Naar aanleiding van het laatste college, waarin de netwerksamenleving volgens Manuel Castells werd besproken, stuitte ik op een artikel van Koops, van der Hof en Bekkers dat de risico's van deze netwerksamenleving uiteenzet met betrekking tot vervlochten netwerken en kwetsbare overheden, waarbij Castells regelmatig wordt geciteerd. Dit vond ik weer mooi aansluiten bij het belangrijke topic 'privacy' van vorige week. Er wordt uitgelegd dat in de netwerksamenleving sociaal-organisatorische netwerken, ICT-netwerken en allerlei fysieke netwerken en infrastructuren onlosmakelijk met elkaar zijn verbonden. Dit betekent dat een verstoring in het ene netwerk gevolgen heeft voor het functioneren van het andere netwerk. Zo nam ooit een officier van justitie 50 diskettes mee naar huis met justitiële informatie, die bij een inbraak werden gestolen. De informatie op de diskettes kwam bij de pers terecht en zorgde voor grote ophef. Een ander gegeven voorbeeld is de afschrijving van een aantal computers door de rechtbank in Den Haag, waarvan er één door een Nijmeegse studente werd gekocht. Zij trof op de harde schijf van haar computer echter nog diverse verslagen aan van politieverhoren, forensische psychiaters en correspondentie van rechters, officieren van justitie en griffiers. Volgens de leverancier had de politie het systeem onjuist gebruikt. De uiteenlopende voorbeelden in het artikel laten zien dat er een grote diversiteit bestaat aan wat er fout kan gaan en dat de gevolgen van een beveiligingsincident enorm kunnen zijn.
Vervolgens worden de belangrijkste oorzaken voor de ICT-kwetsbaarheid op een rijtje gezet:
Vervolgens worden de belangrijkste oorzaken voor de ICT-kwetsbaarheid op een rijtje gezet:
- Technologische verniewing: "Waar de systemen complexer worden, ontstaan ook meer potentiële gaten, simpelweg omdat ook de ontwerpers het geheel niet meer overzien" (Koops, van der Hof, & Bekkers, 2005).
- Interconnectiviteit en penetratie: Doordat de ICT is doorgedrongen tot in de kern van vrijwel alle menselijke activiteiten zijn de gevolgen en schade veel groter dan voorheen, wanneer er een keer iets mis gaat. Koops, van der Hof en Bekkers stellen: "De vervlechting van deze netwerken leidt ertoe dat er wereldwijde, nieuwe organisatie- en productievormen ontstaan die een 'informationele ruimte' vormen en die processen van globalisering (van het economische, sociale en culturele leven) ondersteunen". Castells spreekt hier over 'a space of flows', waarmee hij een organisatie van stromen in de vorm van een netwerk bedoelt, wat het mogelijk maakt om "sociaal handelen in de tijd op elkaar af te stemmen zodat tijd geen enkele belemmering meer oproept voor effectief sociaal handelen" (Koops, van der Hof, & Bekkers, 2005). Bepaalde plaatsen en knooppunten met uiteenlopende eigenschappen worden hierdoor met elkaar verbonden. Vooral deze knooppunten zijn kwetsbaar voor aanvallen van buitenaf (zoals terroristische aanslagen) maar ook door aanvallen van binnenuit (fraude).
- Integratie: Volgens Negroponte, die met zijn werk uit 1995 wordt aangehaald, is het proces van de digitalisering hier verantwoordelijk voor. Hij ziet digitalisering als een kwalitatieve breuk met de industriële samenleving en daarvoor aangelegde vervoersinfrastructuren. " Digitalisering zorgt voor een de-materialisering van het maatschappelijk en economische verkeer. Dit heeft vooral gevolgen voor de transporteerbaarheid en manipuleerbaarheid van kennis en informatie, hetgeen op zichzelf weer nieuwe kwetsbaarheden oproept".
- Open netwerken: Omdat de structuur van het internet zo is ingericht dat het netwerk als geheel blijft functioneren als vele onderdelen ervan zijn platgelegd, is volgens de auteurs van het artikel het internet inherent onveilig. Het feit dat van overal over de wereld krakers één bepaalde computer kunnen aanvallen, maakt dat de kwetsbaarheid van grootschalige onderling verbonden netwerken wordt versterkt.
- Hackerscultuur: Vaak gebeurt het hacken met de goede bedoeling om de beheerder te waarschuwen dat het systeem onveilig is, maar als een kraker niet precies weet wat hij doet wanneer hij is binnengedrongen kan onbedoeld grote schade worden aangericht. Tevens kan het vertrouwen in de integriteit van het systeem en de informatie onherstelbaar worden beschadigd bij een inval.
