Falend Agentschap bekroond

De National Security Agency heeft in 2009 hun
meest prestigieuze prijs voor information
assurance uitgereikt aan het bureau of Information
Resource Management (IRM). Deze zogeheten Frank
B. Rowlett award krijg je voor aanzienlijke
bijdragen aan het vakgebied van de information
assurance. Deze eer viel hen ten deel vanwege een
initiatief om de beveiliging van de
informatiesystemen op honderden locaties van het
Department of State te toetsen, waaronder
ambassades en consulaten.

Dat initiatief is mede ontwikkeld door IRMs Office
of Information Assurance. Niemand kent dat clubje
natuurlijk, maar wat blijkt? Dat Agentschap is
verantwoordelijk voor de informatiebeveiligings
eisen van de gehele USA. De directeur is de
federale chief information security officer en die
rapporteert rechtsreeks aan de CIO van de federale
overheid. Toppie-joppie clubje dus.

Maar wat schetst de verbazing? De Inspecteur
Generaal velt een vernietigend oordeel over dit
agentschap. Het rapport dat in juli 2013 uit is
gekomen is een horror verhaal. Een belangrijke
kern bevinding is dat door foute praktijken 52 van
de 309 departementale systemen zonder certificatie
en/of accreditatie draaien. De authorisatie om
die systemen te mogen gebruiken is domweg verlopen
en zijn niet op tijd weer vernieuwd. Heuh? Ze
waren een paar jaar eerder toch bekroond vanwege
een initiatief omdat ze zoveel systemen goed en
vlot wisten te toetsen? De Rowlett award en dit
rapport lijken over twee totaal verschillende
organisaties te gaan. Klopt dit wel?

Dat zouden we moeten kunnen nagaan. Namelijk, op
grond van Amerikaanse wetgeving (de FISMA) worden
onafhankelijke audits afgedwongen om de staat van
de informatiebeveiliging te toetsen. De audit van
2012: "Overall, we found that the Department had
implemented an information security program".
Okay dus er is iets. En dan komt de maar: "but we
identified weaknesses that significantly impact
the information security program controls."
Kortom: papieren tijgers. De risico's die men in
de audit voorziet zijn zeer ernstig: "The weakened
security controls could adversely affect the
confidentiality, integrity, and availability of
information and information systems." Negatiever
kan bijna niet.

Terg nooit een auditor door niets met bevindingen
te doen. Het eerste waar men na een eerdere
meting naar kijkt is of de bevonden omissies
inmiddels zijn opgelost. En wat blijkt?  Men
heeft niets met dezelfde bevindingen van de audit
uit 2010 gedaan. In de vorige toets had men
bovenstaande misstanden ook al bevonden, en
intussen lijkt er maar bar weinig verbeterd te
zijn.

Het Janus gezicht van de informatiebeveiliging
blijkt dus weldegelijk te bestaan. Er komen twee
heel verschillende beelden naar voren vanuit de
VS. Neem de beloftes van Obama in zijn Cyberspace
Policy Review: "The United States must signal to
the world that it is serious about addressing this
challenge with strong leadership and vision." Dat
beeld wordt inderdaad ingevuld door zaken als: de
FISMA, de PATRIOT Act, het Department of Homeland
Security, het uitgelekte afluisterprogramma PRISM.
Obama vervolgt: "Leadership should be elevated and
strongly anchored within the White House to
provide direction, coordinate action, and achieve
results."  Hier kan toch niemand tegen zijn,
dunkt me!

Obama kent zijn klassiekers: "similar to the
period after the launch of the Sputnik satellite
in October, 1957, the United States is in a global
race that depends on mathematics and science
skills." Daarmee doelend op de voorsprong van de
Russen met hun eerste satelliet in de ruimte. En
inderdaad harde beta maakt het verschil.

Wenkende perspectieven, mooie beloftes, en de
marketing kant van dit al lijkt prima gelukt
gezien alle ophef over de initiatieven. Alleen de
resultaten laten kennelijk nog even op zich
wachten want het Office of Information Assurance
lijkt toch een geval van falende uitvoering. En
de NSA bekroond dat. Dat dan weer wel.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven. Hij schrijft regelmatig een
column in de AG. Hij is te bereiken via email:
x@cs.vu.nl. Deze tekst is copyright SDU. Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.