegevens naar en van het netwerk worden overgebracht”. Nog mooier: aan het niet onderzochte feit wordt vervolgens een niet bewezen oplossing gekoppeld. Alsof het registreren van de bestandsnamen als losse actie wél afdoende zou zijn. GFI sluit dit merkwaardig stukje proza af met de opmerking dat het onderzoek “door een onafhankelijk mediabedrijf werd uitgevoerd”. Mediabedrijf? Was het komkommertijd in Hilversum of zo? En let op het woord onafhankelijk. Er staat al bijna wetenschappelijk. Je ziet de witte jas zó voor je.

“Wereldwijd onderzoek van PriceWaterhouseCoopers en CIO Magazine toont aan dat informatiebeveiliging verbetert, maar tevens dat toename van kwetsbaarheden en bedreigingen noodzaken tot een planmatige aanpak”. De toename van kwetsbaarheden en bedreigingen waaraan gerefereerd wordt is volledig afkomstig van de door de 8200 leidinggevenden gesignaleerde incidenten, maar wordt gepresenteerd als een vaststaand feit dat tot een bepaalde aanpak leidt. Terwijl het feit niet onderzocht is maar alleen de perceptie geturfd, noch dat de effectiviteit van de voorgestelde aanpak onderzocht of bewezen is.

“Uit recent onderzoek, dat is uitgevoerd in opdracht van NetIQ, onderdeel van Attachmate, blijkt dat IT-managers VoIP-security dreigingen ernstig onderschatten. Het wereldwijde onderzoek is gehouden onder 155 organisaties die gebruik maken van VoIP-systemen of van plan zijn deze te gaan inzetten. De enquête toont aan dat veel IT-managers hun ogen sluiten voor bedreigingen van de VoIP-infrastructuur”. De dreigingen worden gebracht als vaststaand feit. Onderzocht hoefden ze blijkbaar niet te worden. Wedden dat NetIQ een prachtig doosje heeft voor dit soort problemen?

Een prachtig voorbeeld van hoe dit effect werkt is het regelmatig terugkerende onderzoek van onder meer CompTIA en Information Week naar “de grootste Security risico’s”. Aan een groot aantal Security managers, ICT managers en allerhande consultants wordt gevraagd wat zij als grootste bedreiging zien. Het antwoord levert vervolgens koppen op als ‘Gebruiker nog steeds de grootste bedreiging’. Dit wordt door de Security en ICT managers, net als door de consultants vervolgens geabsorbeerd als absolute waarheid. Zo is de cirkel vicieus: de meeste aandacht gaat naar interne beveiliging waardoor de incidenten daar meer indruk maken zodat ze het meeste aandacht trekken. En ja, dat is tevens een neerwaartse spiraal. Ook Computable meldde onlangs nog dat “onderzoek heeft aangetoond dat meer dan 80 procent van alle beveiligingsinbraken van binnen de eigen organisatie komen!” in een artikel over een autorisatie query tooltje.

David Lynch van Apani, marketing directeur van een bedrijf gespecialiseerd in het beveiligen binnen bedrijfsnetwerken, meldde in 2005 al: “Insider attacks have been with us almost as long as networks have been with us. It is a phenomena that has been extensively studied over the years, and depending on which study you believe, anywhere from 40% to 70% of ALL attacks come from the inside - and this ratio has held ever since the first time I ever saw a Cyber crimes report, well over 10 years ago”. Het beeld is al tien jaar hetzelfde, dus het is kennelijk zo. Nu was het aantal outsider attacks tien jaar voor 2005 (in 1995 dus) logischerwijs erg klein, zo zonder internet en e-mail. Maar toch is er niets veranderd en er zal er nooit wat veranderen.

Het kan ook nog zo zijn dat dit een typisch Amerikaans fenomeen is dat hier niet geldt, maar kritiekloos overgenomen wordt. Zoals onderzoeken in één land vrijwel altijd van toepassing worden verklaard op de hele wereld. De incidenten in Amerika worden grotendeels getriggerd door de rottige manier waarop personeel behandeld en ontslagen wordt, wat wraakacties oproept. Een onderzoekje bij één van onze grootste ministeries wees uit dat we, ondanks het grootschalig opheffen van diverse locaties en het overbodig maken van het bijbehorend personeel, wat vervolgens door de opheffing de eigen huizen niet meer aan de straatstenen kwijtraakte, er geen enkel intern misbruik kon worden gevonden. Tijd voor een echt onderzoek in Nederland?

