Volgens XS4ALL Chief Security Officer (CSO) Scott McIntyre moet het leger zich niet met de veiligheid van het internet bemoeien. McIntyre werd door een comité van de Britse Lords ondervraagd over de kwetsbaarheid van het web voor cyberaanvallen, technisch falen en natuurrampen. De CSO merkt op dat grootschalige problemen zelden voorkomen, en in veel gevallen via "best practices" zijn te voorkomen. De internet-industrie doet volgens McIntyre voldoende om de stabiliteit van het internet te beschermen. Meer toezicht is dan ook niet nodig en zou zelfs meer kwaad dan goed doen.
Paniek
Regelmatig wijzen beleidsmakers naar de DDoS-aanvallen op Estland (2007) en Georgië (2008). Iets waar ook de Britten zich zorgen over maken, maar volgens de CSO is dat onterecht. De betrokken internetproviders waren namelijk niet met standaard internet security practices bekend, waardoor de schade veel groter was dan die had hoeven zijn.
Door de gebeurtenissen in Estland is de NAVO zich ook meer met cyberspace gaan bemoeien. Op de vraag of het leger betrokken moet worden in de bescherming van het internet is McIntyre duidelijk. "Absoluut niet." Toch adviseert het comité meer samenwerking tussen de Europese Unie en NAVO, waarbij het ook oefeningen met de Verenigde Staten aanraadt.
Wat betreft botnets moet het comité hier volgens McIntyre bewust van zijn, maar zich niet al teveel zorgen over maken. "Geen paniek", zo laat hij weten. "Overheden en de EU moeten ervoor zorgen dat de mensen in Operationele Security de ondersteuning krijgen die ze nodig hebben om hun werk te doen."
CERTS
Op de vraag of door de overheid bestuurde Computer Emergency Response Teams (CERTs) geschikt zijn voor het bestrijden van internet incidenten, is de Chief Security Officer wederom duidelijk. Die zijn daar volgens hem absoluut niet geschikt voor. CERTs zoals GOVCERT moeten zich alleen richten op de IT-infrastructuur van bepaalde overheidsinstanties. De meeste overheden hebben niet eens hun eigen IT-huishouding op orde en nationale CERTS zijn slechts één speler in een grote wereld van respons teams.
Daarom ziet hij ook geen rol voor het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). "Het toevoegen van meer lagen voor incident respons werk in de vorm van een nationale CERT vertraagt het proces alleen maar, voegt bureaucratie toe, vertroebelt incident details en leidt tot vinger wijzen."
Deze posting is gelocked. Reageren is niet meer mogelijk.