Frank Brokken
f.b.brokken@rc.rug.nl
Frank Brokken is security manager bij het RC. Met het instellen van deze
functie probeert de RUG het ‘security bewustzijn’ bij de gebruikers van de
universitaire ICT-voorzieningen te bevorderen. In zijn column houdt Frank ons
op de hoogte van de stand van zaken met betrekking tot zijn missie.
Wie zich bezig gaat houden met ‘ICT security’ ontdekt al snel dat het
in de wereld bol staat van de ‘ge- en verboden’:
- je moet niet zomaar attachments die aan je mail zijn gekoppeld openen;
- je moet zo nu en dan je password wijzigen;
- je mag je password niet aan derden overhandigen;
- je mag je password niet op een briefje onder je toetsenbord plakken;
- je moet niet zomaar externe software installeren, waarvan je niet zeker
bent dat de auteur bonafide is,
- En zo kan ik nog wel even doorgaan.
Acceptable Use Policy
Erg zinvol zou dat overigens niet zijn: sinds ruim een jaar beschikt de RUG
over een ‘Acceptable Use Policy’ (AUP), waarin is vastgelegd hoe de
universitaire ICT-gebruikers geacht worden om te gaan met de door of namens de
RUG beschikbaar gestelde ICT-faciliteiten. Voor wie die AUP nog nooit heeft
gezien merk ik op dat de AUP openbaar beschikbaar is op www.rug.nl/cit/security,
klik daar op ‘Documenten’ en dan op ‘Gebruiksregels’.
Toch vraag je je als security manager wel eens af of die verzameling van
ge- en verboden nou wel het gewenste effect oplevert. Waar het mij om gaat is
dat de leden van de universitaire gemeenschap zich gaan interesseren voor ICT
security, en bereid zijn daar zelf ook enige energie in te investeren. Zoals
ik elders al eens heb opgemerkt: ICT security is voor het grootste deel een
kwestie van mentaliteit, en slechts voor een relatief klein deel een kwestie
van techniek.
Bij een aantal leden van de universitaire gemeenschap slaat die gedachte
aan: men hanteert dan een veilige procedure om mail af te handelen, men maakt
geen ‘clear text’-verbindingen waarbij usernames en passwords worden
gebruikt, of men gaat over tot het gebruik van data- en e-mail-encryptie,
zoals bijvoorbeeld geboden wordt door de PGP software (zie Pictogram nummer 1
van dit jaar).
Maar het zou mooi zijn wanneer de collectieve intelligentie die aan onze
universiteit beschikbaar is, zich zo nu en dan ook eens op ICT security zou
richten. Het komt mij voor dat binnen de muren van onze universiteit voldoende
slimme mensen rond moeten lopen die in staat zijn om zo nu en dan ook eens
iets slims te bedenken op het gebied van de ICT security.
Annual Security Award
Om een tegenwicht te vormen tegen al die ge- en verboden op het gebied van
ICT security en om de leden van de universitaire gemeenschap in positieve zin
te stimuleren na te denken over ICT security, met als mogelijk resultaat een
praktisch nuttige bijdrage aan de verhoging van de ICT security, heeft het RC
de ‘Annual Security Award’ geïntroduceerd. Deze Annual Security Award is
eind september tijdens een bijeenkomst van RUG-systeembeheerders door
RC-directeur prof. dr. Koos Duppen openbaar gemaakt.
De ‘Annual Security Award’ bestaat uit een wisselbeker, die vanaf nu
elk jaar in september zal worden uitgereikt aan die persoon (het mag ook een
groep zijn, die collectief deelneemt), verbonden aan de RUG, die in het eraan
voorafgaande jaar naar de mening van een jury zich het meest heeft ingezet
voor de verdere verspreiding en promotie van ICT security binnen de RUG. De
Award zal voor het eerst worden toegekend in september 2003, en zal bestaan
uit de wisselbeker en een bijbehorende oorkonde.
Rond deze tijd zullen de www.rug.nl/cit/security-pagina's zijn uitgebreid met
informatie over de Annual Security Award. Deze uitbreiding zal in ieder geval
bestaan uit een webformulier waarop individuen of groepen een activiteit op
het gebied van ICT security kunnen aanmelden bij de jury.
De Award is ingesteld om iedereen (dus expliciet niet alleen diegenen die
werkzaam zijn binnen het ICT-beheer) binnen de RUG in de gelegenheid te
stellen een positieve bijdrage te leveren aan de opzet en uitvoering van de
beveiliging van ICT-faciliteiten. Iedereen die aan de RUG is verbonden komt in
aanmerking voor de Award. De jury is vooral geïnteresseerd in het ontvangen
van bijdragen die kunnen leiden tot een toename van de ICT security voor de
universiteit als geheel. Daarbij zal de jury ook een open oog hebben voor
concrete, praktisch realiseerbare suggesties.
Wie de Annual Security Award zal winnen is uiteraard nog in de toekomst
verborgen. Maar de aard van de Award impliceert niet dat de winnaars zelf een
(vrijwel) perfecte ICT-security zouden hebben gerealiseerd. De bedoeling van
de Award is tenslotte slechts het stimuleren van de leden van de universitaire
gemeenschap om in positieve zin bijdragen te leveren aan de verbetering van de
kwaliteit van de ICT-beveiliging. Het is uitdrukkelijk geen ‘certificaat van
niet-hackbaarheid’. De gedachte achter de Award is dat de wisselbeker een
stimulans moet zijn om nieuwe ideeën op het gebied van ICT-security te
Hoewel de jury uiteindelijk zal bepalen aan wie de wisselbeker zal worden
toegekend, zal de jury daarbij zeker rekening houden met de mening van de
personen of groepen die een bijdrage hebben ingestuurd: ongeveer een maand
voor de toekenning van de Annual Security Award krijgen de deelnemers zelf de
gelegenheid de ingestuurde bijdragen te beoordelen. Het gecombineerde oordeel
van de deelnemers leidt dan tot een deelnemersoordeel, dat door de jury zwaar
zal worden meegewogen.