Producenten van hard- en software willen uiteraard laten zien dat hun systemen veilig zijn en dat er bij gebruik geen mogelijkheden zijn om gegevens te onderscheppen, via voordeur, noch via de achterdeur. Waar moeten beslissers op letten als zij veiligheid voor hun bedrijfsgegevens nastreven.
Security, het is en blijft een onderwerp dat de gemoederen bezig blijft houden. Aan de ene kant dringen beleidsmakers aan op strengere wetgeving die meer vrijheden biedt aan opsporingsinstanties om netwerkverkeer te monitoren of zelfs computers te hacken, om hiermee mogelijk terroristische aanvallen te voorkomen. Een groot deel van het bedrijfsleven heeft er echter belang bij dat er geen bedrijfsgeheimen uitlekken (zie hier de paradox: recent kregen organisaties te maken met strengere wetgeving op het gebied beveiliging van data; de meldplicht datalekken). Ook hebben organisaties steeds vaker te maken met kwaadwillenden die inbreken op hun systemen om op deze manier de bedrijfsvoering plat te leggen.
Kopers in het ongewisse
Beslissers in organisaties staan voor een bijna onmogelijke opgave. Want wanneer weet je nu zeker dat je kiest voor een oplossing die 100 procent veilig is? Eind vorig jaar raakte een grote leverancier van netwerkoplossingen in opspraak toen in hun producten sprake bleek van ‘ongeautoriseerde code’ waardoor systemen van gebruikers kwetsbaar waren voor het afluisteren van netwerkverkeer en het omzeilen van authenticatie. Het zorgde voor veel onrust bij gebruikers van deze software.
Medio januari 2016 werd duidelijk dat het bij een andere leverancier van firewalls jarenlang mogelijk was om heimelijk beheerderstoegang te verkrijgen tot de firewall, met potentieel zeer ernstige gevolgen.
Veiligheid aan de voor- en achterdeur
Producenten van hard- en software willen uiteraard laten zien dat hun systemen veilig zijn en dat er bij gebruik geen mogelijkheden zijn om gegevens te onderscheppen, via voordeur, noch via de achterdeur.
Reuzen in de it-wereld, zoals Apple, Google en Microsoft waarschuwen al geruime tijd dat het toelaten van verplichte backdoors juist een uitnodiging vormen voor cybercriminelen. Tim Cook (cto Apple) stelde eind 2015 tijdens een interview bij 60Minutes dat verplichte backdoors er juist voor zullen zorgen dat kwaadwillenden hier het grootste voordeel van hebben, en nog legaal ook.
Het is duidelijk dat het voor organisaties van levensbelang is dat zij hun systemen kunnen beschermen tegen aanvallen van buitenaf. In landen als de Verenigde Staten en het Verenigd Koninkrijk staat bestrijding van terrorisme echter hoog op de agenda. De publieke opinie telt zwaar en wetgevers zien de oplossing in wetsvoorstellen die zogenaamde backdoors verplicht stellen.
Er bestaat al wetgeving die Amerikaanse fabrikanten verplicht stelt om telecom-netwerkapparatuur open te stellen voor de bevoegde opsporingsinstanties. Deze wetgeving onder de naam Calea (Communications assistance for law enforcement act), stelt dat deze instanties elektronisch toezicht mogen uitoefenen. Ze eisen dat fabrikanten van telecommunicatieapparatuur hun ontwerp, faciliteiten en diensten zodanig aanpassen dat monitoring van internet data- en telefoonverkeer van buitenaf mogelijk is.
Pleidooi
Destructief voor de concurrentiepositie van het bedrijfsleven, vinden veel organisaties. In mei 2015 zorgde dit voor massale opstand in de VS van een grote groep maatschappelijke organisaties; producten van hard- en software en veiligheidsexperts. In een gezamenlijke brief riepen zij president Obama op elk wetsvoorstel af te wijzen waarmee organisaties de veiligheid van hun producten af moeten zwakken. In de brief hielden de schrijvers een pleidooi voor het belang van encryptie. Niet alleen voor de veiligheid van it-systemen, maar ook als absolute voorwaarde voor economische groei en zelfs mensenrechten over de hele wereld. De oproep oogstte resultaat. Ondanks bezwaar vanuit Justitiële handhavers heeft de Amerikaanse overheid inmiddels afgezien van specifieke pro-backdoors wetgeving. De Calea-wetgeving blijft echter nog steeds van toepassing.
Niet overtuigd
In Groot-Brittannië is het onderwerp nog niet van tafel. De regering stelt dat aanslagen vanuit terroristisch oogpunt backdoors legitimeren en het kunnen onderscheppen van informatie voordat een incident plaatsvindt vitaal en gerechtvaardigd is. Toch werd de stelling van premier Cameron dat de wereld veiliger wordt met mogelijkheden om via backdoors toegang tot gegevens te krijgen met gehoon en onbegrip vanuit de it-industrie en het bedrijfsleven ontvangen.
De Nederlandse overheid nam begin januari 2016, in navolging van Brazilië, formeel positie in tegen backdoors in encryptie en andere veiligheidsproducten. Zo lang er geen wereldwijde verdragen op dit vlak worden gesloten blijft een echte oplossing ver weg. Blijft de vraag wat je als organisatie kunt doen om je systemen zo goed mogelijk te beschermen. Omdat overheidsbetrokkenheid niet compleet uitgesloten kan worden gaan IT-beslissers bij de aankoop van technologie af op hun gevoel. Zij doen er echter slim aan zaken te doen met een leverancier die kan aantonen volledig gevrijwaard te zijn van elke vorm van controle over haar producten.
Rol lokale wetgeving en transparantie
Op dit moment domineren fabrikanten van beveiligingsapparatuur uit een select aantal landen de markt. In veel van deze landen moeten zij zich conformeren aan strenge nationale wetgeving. Hierdoor bestaat de kans dat dit compromissen stelt aan de veiligheid van het bedrijfsnetwerk van gebruikers. Dit legitimeert de vraag of it-beslissers het land van herkomst van de beveiligingsapparatuur zwaarder moeten meewegen wanneer zij een selectie maken voor de apparatuur om hun netwerk te beveiligen.
Uiteraard willen organisaties zichzelf beschermen tegen elke vorm van data-onderschepping, hackers en cyberaanvallen, zowel van cybercriminelen als van overheidsinstanties. Daarom is het beste advies om gezond verstand te gebruiken en te vragen om transparantie over de ontwikkeling van technologie bij de leverancier. ‘Bij de aanschaf van een nieuw huis geef je toch ook geen setje sleutels aan de politie’, stelde Niels Pluijmen van het Zweedse Clavister, een leverancier van netwerkbeveligingsproducten, eerder in zijn blog. Bij de aanschaf van een firewall wil je natuurlijk ook niet dat ongenode gasten eenvoudig op jouw netwerk kunnen komen. Zeker niet als je hiermee het voortbestaan van je organisatie in de waagschaal legt.
