Column - Ken je die mop van de BSM’s?

De Basis Security Maatregelen ook wel BSM’s genoemd. Wie kent ze niet? Ze horen thuis in het rijtje van de schijf van vijf, 3x per dag tanden poetsen, schone sokken en ondergoed en andere rudimentaire hygiëne maatregelen die we onszelf als maatschappij opleggen. Toch?

Was het maar zo. Veertig jaar geleden werd e-mail bedacht, het world wide web volgde snel en werd vormgegeven rondom SMTP poort 25 (Simple Mail Transfer Protocol) en HTTP poort 80. Achter de HTTP is inmiddels een s gekomen, die staat voor secure. E-mailen doen we veertig jaar na dato nog steeds onbeschermd en ongeverifieerd. En dat terwijl we dagelijks lezen dat het klikken op phishing mails leidt tot ransomware aanvallen. Wordt er wel een certificaat gebruikt, dan staat de e-mail weer onversleuteld op de mailserver waardoor de admin en de 16-jarige puber uit Engeland, die inmiddels ook admin is, lekker mee kunnen lezen. Wekelijks ligt de boel op straat of wordt verhandeld op het darkweb.

Kijkend naar de Faalkaart [1], een kaart waarop de mate van online veiligheid (website en externe netwerkdiensten) van lokale overheden in beeld wordt gebracht, zie je al jarenlang rode gemeenten, provincies, zorgorganisaties, enz. De groene uitzonderingen moet je met een vergrootglas zoeken. Het is al jaren rood en het staat al jaren ‘op de bestuurlijke agenda’. Ja ik weet dat niet al die categorieën even belangrijk zijn en IPv6 nog jaren duurt. En dat gemeente Ameland (op 7 na beste!) niet hetzelfde is als gemeente Groningen (slechtste) terwijl ze bijna naast elkaar liggen. Maar toch, als je het dan niet voor je eigen inwoners doet, doe het dan als wethouder vanwege je beroepseer. Dat je kwaliteit wilt leveren misschien? Dat je je digitale vuile was niet buiten wilt hebben hangen?

Het CyberSecurity Beeld Nederland (CSBN) is niet veel beter. Het NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) schetst al elf (!) jaar lang een bedroevend beeld van de weerbaarheid van de Nederlandse digitale infrastructuur tegen cyberdreigingen. Sinds 2011 wordt ieder jaar gemeld dat de basale beveiligingsmaatregelen niet op orde zijn. ‘Investeren in mensen’ is de oplossing volgens de auteurs. Een paar bestuurders ontslaan lijkt me een beter signaal. Even voor de duidelijkheid: we hebben het in al die rapporten niet over investeren in dure anomaly detectie, vette soc/siems, iedereen een E5 licentie of PhD’s in threathunting aanstellen. We hebben het nog steeds over de Basishygiëne. Tenenkaas!

De Onderzoeksraad voor Veiligheid rapporteerde over de Citrix ellende en noemde haar rapport ‘Kwetsbaar door Software’. Het sprak over ‘fabrikanten die te weinig prikkels ontvangen’ en ‘producenten die doen aan symptoombestrijding’. Inmiddels zijn we een SolarWinds, Kaseya en LOG4J verder en weten we allemaal dat cyber selectiecriteria, controle op de werking van de ISAE3402 controls, een actuele goedgevulde CMDB/SBOM en patchen de basis dienen te vormen om weerbaar te kunnen zijn tegen supplychain risico’s. Basishygiëne! Ze hadden het rapport ook ‘Kwetsbaar door automutilatie’ mogen noemen.

Daar zitten we dan, met ons vuile digitale ondergoed in een hybride oorlog aan de rand van de EU. NATO-partners om ons heen hebben cyber Shields-Up decreten gestart en dwingen met wetgeving de toepassing van de basis cyberhygiëne en het melden van incidenten af. De Europese NIS2 Directive gaat bestuurders aansprakelijk stellen voor het falen op de BSM’s. Het werd een keer tijd.

Het is daarom ook te makkelijk om de openingsvraag: ‘Ken je die mop van de BSM’s?’ te beantwoorden met: ‘Die kwamen niet!’. Ze gaan er komen en ze móeten er komen. Door wetgeving en door collectieve boycot van digitale bedrijven die weigeren hun zaken op orde te brengen. Aan het werk!

Referentie: [1] De Faalkaart is te vinden op: www.basisbeveiliging.nl.

Dimitri van Zantvliet
CISO bij de Nederlandse Spoorwegen en columnist van iB-Magazine.

Deze column verscheen in iB3-2022.