Statistieken en leugens

“Cybercriminelen lijken een voorkeur te hebben voor Apache servers voor het besmetten van documenten en websites. Maar liefst 51 procent van de servers die ten prooi zijn gevallen aan de praktijken van de kwaadwillende hackers, is van dat type” meldde Sophos. Hoeveel procent van de webservers draait Apache? En daarbij, is besmetten de enige activiteit van kwaadwillende hackers? Of zelfs maar de ergste activiteit?

Veronderstelde causaliteit

"88 procent is ervan overtuigd zich goed voorbereid te hebben op de grootste bedreigingen; slechts 56 procent van deze bedrijven heeft procedures om op incidenten te reageren," aldus Chris Potter, partner van PWC in het BERR onderzoek van 2008. Het klinkt wel logisch, maar het zou toch kunnen dat procedures om op incidenten te reageren niet de enige mogelijke voorbereiding is op de grootste bedreiging.

McAfee in 2005: “One in five workers (21 per cent) let family and friends use company laptops and PCs to access the internet, dramatically increasing the chances of infection of the device and potentially the corporate network”. Want? Als mijn buurman op mijn bedrijfslaptop zoekt naar een illegale Photoshop CS3 waar de spyware van Adobe uitgesloopt is, loopt hij een grotere kans een virus op te lopen dan als ik dat zelf doe? Ja vast.

Deloitte heeft in een onderzoek in 2006 vastgesteld dat bedrijven de noodzaak van goede beveiliging onderschatten. Het bewijs: maar liefst 54 procent van de Chief Cecurity Officers (CSO’s) vindt dat de investeringen achterblijven op de toenemende dreiging van virussen en aanvallen. Is dat bewijs? Is het niet waarschijnlijker dat menig CSO gewoon vindt dat ie een hoger budget nodig heeft, en iedere argumentatie welkom is?

“Organisaties die het bouwen van applicaties uitbesteden, lopen grotere kans gehackt te worden’, meldt analistenbureau Quocirca. Uit hun telefonische onderzoek blijkt dat alle Europese organisaties die programmatuur elders hebben laten bouwen, doelwit zijn geweest van kwaadwillenden. Nu zou het interessant kunnen zijn te weten hoeveel organisaties die al hun programmatuur zelf bouwen, geen doelwit zijn geweest van kwaadwillenden. Dat zou wellicht enige diepte geven aan de bewering, die nu alleen geldt als oproep niet uit te besteden. Maar het trekt de aandacht, en dat is waar het natuurlijk om te doen is. Bovendien, organisaties die al hun applicaties zelf bouwen bestaan niet, tenminste ik ken geen club die de eigen besturingssystemen bouwt en onderhoudt. Of is het kopen van off-the-shelf producten categorisch iets anders dan het uitbesteden van softwarebouw? Wat bewijst het?

“Tijdelijk personeel heeft wel toegangsrechten, maar gaat niet op dezelfde manier om met bedrijfsgegevens” ontdekte beveiligingsbedrijf Websense. In het onderzoek werden honderd tijdelijke medewerkers van verschillende bedrijven ondervraagd. 62 procent van hen gebruikte wel eens (met toestemming) de inloggegevens van een interne collega en 52 procent gebruikt e-mail accounts van een collega. Dit noemt Websense “Schrikbarende aantallen, zeker in combinatie met de 81 procent van de ondervraagden die altijd toegang had tot internet, zonder restricties”. Het ondervragen van 100 inhuurkrachten zal je weinig feiten kunnen geven, zeker als je de uitkomsten niet afzet tegen het gedrag van de interne medewerkers in vergelijkbare posities. Waarschijnlijk is meestal gewoon zo dat je het mailaccount van een collega gebruikt omdat je er zelf (nog) geen hebt, en ook geen eigen werkplek. De meeste mensen hebben immers geen idee hoe een mailclient naar een andere account om te zetten. Maar wat heeft dit met Websense te maken? Het lijkt eerder een geleend ‘onderzoek’ van een IDM vendor dan van webfiltersoftware. Maar zie daar de slotzin: Er is een “schrikbarende” combinatie met ongefilterde internettoegang! Is dat onderzocht dan? Nee? Dan vraag ik mij toch af waarom niet. Ik vermoed omdat een dergelijk onderzoek aan zal tonen dat inhuur hetzelfde doet als de eigen medewerkers en de dag doorbrengt op ongevaarlijke websites als nu.nl, de rabobank, viva, marktplaats en ouders.nl. Tja, dan heb je geen Websense meer nodig.

