Ik heb al eens geschreven over de ethiek van ons werk. Er is een zaak die ik toen niet genoemd heb, maar die nu zeer actueel is. Daarom, vandaag nog eens over ethiek.
Stel, je bent betrokken bij de bouw van één van de nieuwe allesomvattende systemen. Zoals de OV-kaart, het EPD, het EKD, het GBA of het nieuwe paspoort, dat doet er even niet toe. Een systeem dat als er iets misgaat, tot zeer grote problemen kan leiden. Niet voor een bedrijf alleen, maar voor de hele samenleving. Noem het een maatschappelijk kritisch systeem. Je ziet dat het systeem in aanbouw grote beveiligingsgaten bevat. Denk aan: de applicatie draait onder een admin account met onveranderbaar wachtwoord, of is afhankelijk van een anonieme Windows share. Of hangt aan de achterkant met onbeveiligde mail aan elkaar. Zoiets. Een situatie die dus absoluut zwak is, maar niet zonder ingrijpende veranderingen en inspanning rechtgezet kan worden.
Dat levert vertraging en meerkosten op. Het management wil echter koste wat kost opleveren. Tijdig opleveren is immers absoluut noodzakelijk – het gevoel van urgentie van de business case is goed overgekomen; het is een onmisbaar systeem. Zeker voor de carrièreperspectieven van bepaalde personen.
Omdat het systeem door meerdere partijen gebouwd en beheerd gaat worden, is het bovendien de vraag van wie het beveiligingsprobleem nu eigenlijk is. Omdat er geen use case is, komt het defect bovendien niet voor in de testbevindingen, dus formeel is er helemaal geen probleem.
Je voorziet dat de formele checks and balances niet gaan werken. Net als in de financiële sector zijn tientallen mensen bezig om dingen voor een enkele controleur met beperkte tijd en middelen onzichtbaar te maken. Bij veel systemen boeit dat nauwelijks, omdat het geheel toch wel stevig is, of omdat een aanval zeer onwaarschijnlijk is. Voor een goede techneut is er altijd wat te verbeteren, dus in genoeg gevallen hoef je je niet druk te maken. Maar bij maatschappelijk kritische systemen is het soms onvermijdelijk.
Nu kun je lekken naar de pers en gegeven de mogelijke consequenties zullen zeer weinigen dat doen. Plus dat de meeste pers niet geëquipeerd is om dit soort berichten fatsoenlijk in te schatten; je krijgt al gauw een soort schandaal- of hype-pers of er wordt bij de meer serieuze pers niets geplaatst, bij gebrek aan inhoudelijke kennis en afwezigheid van weerwoord. Als je dit meemaakt, is dat best frustrerend. Je bent al gebonden aan allerlei vertrouwelijkheidsverklaringen en je moet rekening houden met je commerciële belang. Probeer je een keer integer te zijn en dan helpt het nog niets. Daarom dat veel mensen in de beveiliging zo cynisch worden als een Parijse taxichauffeur.
De kans is levensgroot dat de gaten onder de pet gemanaged worden. Overigens kan dat met de beste bedoelingen – het inschatten van de impact van een gat in een systeem is nu eenmaal niet eenvoudig. Projecten willen nu eenmaal op tijd klaar en binnen budget klaar zijn, ook als er feitelijk geen mogelijkheid is binnen die kaders een systeem te bouwen dat goed genoeg is. Als je dan tóch aan het projectmanagement gemeld heb wat er mis is – het laatste dat je normaliter zult doen - wordt het defect als ‘known issue’ geregistreerd. Doe je bij alle defecten, immers. Als het goed is, wordt het in de toekomst opgelost. Het beveiligingsprobleem wordt daarmee gelijk gesteld aan een knop die niet werkt.
Meestal is dit registreren van het defect het einde van het verhaal. Het wordt onderdeel van ‘het volgende increment’ of anderszins verplaatst naar een volgende fase. Zo is het project gered en het issue begraven. Dan kan de controleur er feitelijk niets mee. Het gat is een formeel geaccepteerd risico geworden, en dan wordt er niet over gerapporteerd. Terwijl het gat er dus nog steeds is, en niet gedicht wordt. Garanties over volgende releases en incrementen zijn in de regel boterzacht – één economisch crisisje en het verdwijnt in een diepe la.
Er is blijkbaar geen maximum aan het risico dat een manager formeel mag nemen. En al wordt er wel over gerapporteerd: dit soort rapporten verdrinken snel genoeg in het geheel van vertragingen en budgetoverschrijdingen. Met hetzelfde effect: er wordt niets aan gedaan.
