Rotterdam slaat plank mis met ICT-beveiliging

folderRotterdam share-alt
Volgens de rekenkamer heeft Rotterdam de toegang tot zijn systemen niet op orde (foto:flickr/remundo)
Volgens de rekenkamer heeft Rotterdam de toegang tot zijn systemen niet op orde (foto:flickr/remundo)

De Rotterdamse rekenkamer heeft, naar aanleiding van een eerder datalek, onderzoek gedaan naar de beveiliging van computersystemen bij de gemeente. B&W willen dat rapport tegenhouden omdat hackers de zwaktes van de systemen erin zouden kunnen lezen.

Kennelijk denkt de gemeente dat ze een informatievoorsprong op de hackers heeft en dat hackers Nederlandstalige rapporten van de rekenkamer lezen. Dus dat er voor experts iets nieuws te lezen valt in het rapport. Ik vraag me dat ernstig af. Waarschijnlijk is het meeste namelijk al bekend, gewoon op basis van sniffersoftware die routinematig internetverkeer afgraast op zoek naar interessante zaken.

Laat ik een voorbeeldje geven. Ik krijg wel eens mail van de gemeente. In de header van die mails kan ik zien welke namen de mailservers van de gemeente hebben. Dan vind ik op internet een kaartje met hoe die servers aan elkaar geknoopt zijn. Eén klik verder en ik zie dat Rotterdam nog geen gebruik maakt van DNSSEC. Ik heb dus helemaal geen rekenkamer nodig om te constateren dat mailverkeer van en naar de gemeente kwetsbaar is voor onderschepping. Van de minister moet dit uiterlijk eind dit jaar op orde zijn.

Ok, ik ben geen ICT-beveiligingsexpert. De laatste keer dat ik een computersysteem gekraakt heb, was in mijn studententijd. Maar ik schrijf er al wel ruim twintig jaar over, dus ik pretendeer wel enigszins op de hoogte te zijn (lees bijvoorbeeld mijn interview met kolonel Hans Folmer, die aan het hoofd staat van het Defensie Cyber Commando). Maar de gemeente hanteert hier een van de bekendste drogredeneringen in het beveiligershandboek, de gedachte dat het geheim houden van architecturen bijdraagt aan de veiligheid.

Security through obscurity

Er is een naam voor deze gedachte: security through obscurity. Al sinds 1851 wordt tegen deze gedachte bezwaar gemaakt. Toen ging het over het openbaar maken van het ontwerp van sloten. Je moet ervan uitgaan dat hackers het principe achter een slot kennen. De veiligheid ontlenen ze aan de complexiteit van de sleutel en het geheim houden daarvan.

Het is een argument dat bijvoorbeeld ook tegen open source software wordt gebruikt. Als de hackers de code kennen, zou die makkelijker te kraken zijn. De crux zit echter niet in de openbaarheid van de code, maar in de mate van onderhoud. Als er sprake is van achterstallig onderhoud, dan draai je jezelf een rad voor ogen door te denken dat geheimhouden van je code (of de systeemarchitectuur) je gaat beschermen.

Het rapport blijft vooralsnog geheim. Voor hackers zal dat geen probleem zijn, zij weten al lang wat er aan de hand is. Het probleem zit in een B&W dat denkt hiermee tijd te kopen. Die tijd is er niet. Maar als twintig jaar schrijven over ICT-beveiliging me één ding geleerd heeft is dat alarm slaan doorgaans weinig zin heeft. Een grote kraak helpt beter bij de bewustwording.

calendarclock-o