Kortom, WC-eenden te over in securityland. Als ik zie hoeveel aandacht onwetenschappelijke, oppervlakkige en kromme onderzoeken trekken kan ik maar één conclusie trekken: dat wil ik ook! Ik wil graag gezaghebbend, onafhankelijk én wetenschappelijk aantonen dat het niet lezen van security.nl, en dan in het bijzonder mijn columns, gevaarlijk is voor organisaties en zal leiden tot imagoschade, faillissement en zelfs gevangenisstraf voor de bestuurders. En dat graag uitgesproken door iemand in een witte jas.

Als ik nu het oplezen van mijn vragen door een aantal studenten communicatie van een hogeschool als stageonderzoek laat uitvoeren, kost het niets. Daarbij zijn studenten aanstaande wetenschappers en omdat ze niet op de loonlijst staan zijn ze onafhankelijk. Zo, dat is het begin. Welke vragen zouden de studenten moeten stellen? Enquêtevragen zijn alleszins te manipuleren en indachtig de reeks eerdere columns kom ik uit de losse pols tot de volgende:

De Security.nl WC-eend enquête:
1. Heeft uw organisatie een beveiligingsbeleidsdocument ja/nee?
2. Heeft uw organisatie een security architectuur ja/nee?
3. Heeft uw organisatie een security awareness programma ja/nee?
4. Heeft uw organisatie (delen van) uw ICT uitbesteed dan wel extern ingekocht ja/nee?
5. Werkt uw organisatie conform best practices ja/nee?
6. Is het aantal CISSP’s in uw organisatie de afgelopen drie jaar toegenomen ja/nee?
7. Heeft uw organisatie in de afgelopen drie jaar meer beveiligingsincidenten ja/nee?

Als het antwoord op de laatste vraag en één van de anderen ja is, is het bewijs geleverd dat het niet opvolgen van mijn adviezen leidt tot meer beveiligingsincidenten. En voor al die partijen die mij niet ingehuurd hadden in de afgelopen jaren, kan dit alleen maar komen door het niet lezen van security.nl. Als ze de site wel lezen maar er zijn nog steeds beveiligingsincidenten, dan zijn ze te eigenwijs. Als het antwoord op de laatste vraag echter is dat er niet meer incidenten zijn, bewijst dat, dat de detectie van beveiligingsincidenten ver onder de maat is. Iedereen weet toch dat het Internet steeds gevaarlijker wordt? Dus het antwoord is altijd ja.

Mijn enquête gaat onafhankelijk en wetenschappelijk bewijzen dat er geld over de balk gesmeten is terwijl er zeer grote belangen te beschermen zijn. Dergelijke onvergeeflijke incompetentie op beveiligingsgebied leidt in het beste geval alleen maar tot imagoschade. Het nemen van zulke grote risico’s met ICT zal bovendien niet ontsnappen aan de aangescherpte blik van de auditoren die opereren volgens het ‘Show Me’ beginsel, dus naar de SAS70 statement kun je fluiten. Bovendien is er geen geld over om de hackers buiten te houden, dus de organisatie en haar klanten worden aan alle kanten leeggeroofd door Russische hackers. Dat leidt weer tot het verlies van omzet en sterk dalende koersen, en uiteindelijk faillissement.

De VEB zal er dan ook niet voor terugdeinzen om de artikelen over bestuurdersaansprakelijkheid uit de kast te trekken. Ik zal in dat geval onbezoldigd als getuige-deskundige optreden, zodat een ieder duidelijk is dat er buiten security.nl geen onafhankelijke waarheid bestaat. Het wordt tijd de lezers te laten betalen voor alle goede adviezen.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

• Een triviaal bureautje in de periferie
  
• Koud onderzoek
  
• Wie Zwijgt Stemt Toe
  
• Een Lesje in Beveiliging
  
• Voortschrijdend Inzicht Mag Niet
  
• De Chinezen Komen Niet - Ze Zijn Er Al!
  
• Het anti-terrorismehoesje
  
• Niemand is de Baas
  
• Zin en Onzin
  
• This is Me
  
• Wat niet meet, wat niet deert
  
• De Chinezen komen, of niet natuurlijk (deel 2)
  
• Afscheid van het netwerk
  
• De Chinezen komen! Of niet, natuurlijk.
  
• Een kwakkelend dossier
  
• "Nederland is goed voorbereid"
  
• Headhunter incident
  
• Ethiek en Security
  
• De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  
• Over Security Architectuur
  
• Best Practices bestaan niet
  
• Unified Threat Management: dure mensen, goeie spullen?
  
• Security maturity
  
• Komt het nog wel goed
  
• Geen nieuws is goed nieuws
  
• Awareness best belangrijk
  
• Een papieren tijger in een zilveren lijstje
  
• Een goed idee is niet goed genoeg
  
• Uit de loopgraven
  
• Waarom beveiligingsbeleid faalt
  
• Groot slaat dood