- Sluitpost: Wanneer er zich een beveiligingsincident voordoet wordt vaak alleen datgene beveiligd wat er mis ging, waardoor "de deur dan open blijft staan voor talloze andere incidenten (Koops, van der Hof, & Bekkers, 2005).
- Geheimhouding: Slachtoffers van beveiligingsincidenten proberen dit uit angst voor imagoschade meestal geheim te houden en intern af te handelen, waardoor andere organisaties zich niet kunnen wapenen tegen dezelfde zwaktes in computersystemen en netwerken. Koops, van der Hof en Bekkers (2005) stellen dat "de aangiftebereidheid bij computeraanvallen blijft nog steeds laag, waardoor een systematische aanpak van computercriminaliteit bepaald niet wordt bevorderd. Ook bevordert dit niet een cultuur van leren, over de grenzen van organisaties heen".
De volgende paragraaf bespreekt de risico's binnen organisaties, waarin ook wordt beweerd dat uit diverse onderzoeken is gebleken dat de meerderheid van beveiligingsincidenten niet wordt veroorzaakt door buitenstaanders, maar door interne medewerkers. Omdat het onmogelijk is het computersysteem voor interne medewerkers in zijn geheel af te sluiten, moeten technische maatregelen worden aangevuld met organisatorische maatregelen. Een ander aandachtspunt waar de auteurs zich op richten is de kwestie opzettelijke versus niet-opzettelijke incidenten, aangezien beide incidenten even gevaarlijk kunnen zijn. Om de gevaren van onze kwetsbare ICT-samenleving te beperken heeft de Nederlandse overheid in 2001 de nota Kwetsbaarheid Op Internet (KWINT) opgesteld, die samen met het Nationaal Continuïteitsplan Telecommunicatie (NCO-T) een betrouwbare telecommunicatie-infrastructuur zou moeten waarborgen. Volgens de auteurs is er binnen de nota KWINT echter maar weinig aandacht voor de risico's die samenhangen met de vervlechting van sociaal-organisatorische, fysieke en ICT-netwerken en infrastructuren.
Tenslotte wordt de organisatorische en technische agenda van de overheid besproken: de mogelijke maatregelen die kunnen worden getroffen. Hiervoor wordt eerst de informatiebeveiliging uiteengezet. Ik citeer: "Onder informatiebeveiliging wordt verstaan het door middel van technische, organisatorische en juridische instrumenten beveiligen van informatie(systemen) en informatiestromen in en tussen organisaties. Het doel van informatiebeveiliging is - vanuit organisatieoogpunt - het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van schade voor organisaties door het trachten te voorkomen van beveiligingsincidenten en het minimaliseren van de eventuele gevolgen (Code voor Informatiebeveiliging, 2000 in Koops, van der Hof, & Bekkers, 2005).
Bij informatiebeveiliging worden drie basisbeginselen onderscheiden:
- Beschikbaarheid ziet op het garanderen dat gegevens en diensten op de juiste momenten beschikbaar zijn voor gebruikers.
- Vertrouwelijkheid betreft het beschermen van gegevens (bijvoorbeeld bedrijfsgeheimen of persoonsgegevens) tegen onbevoegde kennisname.
- Deugdelijkheid gaat over het waarborgen van de juistheid en volledigheid van gegevens (integriteit en authenticiteit) en de correcte werking van informatiesystemen (systeemintegriteit).
De instrumenten van informatiebeveiliging vallen ook weer in drie categorieën:
- Technische middelen: inzetten van technische middelen, waaronder Secure Socket Layer, digitale handtekeningen, firewills en PIN-codes.
- Organisatorische maatregelen: interne of externe maatregelen ten behoeve van de inrichting en het functioneren van organisaties. Bijvoorbeeld voorlichting geven, gebruik van Public Key Infrastructure.
- Juridische maatregelen: afspraken tussen partijen, zoals overeenkomsten en algemene voorwaarden.
Belangrijk om hierbij te onthouden is dat maatregelen nooit op zichzelf staan. Elk middel omvat zowel technische als organisatorische en soms ook juridische maatregelen.
De auteurs benadrukken in de afsluiting van het artikel dat de kwetsbaarheden in de netwerksamenleving niet vragen om de keuze voor één sturingsmodel, maar om een combinatie van meerdere modellen.
