Veel Nederlandse websites onvoldoende beveiligd

Veel Nederlandse websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen en webwinkels, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd…De beveiligingsexpert (Teus Hagen) verbaast zich over de gebrekkige SSL- en TLS-beveiliging van bijvoorbeeld de websites van banken. “Het is vreemd om te zien dat Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken” (bron).

Je kunt je afvragen hoe het gesteld is met de beveiliging van websites van minder grote organisaties. Waarschijnlijk net zo erg of misschien nog wel erger. Als de grote jongens het al niet voor elkaar krijgen dan de kleintjes toch zeker niet? Een ideale wereld voor de criminelen, toch? Even wat gegevens achterhalen en we kunnen vrijelijk van alles doen en kopen op andermans naam.

We horen relatief weinig over fraudes die op deze manier gepleegd worden. De schade zal aanzienlijk zijn, maar niemand wil daarmee te koop lopen.

Het lijkt misschien gek, maar je kunt fraude voor een deel ook gewoon als geaccepteerd risico zien. Kijk maar wat er gebeurt met creditcard fraude. De schade daarvan is relatief zo klein (ik geloof nog geen 1%) dat het nemen van echt goede maatregelen daar niet tegenop weegt. De absolute getallen mogen dan hoog zijn en het is enorm lullig als het jou als individu treft, maar voor de organisatie is het gewoon een business beslissing.

Toch kun je je afvragen of een goed beveiligde verbinding nu zo enorm prijzig is. Dat denk ik dan weer niet, zeker niet voor de grote organisaties. Aan de kosten kan het volgens mij niet liggen. Waar ligt het dan wel aan? Aan de kennis van de interne beveiligingsmedewerkers? Nou vast niet, deze organisaties hebben genoeg knappe koppen in dienst om een dergelijk probleem aan te kunnen pakken. Nee, ik persoonlijk denk dat het ligt aan het bewustzijn binnen de organisatie.

Met name het bewustzijn bij het top management moeten we de komende jaren maar eens op gaan pakken. En nee, ik geef zeker het top management niet de schuld. Uiteindelijk ligt het toch bij ons als beveiligingsexperts. Wij zijn onvoldoende in staat om het management de goede dingen te vertellen.

We denken nog te vaak dat het top management geïnteresseerd is in allerlei technische maatregelen, zoals een beveiligde verbinding. Nou geloof me, dat zijn ze niet. In enkele organisaties zie je al dat we gaan denken in operationele risico’s, zoals fraude, inbraak en men in the middle attacks. Maar ook daar is het top management niet echt in geïnteresseerd. Nee, we moeten leren praten in termen als omzet en kosten. Het management gaat het om hun (of hun aandeelhouders) return on investment.

Willen we dit soort dreigingen aanpakken, dan zullen we dus met een goede business case moeten komen waarin we de kosten en baten inzichtelijk maken. Als het ons lukt om de beveiligingskosten lager te houden dan de omzetderving dan is er geen manager die niet zijn akkoord geeft.

Kortom: we staan als beveiligers voor een uitdaging, namelijk het denken in business cases waarin de kosten en baten duidelijk zijn. Als een manager € 1.000 moet investeren om € 10.000 te kunnen besparen en hij doet dat niet dan is het een slechte manager.