Informatieverkeer in publiek domein
schetsboek over architectuur en ontwikkelpaden voor de elektronische overheid
Pieter Wisse
met bijdragen van Steven Luitjens, Willem van Hees, André van Brussel en Jeroen
Takkenberg
hoofdstuk 11
Risico
Stelselmatige risicoanalyse
Een nauw verwante kwalitatieve verandering ondergaan risico’s. Een stelsel houdt immers per definitie afhankelijkheid in. De ene actor kan niet goed door, wanneer een andere actor geen bijdragen levert. Dat geldt net zo goed voor informatieverkeer in het publiek domein.
Afhankelijkheid verandert overigens door ict niet radicaal van àf- naar áánwezig. Zonder digitale communicatie zijn actoren eveneens al van elkaar afhankelijk. De onzekerheid over hun ‘verbinding’ leidt er dan toe dat ze over en weer buffers vormen. Zo vormt de herhaalde registratie van persoonsinformatie zoals naam/adres/woonplaats zo’n buffer. Dankzij als direct ervaren communicatie, met ict dus, kunnen zulke buffers (eventueel) vervallen. Er is een zgn. authentieke registratie als informatiebron voor bepaalde maatschappelijke objecten. Dat spaart kosten, verbetert kwaliteit, maar dat lukt alleen zolang alles goed gaat.
De verwachting over risico’s met zgn. vitale infrastructuur moet nadrukkelijk meewegen in de opzet van het feitelijke stelsel. Het is dus beslist niet zo dat eerst maar eens de elektronische overheid als een informatiestelsel ingericht moet worden, om vervolgens dáárop pas een risicoanalyse los te laten. Het volgt logisch uit het vestigen van een nieuw stelsel, dat er nieuwe risico’s zijn. Het complexe leerproces zulke stelselmatige risico’s te herkennen, ermee adequaat om te gaan enzovoort kan niet vroeg genoeg beginnen. ‘Onder architectuur’ houdt daarom juist voor een heus stelsel ook in om risicoverwachtingen als wezenlijke factor voor ontwerp, ontwikkeling enzovoort te (h)erkennen. Welke beveiligingsvoorzieningen nodig, haalbaar e.d. zijn, valt zonder stelselmatige risicoanalyse onmogelijk aan te geven. Tot beheer van risico (& kans) telt volgens ons tevens kwaliteitsborging.1
Deelfuncties van beveiliging
Beveiliging kent doorgaans diverse doelstellingen, waarvoor dan deels overlappende maatregelen gelden. Zicht op oorspronkelijke beveiligingsdoelstellingen, ofwel functies, is onontbeerlijk. Dat probeert deze paragraaf te schetsen.
+ De elektronische overheid als een stelsel moet zo ongestoord mogelijk functioneren. Eigenlijk: actoren moeten het stelsel voor hun informatieverkeer zo ongestoord mogelijk kunnen benutten. Continuïteit vergt onderhoud aan het operationele stelsel, ook wel beheer genoemd. Er zijn echter allerlei risico’s en verstoringen. Onderhoud bestrijdt vooral veroudering, slijtage van componenten. Dergelijke oorzaken zijn, misschien wat merkwaardig geformuleerd, interne gevolgen van het stelsel zoals het uitgevoerd is. Externe oorzaken kunnen de werking van het stelsel eveneens verstoren. Preventieve maatregelen tegen externe oorzaken staat bekend als beveiliging. Zo beschouwd geldt beheer als overkoepelend begrip, met onderhoud en beveiliging als onderdelen.
+ Een bankovervaller die, ook nog eens in een gestolen voertuig, op z’n
gemak wegrijdt met haar of zijn buit, verstoort op die manier niet het fysieke
verkeersstelsel. Dat functioneert verder òngestoord. Het is het ene effect
van de op zichzelf reguliere verkeersbeweging dat onaanvaardbaar is. Dat roept
eveneens beveiligingsbehoeften op, voor zowel preventieve als reactieve
maatregelen. Afgezien van de bankoverval — het is maar een schets —, hoe valt
het te vermijden dat het voertuig in kwestie gestolen wordt (en wie is
eigenlijk verantwoordelijk voor maatregelen ervoor)? Eenmaal gestolen, hoe valt
dat voertuig op te sporen? Hoe valt na te gaan welke route de overvaller ermee
aflegde? En wat de buit betreft, hoe lukt het te vermijden zo’n ‘boodschap’ te
laten vervoeren? Achteraf, valt te traceren welk gebruik de overvaller van zijn
buit maakte? Is dat nog te corrigeren? Concreet vaak: krijg ik mijn geld terug?
Alleen al dergelijke vragen rieken naar een politiestaat. Het is echter reëel
te erkennen dat we een minstens vergelijkbaar niveau van beveiliging verwachten
tegen effecten van verkeerd stelselgebruik. Een bekende beveiligingsreden is de
— bescherming van de — persoonlijke levenssfeer, of privacy (van burger,
bedrijf en overige organisatie). Dergelijke effecten kunnen trouwens door
opzettelijk misbruik veroorzaakt zijn, zoals het voorbeeld van de overvaller
illustreert, maar ook door onopzettelijke fouten in onvoorziene samenloop (die
zelfs navenant lastiger valt te beveiligen). Dat heet dan een ramp. Beveiliging
omvat dan allereerst een schatting van ramppotentieel of, in het algemeen, van
risico’s en vervolgens maatregelen om dat potentieel te elimineren, verminderen
en dergelijke. Een beveiligingsmaatregel kan echter op zijn beurt òngewenste
risico’s vergroten: wie controleert de controleur?2
De risico’s van onaanvaardbare, maar desondanks optredende effecten van
bewegingen door de netwerksamenleving spitsen zich toe op identiteitstelling.
