Waar staan we tegenwoordig met onze security en doet de private sector het nu echt zo veel beter dan de bedrijven? Op het tweede debat in het Computable Cafe discussieert onze hoofdredacteur William Visterin hierover met Jan Guldentops (BA Security), Eddy Willems (G Data), Jean-Pierre Bernaerts van Beltug en Lars Putteneers van Sophos.
De debaters zijn goed vertrouwd met zowel de publieke als de private sector. Zien zij daar verschillen? Die blijken er wel te zijn, zo blijkt. ‘De theorie is dat van de publieke sector met lokale standaarden en codes van informatieveiligheid’, zegt Jan Guldentops. ‘De praktijk is echter dat geld en middelen die theorie weleens voor de voeten lopen. Ik zie intercommunales met twintig besturen die een veiligheidsconsulent hebben die op een paar jaar tijd enkel een veiligheidspolicy van de bibliotheek afleverde.’
Eddy Willems is het daar grotendeels mee eens. ‘Ik zit 25 jaar in het vak’, zegt hij. ‘En er is wel evolutie in de goede richting. Waar de publieke sector inderdaad wel achterloopt, zijn de beschikbare budgetten.‘
Logische vraag daarbij: komt de veiligheid daarmee in het gedrang?
‘Dat is moeilijk te zeggen’, reageert Willems. ‘Er is weinig informatie over en er zijn geen statistieken over voorhanden.‘
‘Ik zie veel papieren tijgers’, aldus Guldentops. ‘De veiligheidsconsultent moet op papier vier uur per week zijn ding doen, maar komt in de praktijk maar twee keer per maand opdagen. Wat wel zo is: die budgetten zijn nog niet helemaal op punt, maar er is al wel een budget. Dat kon je tien jaar geleden niet zeggen.’
Lars Putteneers ziet nog een verschil. ‘De papieren administratie bij overheden en bedrijven is heel anders. Besturen moeten zich houden aan lastenboeken, wetten rond aanbestedingen en noem maar op. Daardoor is de reactiesnelheid wel lager.’
Niet alleen tussen bedrijven en overheden zijn verschillen, ook tussen grote en kleine ondernemingen zijn die er. ‘In een groot bedrijf is het vaak niet de ceo zelf die slachtoffer is van een phishing-mail’, zegt Putteneers. ‘Maar wel de medewerkers. En dan is vaak de reactie: die is dom geweest. In een kmo is de kans veel groter dat ook de ceo die mail heeft gehad. En dan wordt de betrokkenheid bij het probleem meteen veel groter.’
‘Het management is doorslaggevend’, zegt Guldentops. ‘Zoals ik altijd zeg: vis rot vanaf de kop. Nu goed, een kmo met een zaakvoerder die zich bewust is van de problemen, is nog altijd een betere situatie dan een groot bedrijf met een ceo die van niks weet.’
‘Er blijft toch een belangrijk verschil tussen kmo’s en corporates’, zegt Willems. ‘Kmo’s lopen sowieso achter met mankracht, budget, power en dat blijft een probleem.’
GDPR voor beginners
Over naar GDPR dan. Wat is daar de impact op veiligheid?
‘Die impact is er zeker. GDPR gaat over de beveiliging van persoonlijke gegevens en de aangifteplicht’, zegt Jean-Pierre Bernaerts. ‘De security moet daarin gewoonweg volgen. Veel bedrijven zijn er ook wel mee bezig, er zijn hopen seminaries, maar we zijn er toch nog niet qua awareness.’
Een van de vele vragen waar bedrijven nog mee worstelen is: hoe beginnen ze aan GDPR? Wat is het startpunt?
‘Als je als groot bedrijf nu nog moet starten, heb je een probleem’, lacht Bernaerts. ‘Maar het absolute startpunt is natuurlijk: waar zitten je gegevens en waar gaan die over? En dat zowel digitaal als op papier. Die moet je inventariseren en classificeren.’
Zit Indaver, het bedrijf waar Bernaerts werkt, hiermee klaar? ‘Wij hebben een werkgroep met it, legal en HR opgericht’, zegt hij. ‘Het plan is er dus, maar er zullen ongetwijfeld ook verrassingen opduiken. Wat wel duidelijk is: dit is niet alleen een it-verhaal. Heel je organisatie wordt hierdoor geimpacteerd.’
Lars Putteneers vindt dat it toch een drijvende kracht is in heel het verhaal. ‘Het is it dat de tools levert voor de compliancy’, zegt hij. ‘Buiten die inventarisatie moeten bedrijven trouwens ook oog hebben voor de ins en outs van hun data: wat krijg ik binnen en wat gaat buiten? Ook een webshop met twee man krijgt heel veel klantendata binnen. En dan speelt GDPR.’
Ook al stijgt de awareness, er blijven daarnaast ook nog praktische problemen, zegt Eddy Willems. ‘Neem de aangifteplicht. Ik heb vijf minuten moeten zoeken op de site van de privacycommissie hoe ik dat moet doen. Dat soort zaken moeten nog beter.’
Oppassen voor IoT
Tot slot: welke trends zien onze debaters opduiken? Jan Guldentops kan een lachje nauwelijks onderdrukken. ‘Ik geef al twintig jaar presentaties over security en op twee na zijn al mijn slides nog net hetzelfde’, zegt hij. ‘De basis is eigenlijk niet veranderd. Ook GDPR is niks nieuws. Alleen is er nu een stok om een en ander af te dwingen.’
Eddy Willems knikt. ‘Ransomware, waar nu iedereen het over heeft, bestond in 1989 ook al. Wat wel een enorm probleem gaat worden, is Internet of Things. Daarvoor zie ik e-nor-me problemen. Al die geconnecteerde zaken: daar is de industrie eigenlijk totaal niet klaar voor.’
‘Het gaat allemaal in een golfbeweging’, zegt Lars Putteneers. ‘Phishing is weer aan een opmars bezig, dat is weer terug van weggeweest. Social engineering: idem. Alles komt terug en we hollen achter de feiten aan. We kunnen nu gelukkig wel beter reageren en anticiperen, door zaken als bijvoorbeeld machine learning.’
‘Dat is zo’, aldus Eddy Willems, ‘maar we moeten in ons eigen hart durven kijken. Wie klikt op die malafide links? Dat zijn wijzelf, als mensen. Wij creëren ons eigen probleem. Die menselijke factor zal je nooit kunnen uitschakelen.’
