Security is geen bijzaak: het is een vak én een plicht

Security is een vak

De afgelopen weken lijkt er geen dag voorbij te gaan zonder nieuws over gehackte databases, gegijzelde systemen of grootschalige digitale inbraken. Overheden, bedrijven, ziekenhuizen, universiteiten – niemand lijkt veilig. Maar bij al die incidenten valt me steeds hetzelfde op: security wordt nog te vaak gezien als een technische aanvulling op informatiemanagement of digitalisering. Een handige extra laag, een softwarepakket, een protocol. Terwijl het dat níet is. Security is een vak. Een discipline met een eigen manier van denken, die helemaal aan de basis moet liggen van elk ontwerp – of het nu gaat om een fysiek of een digitaal systeem.

En er is nog iets wat we vaak vergeten: veiligheid is óók een bestuurlijke verantwoordelijkheid. Als een systeem faalt en burgers schade oplopen, mag die verantwoordelijkheid niet zomaar verdampen in de anonimiteit van een ‘organisatie’. Veiligheid moet altijd terug te voeren zijn op mensen met naam en toenaam die bereid – en zelfs verplicht – zijn daar verantwoording over af te leggen.

Veiligheid is een manier van denken

Veiligheidsdenken staat los van het medium waarin je werkt. Het maakt niet uit of het gaat om sloten en camera’s. Of om firewalls en encryptie. Het is, net als systems engineering en kwaliteitsmanagement, vooral een denkwijze: in het ene geval denk je in technische of kwaliteitssystemen, in het andere in risico’s en gevaren. In beide vakgebieden speelt ‘compartimentering’ een hoofdrol. Hoe zijn onderdelen met elkaar verbonden of juist losgekoppeld? Kunnen ze elkaar beïnvloeden? En wat gebeurt er als een onderdeel faalt? Kunnen er oncontroleerbare kettingreacties optreden? Is het te testen?

In veiligheidsdenken is het scheiden van subsystemen geen luxe, maar een kernparameter van het ontwerp. Zonder die manier van denken, bouw je altijd kwetsbare systemen. En hier ligt een belangrijke bestuurlijke dimensie: wie een systeem laat bouwen of beheren, draagt ook de eindverantwoordelijkheid voor de veiligheid ervan. Dat geldt voor de ontwerper maar net zo goed voor een CEO als voor een minister.

De zwarte doos en het leren van fouten

Een van de mooiste voorbeelden van die denkwijze komt uit de luchtvaart. Na elk vliegtuigongeluk wordt de zwarte doos uitgelezen om te reconstrueren wat er precies gebeurde. Vaak blijkt dat het ongeluk het resultaat was van een reeks toevallige omstandigheden waar de ontwerper nooit rekening mee had gehouden. Door deze reconstructies en conclusies verplicht met alle ontwerpers en fabrikanten te delen, leert de hele sector van elk incident.

Dat is waarom vliegen tegenwoordig een van de veiligste vormen van transport is: niet omdat er nooit fouten worden gemaakt, maar omdat er openheid is over fouten en kettingreacties. En als een toestel neerstort, is naast de cockpit ook het bestuur van de vliegtuigbouwer en luchtvaartmaatschappij verantwoordelijk. Dat persoonlijke verantwoordelijkheidsgevoel is in veel sectoren verdwenen – en in de digitale wereld bijna afwezig.

Waarom digitaal zoveel lastiger is

Fysieke systemen kun je zien, aanraken en je er een voorstelling van maken. Digitale systemen bestaan voor het oog niet; ze zijn abstract, complex en grotendeels onzichtbaar. Dat maakt ze lastiger te begrijpen en dus ook lastiger te beveiligen. Juist daarom is het digitale veiligheidsvak exponentieel moeilijker. Het vraagt dat de kern van elk ontwerp veilig is – vanaf de eerste schets. Elk nieuw onderdeel moet voldoen aan die veiligheidsbasis, of het nu een module, een koppeling of een interface is.

En het vraagt bestuurders die begrijpen wat deze complexiteit – en dus deze verantwoordelijkheid – betekent. Niet wegkijken omdat “de ICT-afdeling” het wel regelt, maar actief en inhoudelijk betrokken zijn bij ontwerpkeuzen, risicoanalyses en maatregelen. Veiligheid is niet te delegeren zonder toezicht – net zoals een kapitein nooit kan zeggen dat hij niet wist wat er in zijn machinekamer gebeurde.

