image

Column: Integriteit: Vis rot aan de kop

maandag 9 juni 2008, 09:59 door Redactie, 7 reacties

Integriteit volgens Wikipedia is – op gezag van tal van beveiligingskabouters - een ‘kwaliteitskenmerk van gegevens in het kader van de informatiebeveiliging’. Voor normale mensen betekent integriteit iets heel anders: betrouwbaarheid van personen en instellingen. Waarbij de instelling weer gepersonifieerd wordt door de medewerker achter de balie en de bestuurder in de publiciteit. En hoe zichtbaarder de persoon, hoe belangrijker zijn betrouwbaarheid. Er zijn dan ook heel veel managementboeken over dit onderwerp.

Organisaties zijn voor hun overleven uiteindelijk afhankelijk van betrouwbare mensen, niet van betrouwbare informatie. In het kader van beveiliging worden dan ook – als het goed is - de gewenste normen en waarden uitgedragen onder het labeltje ‘awareness’. Nu is awareness altijd een moeilijk verhaal. Als een organisatie hiermee iets wil doen, moet dat wel topdown gebeuren, maar dan worden je daden wel meteen op een goudschaaltje gewogen. Het hoofdstuk awareness wordt dan ook daarom vaak weggemoffeld of op een infantiel niveau afgeraffeld, met voorschriften als ‘gij zult geen virussen verspreiden’ of ‘gij zult alleen betrouwbare berichten openen’. Gelukkig gaan serieuze integriteitscodes veel verder.

Medewerkers van de Belastingdienst dienen zich te houden aan een code die voorschrijft dat iedere schijn van een integriteitsconflict vermeden moet worden. En terecht: een belastingambtenaar die de schijn van sjoemelen wekt, zal voor de directe omgeving niet bijdragen aan het trouw betalen van de penningen. Waarom zou je belasting betalen als het daar door een medewerker achterover wordt gedrukt? Nu dezelfde schijn tegen een bestuurder van de betreffende dienst bestaat en deze publiekelijk gebagatelliseerd wordt, is de omvang van de schade op middellange en lange termijn niet meer te overzien.
Wat er vervolgens gebeurd is dat men de hele Belastingdienst dicht zal spijkeren met dwang, regeltjes en controleurs. Met als risico dat ze geen personeel overhouden om het werk te doen; veel toezicht is nu eenmaal niet zo goed voor de sfeer. Geen man overboord hoor, tegen de tijd dat de startende IT-ers van de detacheerders op zijn, kunnen we de boel nog altijd naar India verschepen, nietwaar? De onwillige klanten van de Belastingsdienst kun je iets moeilijker in het gareel ‘beveiligen’, maar met een samenleving vol camera’s, gedragscodes, controleurs, stadsetiquettes, anonieme meldlijnen, toezichtsorganen en koppelingen tussen alle systemen kom je ook een heel eind.

Zie ook de affaire Herfkens; de reacties laten zien dat de burgers geen vrede hebben met een uitzondering voor een bestuurder. De schade aan de betrouwbaarheid van de overheid is vele malen groter dan die paar ton die Herfkens zo halstarrig weigert te retourneren. Dan bedoel ik niet de impact op de moraal van mensen binnen BuZa zelf, maar op die van de gewone burger. Die wendt zich af van het bestuur en gaat van electoraal zweven naar electoraal rondstuiteren. En wat vervelender is voor ons land, is dat dit gepaard gaat met een afkalving van de belasting- en andere moraal. De koffietafelpraat die vroeger het voorrecht was van de spreekwoordelijke VVD-er wordt zo een landelijke hobby. Het niet controleren van de pasjes van hoogwaardigheidsbekleders aan de poort is anno 2008 de norm. Waarom zou je dan de sjoemelende buurman aangeven? Waarom stoppen voor rood als de flitskast de andere kant opkijkt? Zeg je nee als je aannemer aanbiedt die klus voor minder, maar dan zwart te doen? Tuurlijk niet. Onze leiders doen het immers ook niet. Het zal tientallen jaren duren om deze schade te herstellen, als het al ooit lukt.