Gehaaide managers hebben nog betere manieren. Zoals het ‘in vertrouwen’ vertellen aan alle betrokkenen wat er precies mis is; ze mogen er dus niets mee doen omdat ze dan het vertrouwen schenden.
Ook schitterend is het opleveren van een normenkader bij het systeem: wat daar niet in staat, kan niet worden niet getoetst door de auditoren – die immers niet bevoegd zijn eigen normen mee te nemen. De toch al vrijwel kansloze toezichthouder wordt hiermee misleid danwel medeplichtig gemaakt en staat effectief buitenspel.
Zodra de zwakte in het systeem erdoor gedrukt is wordt het afgedekt met het woord ‘vertrouwelijk’. Dan is het over en sluiten met de veiligheid. Zeker wanneer ‘vertrouwelijk’ de vorm aanneemt van een ‘staatsgeheim’. De burger en het parlement dat hem vertegenwoordigt heeft daarmee een enorme informatieachterstand, want nauwelijks zicht op de problematiek. Het toverwoord vertrouwelijk of staatsgeheim maakt controle effectief onmogelijk.
Zo is het overigens niet bedoeld: vertrouwelijkheid als middel om het eigen falen te maskeren kan hooguit tijdelijk gebruikt worden, mits er intussen hard gewerkt wordt aan correcties. De praktijk leert echter dat het veel gebruikt wordt in plaats van beveiliging. Geheimhouding via woorden sluit echter alleen de goedwillenden uit. Of in onze termen – Security Through Obscurity.
Het is dan ook tijd dat er voor dit soort situaties van bestuurlijk falen een soort klokkenluidersregeling komt voor de beveiliging van maatschappelijk kritische systemen. Zodat je nog iets meer kunt doen dan klagen tegen je collega’s over de projectmanager en de opdrachtgever die het probleem het liefst begraven. Een regeling die wél werkt. En dus eentje met minstens een meldpunt en een uitbreiding van het mandaat (en de capaciteit) van de toezichthouders. Uiteraard moet de melder volledig anoniem kunnen blijven en de risico’s voor het systeem – dan vaak al live – en betrokkenen geminimaliseerd. Waarmee de regeling een soort samenwerking wordt van de toezichthouders en mensen van de sectie Stiekem.
Hoe dit zich verhoudt tot de controlerende taak van pers en parlement is lastig en blijft altijd een beetje wringen, maar liever een systeem dat soms faalt dan helemaal niets. En dat is wat we nu hebben: niets.
Een goede regeling voor het luiden der klokken moet er komen. Het belang van de individuele organisatie, hoe groot ook, die haar eigen falen verstopt is altijd kleiner dan het belang van de samenleving als geheel. Dit gaat ook op voor bedrijven die blijkbaar zo verweven zijn in de samenleving dat de overheid ze nooit zal laten omvallen, zoals banken, voetbalclubs, de zorg en het openbaar vervoer. De beslissing om de goedkoopste chips te gebruiken en de regels van De Nederlandsche Bank niet van toepassing te verklaren op de OV-kaart is een goed voorbeeld van de noodzaak van een goede regeling: de beveiliging ging overboord uit politieke overwegingen, maar Translink en chipleverancier NXP worden erop aangekeken. Ten onrechte.
Zodra blijkt dat een veiligheidsprobleem bewust weggemoffeld of erger nog, gecreëerd is, moet de verantwoordelijke opperbaas (overdrachtelijk) hangen aan de hoogste boom. Dit geldt overigens net zo hard voor pure incompetentie; als je een gevoelig systeem laat bouwen kan een excuus als ‘het is een gerenommeerde partij’ of ‘ik heb het aan de specialisten overgelaten’ écht niet. Geen enkele leverancier is zó goed.
Daarom is nu net dat systeem van inhoudelijke controles en inhoudelijke controleurs nodig. Dit systeem is in de huidige vorm erg zwak en laat zich zonder problemen manipuleren; het werkt in opdracht van de hoofdleverancier en heeft nauwelijks ruimte om te manouvreren.
De ontbrekende sluitsteen is bestuurdersaansprakelijkheid via de rechter – ook voor de politiek. Dit om te voorkomen dat de sorrycultuur toeslaat en de bestuurlijke verantwoordelijkheid wordt geofferd op het altaar van het coalitiebelang. Veiligheid is té belangrijk om over te laten aan politici.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.