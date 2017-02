Eind januari was er een diplomatiek relletje toen de voormalige minister-president van Noorwegen, Kjell Magne Bondevik, werd tegengehouden op het vliegveld in Washington en een uur moest wachten voor hij werd doorgelaten. Los van de politiek, zouden we in de IT allemaal een voorbeeld mogen nemen aan strikte regelhandhaving. Dat is dé manier om social engineering in de kiem te smoren.

De reden dat security faalt

Het was allemaal het gevolg van een maatregel uit 2015 waardoor passagiers die voor het inreizen een van zeven specifieke landen hebben gezocht, dezelfde landen waar de huidige president van de VS een algeheel inreisverbod voor wilde, een visum moeten aanvragen voordat ze het land binnenkomen. Dat staat los van of het land waar de passagier zelf vandaan komt een ESTA-land is. Dit is van kracht geworden na de aanslagen in Parijs en of dit al dan niet een terechte wet is, staat los van deze discussie.

Ik wil het namelijk hebben over securitybewust gedrag. Ik ben het niet eens met allerlei maatregelen van de Amerikaanse overheid, maar ben het ook niet eens met de stelling dat Bondevik, met een Iraans stempel in zijn paspoort, direct doorgelaten had moeten worden vanwege zijn status als voormalige wereldleider. Dat soort eerbiedig gedrag, waarin je beveiliging laat varen voor hooggeplaatste figuren, is de reden dat securitybeleid in veel organisaties gruwelijk faalt.

Geen eerstelijnsbeslissing

Er zijn talloze voorbeelden van zowel gebruikers als beveiligingspro's die simpelweg de procedures omzeilen door zich voor te doen als mensen met macht. Mensen doen zich voor als CEO en krijgen personeelszaken zover om klantgegevens of zelfs betalingen te overhandigen. Beveiligers willen dat gebruikers altijd sceptisch reageren voor ze hulp bieden en voorál als het om iemand gaat waar je een zekere eerbied voor dient te hebben.

Wat willen we eigenlijk als we het hebben over security-bewustwording? Een van de belangrijkste dingen is een goed gedefinieerd beleid dat verschillende scenario's in acht neemt. Dat moet natuurlijk ook beschrijven hoe je wél uit de procedurele mal stapt om rechten te escaleren, maar een goed beleid geeft de optie om securitybeleid te passeren niet aan eerstelijnspersoneel.

Securityvraag escaleren

Bondevik liet zijn diplomatieke paspoort zien aan een douanefunctionaris en die hield zich aan de securityregels toen hij het Iraanse stempel zag. Hij deed dat ondanks het feit dat Bonedvik's paspoort aangaf dat het een voormalig staatshoofd was. De functionaris deed precies wat hij volgens het beleid moest doen en escaleerde de zaak naar een hoger niveau. Ik ben dan ook blij dat zijn bazen zijn acties niet afkeuren.

Noorwegen had een digitale Waiver verstuurd, waarmee Bondevik had moeten kunnen passeren zonder te worden tegengehouden, maar daar had de functionaris geen toegang toe. Dát is een issue waar naar gekeken moet worden. Maar het doet niets af aan het feit dat de douanebeambte zich aan de procedure hield. Als de gemiddelde gebruiker dat ook zou doen, zouden veel incidenten worden voorkomen.

Het volgen van procedures is geen bureaucratische poespas, maar iets waar we in de IT-beveiliging naar moeten streven. Het is dan ook belangrijk dat we goede voorbeelden als deze niet bestempelen als doorgeslagen procedureel beleid of zelfs wangedrag.