Zo werkt het ook in commerciële organisaties. Enige jaren geleden vroeg mijn toenmalige werkgever een loonoffer van 20% om een faillissement te voorkomen. Veel medewerkers stemden – hoewel niet bepaald vrolijk - daarin toe. Toen vervolgens uitlekte dat tijdens dit loonoffer een aantal managers tot 40% loonstijging kregen, vanwege een interne reorganisatie, gingen de meest onkreukbare medewerkers zich ineens te buiten aan ronduit crimineel gedrag. Ik heb met eigen ogen gezien hoe een IT-auditor een laserprinter achteroverdrukte. Over de hele linie werd gesaboteerd: van de boekhouding klopte helemaal niets meer, laptops verdwenen massaal in privé-bezit en offertes kwamen niet voorbij de postkamer. Niet veel later ging het bedrijf ten onder. De enige die verbaasd is, is de curator die niet snapt hoe het kan dat zoveel facturen nooit verstuurd zijn.

Het verwarren van het begrip integriteit met informatie-integriteit in het beveiligingswoordenboek, toont hoe wij op het allerbelangrijkste issue geen grip krijgen en gevlucht zijn naar een relatief klein technisch vraagstuk. Daarbij richten we ons feitelijk op het nóg kleinere issue van de integriteit van bestanden, omdat we nog steeds niet kunnen bepalen wat data en wat informatie is. Of voor wie. Maar omdat we tooltjes hebben voor CRC checks en MD5 hashes richten we ons maar op bestandsintegriteit. Deze parade van trivialiteit toont onze onmacht in haar volle glorie. Integriteit gaat over mensen. Dat weten wij wel maar daar willen wij ons niet aan branden.

Het leggen van nadruk op persoonlijke normen en waarden in de omgang met informatie en computersystemen gaat alleen werken als de organisatie al een daadwerkelijke cultuur van integriteit heeft. Een cultuur is zeer afhankelijk van wat de meest zichtbare mensen doen: als de top legaal ‘graait’, zal de rest dat ook doen en als het niet legaal kan, dan maar illegaal. Hierbij is graaien breder dan alleen hoge salarissen en bonussen: het verplaatsen van een hoofdkantoor vanwege een privé-verhuizing of beslommeringen met belastingen geven hetzelfde signaal af. Ook binnen het beveiligingsdomein treedt overdrachtelijk graaien op: als een innovatief project het standbeeld moet worden van een bestuurder, is de neiging groot om beveiligingseisen en financiële goede gebruiken overboord te kieperen of ‘niet bindend’ te verklaren. Zie de Betuwelijn een paar jaar terug. De OV-kaart nu. De Belle van Zuylen toren over een paar jaar. Hetzelfde zie je ook in bedrijven, maar op wat kleinere schaal. Mensen zien hun eigen organisatie of omgeving niet meer als waardevol, en handelen daarnaar. Het resultaat is vernietigend.

Het enige dat de situatie bij falende integriteit in de top enigszins binnen de perken lijkt te houden is een oneindige reeks controlemiddelen en een ongelimiteerd budget voor beveiliging. Deze aanpak wordt ook toegepast op de hele samenleving, zoals we de laatste jaren zien. Wat dus wel weer prettig is voor ons: kom in de Security werken – er komt steeds meer werk bij. Maar de aanpak van beveiliging ter compensatie van bestuurlijke misstanden werkt niet, dus je moet niet al te resultaatgericht zijn. Een beetje cynisme helpt je wel de dag door te komen.

