De huidige inkooppraktijk van ICT valt, als het om informatiebeveiliging gaat, te typeren als te abstract en te gedetailleerd tegelijk. Abstract in de zin dat de eisen vaak neerkomen op 'het moet veilig zijn', zonder te specificeren wat daarmee wordt bedoeld. Te gedetailleerd in de zin dat de eisen even vaak hele specifieke maatregelen voorschrijven, zonder dat er wordt nagedacht over de vraag of die maatregelen wel het hele probleem afdekken.

Denk bijvoorbeeld maar aan het voorschrijven van (specifieke) virusscanners en firewalls, terwijl dit niet altijd een relevante maatregel is, en al helemaal geen volledige. Al jarenlang daalt de detectiegraad van virusscanners en zijn firewalls vaker suboptimaal ingericht dan goed. Daardoor zijn dit ontoereikende middelen voor de informatiebeveiliging. Daar komt nog bij dat informatiebeveiliging (vrij naar Loesje) een richting en geen punt is. Juist vanwege dit gebrek aan best practices is dit dan ook een opiniestuk, het geeft weer wat de auteurs denken wat er zou moeten gebeuren, niet wat er al gebeurt.

Verantwoordelijkheid kan niet worden uitbesteed

Allereerst de verantwoordelijkheden: zeker als het gaat om persoonsgegevens blijft de opdrachtgever altijd verantwoordelijk voor de informatiebeveiliging, ook al heeft de opdrachtgever hier misschien helemaal geen verstand van. Deze wettelijke fictie uit de Wet bescherming persoonsgegevens is afgeleid van een Europese richtlijn en dit speelt dus in vrijwel heel Europa. De consequentie is dat de verantwoordelijkheid niet kan worden uitbesteed. Maar de vraag is of een opdrachtgever wel verstand moet willen krijgen van informatiebeveiliging.

Wij vinden dat te weinig opdrachtgevers zich realiseren dat hun informatiestromen onderdeel van hun kernactiviteit zijn. Zeker in de publieke sector is een attitudeverandering gewenst. Kerntaak van de overheid is publieke besluitvorming. Enerzijds algemeen in de vorm van wet- en regelgeving, anderzijds specifiek in de vorm van beschikkingen op vergunningaanvragen, subsidieaanvragen etc.

Ook voor de financiële sector geldt dat informatie over het algemeen de primaire grondstof voor de organisatie is. Daar komt nog bij dat geld zelf informatie is en veelal gevirtualiseerd is. Maar in die bedrijfstak is het beveiligingsbewustzijn hoog en beschouwt men de IT als iets wat ook aandacht op bestuurlijk niveau verdient. Binnen de Nederlandse overheid is die houding zeldzaam en ziet men IT als een bedrijfsvoeringsprobleem, geen bestuurlijk probleem.

Controle op alle niveau's

Het voorgaande neemt niet weg dat voor heel veel organisaties geldt dat ze het niet zelf moeten kunnen of willen. En hoe ga je in vredesnaam iets inkopen waar je nooit verstand van gaat krijgen? Je kunt namelijk niet controleren of het 'wel goed' zit. Je kunt het wel laten controleren, maar zoals de Diginotar-affaire laat zien is de ene audit de andere niet. Een mantra zou moeten zijn: controleren op ieder niveau. Dus niet alleen op procedureel niveau, maar ook op technisch en feitelijk niveau. En om te kunnen controleren moet dit vooraf gecommuniceerd worden aan een leverancier, bijvoorbeeld een webhoster.

Daarbij is het ook nog zaak om in de gaten te houden wie goed is in welke controle. Een controle op procedures kan prima aan EDP-auditors overgelaten worden. De gemiddelde EDP-auditor heeft echter een bedrijfseconomische of bedrijfskundige achtergrond en mist vaak de technische achtergrond om kritisch door te kunnen vragen over de techniek. Dus dat goedkeurende stempel van een EDP-auditor is waardevol, tot op een zeker niveau.

Daarna is het toch beter om er een (white hat) hacker op te zetten om te kijken hoe de praktijk er uit ziet. En bij de aanschaf van grote systemen is een audit van de broncode evenmin een overbodige luxe. Het verdient dan ook aanbeveling om in de tenderdocumenten hier al om te vragen. Onze ervaring is dat hoe panischer een leverancier over zijn broncode doet, hoe slechter het er mee gesteld is. Ook al wordt er vaak met bedrijfsgeheimen, know-how geschermd in de discussie, vaak blijkt het, als puntje bij paaltje komt, spaghetti te zijn.

Transparantie en flexibiliteit

Audits zijn kostbaar en bieden slechts momentopnamen. In de tussentijd zijn twee factoren waarop een leverancier prima aangestuurd kan worden vaak indicatief voor hoe goed het gesteld is met de veiligheid: transparantie en flexibiliteit. Transparantie in de zin dat de afnemende organisatie geïnformeerd wordt als zich een beveiligingsprobleem voordoet. Dit even los van de in de toekomst te voorziene meldplicht voor datalekken. De DigiNotar-affaire is in dit opzicht illustratief: de nalatigheid van DigiNotar om haar klanten tijdig in te lichten was een belangrijke bron van de operationele problemen.