Het spreekt eigenlijk vanzelf dat gewaarborgde identificatie door vraag- en
antwoordactor prioriteit verdient. Van de actoren begint het dan met
natuurlijke personen. Hun identiteitstelling is onmisbaar voor ordelijke
procesgang in de elektronische overheid, maar daar hoort dus onmiddellijk
passende beveiliging bij.
Vervolgens, in de boodschappen die actoren met hun berichten in een
enkelvoudige informatiebeweging uitwisselen, kunnen zij — mits zij ook daarvoor
over passend gebruiksrecht beschikken — naar objecten verwijzen. Een
bankrekening is een voorbeeld van een object. Klopt de opgegeven
identiteitstelling voor dat ‘object’ wel?
Omdat een bericht ook weer geldt als object (zie stelregel nr. 5) onder een
regime van identiteitstelling, is het controlespoor voor informatiebewegingen
gevestigd. Stelregels zijn optimaal, wanneer ze geïntegreerd beveiliging
faciliteren tegen onaanvaardbaar gebruik van het informatie(verkeers)stelsel.
Eenvoudig te begrijpen is het allemaal niet. Eigenlijk is het zo dat één natuurlijk persoon méérdere persoonsidentiteiten kan voeren. En voor elke persoonsidentiteit zouden eventueel méérdere identificaties kunnen gelden. Zo kan natuurlijk persoon X bewijsvoering voor haar persoonsidentiteit Y — proberen te — leveren met al dan niet formeel geaccepteerde identificatiebewijzen zoals een rijbewijs, paspoort enzovoort.
Een identiteitsbewijs kàn als toegangssleutel dienen. Die samenloop van functies ligt voor de hand, indien aan de binnenkant autorisatie gepersonaliseerd en/of het gebruikspoor individueel traceerbaar moet zijn.
Inderdaad, wie zijn identiteitsbewijs annex toegangssleutel kwijt is, kan problemen krijgen. Wanneer ook die sleutel uit informatie gevormd is, zijn de gevolgen wel eens extra ernstig. Dat heeft met ontdekking te maken. De kans is groter dat diefstal pas ontdekt wordt dóór aangebrachte schade. (Dat is hetzelfde, als wanneer een fysieke sleutel niet gestolen, maar nagemaakt is. Bezit van het oorspronkelijke exemplaar houdt dan voorlopig het gevoel van veiligheid in stand.)
Het is dus niet zozeer een elektronische persoonsidentiteit die ontvreemd wordt. Wat telt is de functie van toegangssleutel. Een onpersoonlijke sleutel die tot hetzelfde domein toegang geeft, is zeker zo gevoelig. Maar identiteitsdiefstal bekt beter. Wanneer dat inderdaad helpt bewustzijn van risico’s te bevorderen, is een beetje verwarring zo gek nog niet.
Grenzeloze bedreigingen
Met het Internet overschrijdt informatieverkeer grenzen van — anderszins? — soevereine staten. Risicobeheer op louter nationale schaal schiet daarom op voorhand tekort. Er zijn reeds vormen van internationale samenwerking ter bestrijding van bepáálde risico’s, zoals zgn. CERTs (Computer Emergency Response, or Readiness, Teams) tegen virussen en verwante ‘aanvallen’ (nota bene, identiteitsdiefstal) waarschuwen.
Ook internationaal ontbreekt echter nog volle stelselmatigheid in de benadering. Daarvoor moet Nederland helpen bouwen aan een vertrouwenscoalitie van landen. Waar in het algemeen veiligheid onder druk van grenzeloze bedreigingen een bindende factor is, geldt dat vanzelfsprekend ook voor informatieveiligheid in het bijzonder.
noten
1. De ruime verspreiding van ict constitueert een arena voor wat
op z’n Amerikaans informatie-oorlog heet. Breed opgevat, gaat zulke
oorlogsvoering om concurrentievoordeel. In Global
Information Warfare: How Businesses, Governments, and Others Achieve Objectives
and Attain Competitive Advantages (Auerbach, 2002) rapporteren A. Jones,
G.L. Kovacich, P.G. Luwick als slotsom (p. 632): “In an age in which vulnerabilities
and conflict patterns are unquestionably changing, the most important tasks for
military analysts are surely to understand why, how, and in what directions
those changes are likely to take us. However, because, the vulnerabilities now
extend to the civilian infrastructure, this is no longer simply a question that
should fascinate and excite the military analysts; this is now a question that
should equally fascinate and excite IT directors.”
2. Over beveiliging(saspecten) van informatievoorziening bestaat ook weer veel
literatuur, en zeker niet uitsluitend onder de noemer van edp auditing. Een
greep: Hackers: Heroes of the Computer Revolution
(Anchor/Doubleday, 1984) door S. Levy, Computer-Related
Risks (Addison-Wesley, 1995) door P.G. Neumann, Tangled
Web: Tales of Digital Crime from the Shadows of Cyberspace (Que, 2000)
door R. Power en The Art of Deception: Controlling the
Human Element of Security ( Wiley, 2002) door K.D. Mitnick.
inhoudsopgave, vorige hoofdstuk, volgende hoofdstuk.
2004 (1e druk: 27 september 2004; 2e druk: 13 december 2004) © programma Architectuur Elektronische Overheid (Ictu) en afzonderlijke auteurs; webeditie 2007 © Pieter Wisse
Zie ook de complete nota als enkel pdf-bestand.