Hoe mogen wij u helpen?
Poll
Wat is de belangrijkste eigenschap voor een tester?

Top Employers 2011

Informatiebeveiliging

European Network and Information Security Agency

Security is hot in 2011 en je ziet dan ook dat er allerlei rapporten met onderzoeken over de stand van security als paddenstoelen op een herfstachtige dag de grond uit komen. Zoals te verwachten bevatten deze rapporten alarmerende conclusies dat het allemaal niet goed gaat.

Ook de ENISA (European Network and Information Security Agency) doet mee aan deze hype en publiceerde op 7 december een mooi rapport over hoe de verschillende CERT's (Computer Emergency Response Team) in Europa falen in hun samenwerking [1,2].

Voor de niet ingewijden; een CERT is een organisatie die binnen een bepaald geografisch gebied (meestal op landelijk niveau) de dreigingen op internet monitort en via een mailinglijst bedrijven en het publiek op de hoogte houdt van recente ontwikkelingen en te verwachten problemen.
De ENISA is het EU antwoord op de diverse lokaal opererende CERT's en heeft zichzelf uitgeroepen als de coördinerende partij. 

Zo op het eerste gezicht lijken de conclusies valide en is het niet verbazingwekkend dat er zoveel mis is op het gebied van security als zelfs de 'politie van het internet' al niet goed samenwerkt. Toch?

Zoals altijd ligt de waarheid wat subtieler. De vergelijking met de politie is namelijk beter van toepassing dan het lijkt en is zelfs wat breder te trekken. De term CERT is namelijk niet beschermd of zelfs als definitie vastgelegd. Iedereen die van zichzelf vindt genoeg van security te weten om daar wat over te roepen mag een CERT oprichten. Het maakt niet uit of je dat vanuit een commercieel bedrijf, een overheid of zelfs op persoonlijke titel doet. Als zodanig kan je CERT's dan ook niet beschouwen als de 'politie van het internet', maar meer als een samenraapsel van politie en beveiligingsorganisaties die min of meer op hetzelfde werkgebied opereren. Dat er dan ook een gebrek aan samenhang, samenwerking of zelfs standaarden is, is dan ook een open deur, een schot voor open doel en niet verbazingwekkend.

De ENISA heeft zich als doel gesteld om (binnen Europa) de samenhang en samenwerking tussen de CERT's te verbeteren en heeft op hun website ook diverse templates en overzichten hoe een CERT te runnen [3]. Op zich is dit al een mooi begin, maar zonder duidelijke aansturing, middelen en resources blijft dit een best-effort oefening van vrijwilligers. De ENISA mag dan ook best even de hand in eigen boezem steken en zich hard gaan maken voor hun doelstelling. Pas als er vanuit de EU duidelijke richtlijnen en resources beschikbaar komen kun je pas effectief een coördinerende taak op je nemen. Zolang dat niet gebeurd zal de rol van de ENISA die van een zelfuitgeroepen amateurtrainer langs de zijlijn bij het zondagsvoetbal niet kunnen overstijgen.

Dave van Stein

Security Testspecialist

Ps. wil je reageren, mail dan naar Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.

Bronnen:
1) http://webwereld.nl/analyse/108811/5-missers-van-europese-cybersecurity.html
2) http://www.enisa.europa.eu/act/cert/support/proactive-detection/
3) http://www.enisa.europa.eu/act/cert/support

 



Copyright © 2010 KZA BV