We realiseren ons als IT-beveiligers onvoldoende dat interne incidenten zich niet kaderen langs de lijnen van de bevoegdheden en afdelingen: het doorspelen van de gehele klantenlijst aan de concurrentie om te narren is voor de dader van vergelijkbare aard als maandverband proppen in het directietoilet. Daarom past het integriteitvraagstuk niet onder de kaasstolp van het IT-feestje. Nemen we ons werk serieus, dan moeten we ons hierdoor niet laten weerhouden. Veiligheid is een integraal verhaal en integriteit is ondeelbaar. Zo moeten we het ook aanpakken. Zo lang we echter de aanstichters van de problemen buiten schot laten als ze toevallig bestuursvoorzitter of business unit manager zijn en de oorzaak zich buiten het IT domein afspeelt, moeten we onszelf niet zo serieus nemen. De doofpot van de één is de vrijbrief voor de rest. De regels aantrekken om te compenseren dat de top faalt, werkt niet. Integriteit kun je niet afdwingen, dat moet je vóór doen. Tegen een slecht voorbeeld is geen beveiligingsmiddel gewassen.


Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (7)
09-06-2008, 10:53 door meneer
Gelukkig zegt wikipedia niet alleen iets over integriteit
van gegevens, maar ook van mensen en (voor de volledigeheid)
zelfs van databases:
http://nl.wikipedia.org/wiki/Integriteit.

En verder heeft Peter helemaal gelijk, de meeste lekken
zitten aan de binnenkant.
09-06-2008, 11:05 door Anoniem
Jammer.
Er is namelijk geeen onontdekte verwarring van persoonlijke
integriteit en data-integriteit. Die twee zijn altijd al uit
elkaar gehouden, maar juist door (column-schrijvende)
consultants eerst op een hoop gegooid om vervolgens goede
(?) sier te maken met het aangeven van onderscheid.
En wat columnist vergeet: Een terrorist kan ersoonlijk
buitengewoon integer zijn principes volgen en de boel
opblazen. Een 'executive' is buitengewoon integer als 'ie
(zij?) miljoenen uit de bedrijfskas steelt (daar komt het op
neer) -- als de persoon niet beter weet dan dat alles wat te
grijpen valt, van hem is. En dat laatste is wat de
maatschappij hem, sinds pak 'm beet JR Ewing, heeft
voorgehouden. Zo iemand is te dom om te zien dat dat niet
ethisch is ...!

Dus overigens eens met de titel van de column. Sterker nog,
als 'onderin' wordt gestolen, wordt 'bovenin' a. de
gelegenheid open gelaten, b. dat gestimuleerd (re: wiki
fraud deterrence / fraud triangle).
09-06-2008, 11:37 door Anoniem
Mijn opa was politieman in Rotterdam, hij leerde mij al
jong; "'kleintjes' stelen maar 'groten' stelen het meest".
13-06-2008, 14:17 door Anoniem
Leuk dadara visje. Heb je daar de autheur om toestemming
voor gevraagd?
13-06-2008, 18:30 door Anoniem

We realiseren ons als IT-beveiligers onvoldoende dat interne
incidenten zich niet kaderen langs de lijnen van de
bevoegdheden en afdelingen .... [/quote[

*We !?
Spreek aub voor uw eigen clubje, niet voor die die het wel
onder controle hebben.
16-06-2008, 09:44 door Mameomowskwooz
Door Anoniem
Leuk dadara visje. Heb je daar de autheur om toestemming
voor gevraagd?

Grappig dat je je dat nu pas afvraagt, (waarschijnlijk om je
als kunst-kenner te profileren...) maar ik zie op
security.nl zelden originele plaatjes. Overigens geloof ik
niet dat de auteur van een artikel hier verantwoordelijk is
voor de keuze van de begeleidende illustratie...
Hoe dat auteursrechtelijk allemaal in elkaar steekt? Ik heb
geen idee.
19-06-2008, 22:56 door Anoniem
*We !?
Spreek aub voor uw eigen clubje, niet voor die die het wel
onder controle hebben.

Tip: ga een column schrijven! Kunnen 'ze' van leren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.