Complexiteit van IT-beveiliging groeit
Consul specialiseert zich in brede zin in IT-beveiliging. "Veel van de investeringen gaan naar de bescherming tegen hackers, maar het is veel belangrijker te kijken naar de geld- en informatiestromen in je bedrijf, dan te kijken naar wie er aan je firewall rammelt. Als een hacker binnen is, zegt een firewall niks meer", zegt medeoprichter Gilbert Houtekamer van Consul. Afgezien van deze observatie is uit onderzoek herhaaldelijk gebleken dat het frauderen met informatiesystemen vaak een ''inside job'' is. Ook een rigide structuur van beperkingen van wat medewerkers wel en niet mogen doen, werkt niet, vindt productmanager Koos Lodewijkx. "Men heeft de neiging een hele lijst te maken van alle dingen die mensen fout kunnen doen, om die vervolgens uit te kunnen sluiten." Dat ondervangt niet de creativiteit van de fraudeur. "Je krijgt dan ook een heel complex systeem en dat zie je vaak al bij intrusion detection-systemen." De juiste manier is volgens hem te kijken naar wat er eigenlijk normaal is aan wat mensen in het bedrijf doen en daar een beveiligingsbeleid op afstemmen - en als het aan Consul ligt, wordt dat een tot op zekere hoogte geautomatiseerd beveiligingsbeleid. Signaleren Het bedrijf, dat een jaar geleden nog 11 miljoen euro aan durfkapitaal binnenhaalde, wil met zijn nieuwe softwarepakket Consul/ eAudit 4.0 laten zien welke activiteiten er op het IT-netwerk van een bedrijf of organisatie plaatsvinden. Het pakket signaleert wat er met het netwerk, besturingssystemen, bestanden en applicaties gebeurt en consolideert vervolgens die gegevens. "Het is een beetje Big Brother-achtig", verontschuldigt Lodewijkx van Consul zich. Hij toont het in een week opgebouwde logbestand van het pakket, met daarin het totaal van 22.000 ''events'', oftewel acties van uiteenlopende aard op het bedrijfsnetwerk. Een lijst van 164 ''uitzonderingen'' trekt de aandacht. Een deel daarvan blijk zijn oorsprong te hebben in het door een bepaalde persoon buiten werktijd bekijken van bepaalde bestanden. Dat soort acties kan als ongebruikelijk in het pakket geconfigureerd worden. Met een klik laat Lodewijkx vervolgens zien wat de betreffende persoon die hele week zoal heeft gedaan. Net zo snel kan getoond worden wie er verder toegang tot dezelfde bestanden hebben gezocht. Beheerder Een andere lijst met ''speciale afwijkingen'' toont onder andere een systeembeheerder die financiële gegevens heeft bewerkt. Waarschijnlijk is daarbij sprake van gewoon onderhoud. "Maar dat wil je wel minimaal even weten", zegt Lodewijkx. De ''policy generator'' in het onderdeel van de software helpt organisaties met het vastleggen van hun beveiligingsbeleid, in de vorm van acties die moeten worden ondernomen als zich bepaalde events of combinaties van events op het netwerk voordoen. De software kan desgewenst wekelijks rapporteren, maar ook voor later onderzoek kunnen alle gegevens opvraagbaar gemaakt worden. Volgens Lodewijkx is de positionering van dergelijke software ''wel wat lastig''. IT-afdelingen kunnen zich op de vingers gekeken voelen, terwijl ze wel moeten meewerken aan de installatie en goede werking van de software. Volgens professor Chris Verhoef van de VU in Amsterdam is er nog een ander punt van aandacht. "Met deze software kun je de prestaties van je medewerkers meten. Dat mag in de VS, maar niet hier." Lodewijkx daarover: "Bij de implementatie zit je met vragen over de privacy. Je moet van tevoren aan je medewerkers vertellen dat je dit doet. Je moet ook duidelijk maken wat je met de gegevens doet." Doorslaan Beveiliging is een kwestie van mensen, processen en technologie, stelt Eric Nieuwland van KPMG Information Risk Management. "De Amerikaanse aanpak is er vooral een van technologie." Maar dat algemene regelgeving om het gebruik van die technologie af te dwingen ook kan doorslaan, blijkt uit een betoog van Paul Wielaard. Als programmamanager Informatiebeveiliging van de overheidsconsultantsclub Het Expertise Centrum signaleert hij een kloof tussen de praktijk en de overdaad aan wetten die de beveiliging van overheidsinformatie moet afdwingen. "De arme lijnmanager krijgt de ene na de andere regel over zich heen. Maar hij moet daartegen juist worden afgeschermd", vindt Wielaard. Als verantwoordelijke bij het ministerie van V&W kreeg hij zelf eens bezoek van iemand van de rekenkamer, die de naleving van al die wetten en regels kwam controleren. "Ik kwam op 370 manjaren die we moesten inhuren."