Transparantie is overigens nadrukkelijk tweerichtingsverkeer. Als de opdrachtgever niet duidelijk is met wat voor data er gewerkt wordt, dan moet hij er niet vreemd van opkijken als de leverancier mogelijk tekortschiet qua beveiliging. Zo maakte een SaaS-leverancier van een DMS mee dat een huisartsenpraktijk patientendossiers bijhield met behulp van zijn dienst. Terwijl die dienst daar qua beveiliging absoluut niet op was ingericht. Deze leverancier heeft dan ook afscheid genomen van die klant, maar het was puur toeval dat hij er achterkwam.

Flexibiliteit in de zin dat het belangrijk is om te reageren op voortgeschreden inzichten op het gebied van de beveiliging, minstens zo belangrijk als preventie van problemen. Voorkomen is beter dan genezen, maar beveiligingsproblemen van gisteren hebben slechts een beperkte voorspellende waarde voor die van morgen. Het niet kunnen invoeren van veiligheidsupdates omdat de daarvoor noodzakelijke aanpassingen in de bedrijfstoepassingen nog niet gereed zijn is steeds minder acceptabel aan het worden. In die zin is de houding van veel leveranciers van branchespecfieke toepassingen, waarbij er geen minimumaantal nieuwe versies van de software in de onderhoudscontracten vermeld wordt, waarschijnlijk nu al niet meer van deze tijd.

Interesse in veiligheid

Met name bij de inkoop van exploitatiediensten zoals hostingdiensten kan het aanbevelenswaardig zijn om specifiek monitoringdiensten op dit terrein aan te schaffen. En dan bedoelen wij zowel monitoring van (bekende) aanvallen van buitenaf, maar ook op ongebruikelijke transactievolumes.

Om een voorbeeld te noemen: het uitlekken van het Israelische bevolkingsregister was waarschijnlijk eerder gedetecteerd als men in de gaten had gehouden hoeveel bevragingen plaatsvonden. In dit kader past ook het vragen om logging van geautoriseerde transacties én het in de gaten houden van deze logbestanden. Dit is dus een typisch onderwerp dat op de agenda van vaste overleggen over SLA's (als die er zijn ternminste) kan figureren.

En dan gaan wij er nog vanuit dat de afnemer werkelijk geïnteresseerd is in veilige systemen. In de huidige markt is een leverancier die werkelijk werk maakt van beveiliging namelijk veroordeeld tot niches. Beveiliging kost geld en levert zelden een concurrentievoordeel op, want de opdrachtgevers vragen er niet genoeg en zeker niet goed genoeg naar. Nog even los van de vraag of er genoeg mensen met kennis van zaken in de Nederlandse ICT rondlopen, wat wij betwijfelen.

Paardenstaartparadox

Ten slotte moeten we niet de illusie koesteren dat alle problemen worden opgelost met een mooi contract en een heldere SLA. Al was het maar vanwege de paardestaartenparadox die in IT-land lijkt te heersen: hoe beter een organisatie in formele zin werkt, hoe slechter het met de kwaliteit van de techniek is gesteld. En omgekeerd, hoe meer lieden met paardenstaarten en zwarte t-shirts met stukken programmacode de dienst uit lijken te maken, hoe slechter het is gesteld met de vastlegging van afspraken en procedures.

Terwijl beide nodig zijn om een goede informatiebeveiliging te hebben. Een ander vraagstuk dat bij inkoop van IT nooit aan de orde (kan) komen is of we wel alles moeten automatiseren. Denk aan de discussie rond de stemcomputers, die eigenlijk als schoolvoorbeeld kunnen figureren van waar een gebrek aan transparantie toe kan leiden. En zelfs als we een proces automatiseren blijft de al eerder genoemde vraag overeind of het ook wel uitbesteed moet worden. Niet zelden is een besluit om tot uitbesteding over te gaan ingegeven door een gebrek aan grip op de eigen IT-organisatie. Waarbij de illusie gekoesterd wordt dat die grip wel zal ontstaan als het om een externe leverancier gaat.

Zeker als het om pure infrastructuur gaat kan dat desondanks een goed besluit zijn, infrastructuur wordt steeds generieker. Dat neemt niet weg dat de pijn nu meestal in bedrijfsapplicaties zit. En dan gaat die grip (en de veiligheid) er zeker niet komen, want dat veronderstelt een volwassen omgang tussen bedrijf en haar IT. En die ontbreekt meestal.

Mr. drs.Walter van Holst is senior juridisch adviseur bij Mitopics en Rik van Wijk MSc is informatiemanager Faculteit Natuur & Techniek bij de Hogeschool Utrecht