Security is onhandig – en dat is maar goed ook

Een veilig systeem is zelden het makkelijkste systeem. Het is belast met maatregelen die gebruikers soms lastig of omslachtig vinden. Strikte compartimentering, het vier-ogen-principe, alles achter slot en grendel achterlaten, bestanden die alleen herkenbaar zijn via betekenisloze nummers – allemaal voorbeelden van maatregelen die in de dagelijkse praktijk als hinderlijk worden ervaren. Maar veiligheid vraagt discipline. En discipline is nu eenmaal niet altijd comfortabel.

Bestuurders moeten dat ongemak niet zien als een belemmering, maar als een toevertrouwde verantwoordelijkheid en dus een investering in vertrouwen. Dat vraagt integere en vakbekwame bestuurders en politici. Zonder dat wint te vaak gemak het van veiligheid – met rampzalige gevolgen en snel verdampende verantwoordelijkheden.

Oude lessen, nieuwe context

In de fysieke beveiliging werkten we decennia geleden al met methoden en technieken als datamasking, pseudonimisering en anonimisering van persoons-, gebouw- en toegangsgegevens. We koppelden bestanden via betekenisloze nummers en bewaarden data gescheiden. Het werkte uitstekend, lang voor de digitale revolutie.

Diezelfde principes kunnen ook in digitale systemen worden toegepast – en vaak veel efficiënter zelfs – maar ze vragen een organisatie die de discipline heeft om dat consequent te doen. Hier faalt het vaak niet op techniek, maar op leiderschap: wie aan het roer staat, moet deze discipline en vakkennis eisen, handhaven én zelf naleven.

Veiligheidsdenken als vak én verantwoordelijkheid

Juist daarom moet veiligheidsdenken als zelfstandig vak veel breder worden onderwezen. Niet alleen aan informatici of engineers, maar in iedere discipline waar systemen worden ontworpen, gebouwd of bestuurd. Zelf werk ik met DigiCorp Labs vanuit de campus van The Hague Security Delta in Den Haag – een broedplaats van bedrijven, van gevestigde spelers tot starters, die allemaal de ‘geest van veiligheid’ delen. De Security Delta is twaalf jaar geleden opgericht en past perfect in de stad van vrede en veiligheid. Hier zien we dagelijks hoe digitale veiligheid steeds belangrijker wordt in onze digitaal steeds onvriendelijker wereld.

We leven in een digitaal vijandige, soms zelfs oorlogszuchtige wereld. Dat vraagt een manier van denken die soms bijna militair is. De vriendelijke belofte van digitalisering heeft plaatsgemaakt voor een harde realiteit van digitale spionage, afpersing en sabotage. Daarbij kunnen we de verantwoordelijkheid voor veiligheid niet langer alleen bij de CISO neerleggen. Veiligheid is een boardroom-zaak.

Als een vliegtuig verongelukt, is de directie verantwoordelijk, niet alleen de ontwerpers. Zo zou het ook in de digitale wereld moeten zijn. Bestuurders en politici moeten weten wat de risico’s zijn, begrijpen welke maatregelen nodig zijn en persoonlijk bereid zijn daar verantwoording over af te leggen. Niet als abstracte ‘organisatie’, maar als mensen met naam en toenaam.

De kern blijft hetzelfde

De recente gijzelingen van medische data laten zien wat er op het spel staat. Slachtoffers dragen het verlies van hun privacy en veiligheid hun hele leven met zich mee. Dat vraagt om meer dan technische oplossingen: het vraagt om leiders die zich persoonlijk verantwoordelijk voelen voor het beschermen van de gegevens die burgers hun in goed vertrouwen hebben toevertrouwd.

Of het nu gaat om een toegangsdeur van een kantoorpand of een database vol persoonsgegevens, de principes zijn identiek. Compartimenteren, discipline, en bovenal: ontwerpen vanuit het idee dat veiligheid geen optie is, maar een uitgangspunt. Veiligheid is geen plug-in. Het is geen afdeling die achteraf mag ‘meedenken’. Het is een vak – en een belofte. Een belofte waarvoor iemand altijd persoonlijk verantwoordelijk moet zijn.

Door: Hans Timmerman (foto)