Interview met Michiel Steltman

Hosting sector, essentieel onderdeel van de vitale infrastructuur

2 oktober 2015
In dit artikel:

Michiel Steltman is directeur van de Dutch Hosting Providers Association (DHPA). In die hoedanigheid vertegenwoordigt hij de leidende Nederlandse hosting providers naar overheid, media en publiek. Hij maakt zich sterk voor het project ‘Veilige verbindingen’ en heeft ook nog een boodschap voor IT-auditors. We spreken hem op het kantoor van de DHPA in Leidschendam waar hij enthousiast vertelt over het belang van deze sector voor onze digitale economie.

Hoe kan de hosting sector worden getypeerd?

’De bedrijfstak van datacenters en serviceproviders is in minder dan vijftien jaar uitgegroeid van een startersbranche tot een essentieel onderdeel van de vitale infrastructuur van onze economie. Het is een groeimarkt waarop een consolidatieslag plaatsvindt. Deze markt heeft het karakter van een longtail-markt, dus met enkele grote partijen en vele kleintjes. De grote ondernemingen groeien al jarenlang met dubbele cijfers. We zijn een van de grootste hostinglanden in Europa en de omvang van deze industrie is veel groter dan je op grond van alleen de nationale markt mag verwachten, dus heel sterk internationaal georiënteerd. We zijn dan ook een hosting mainport geworden, met de grootste internet exchange ter wereld en een groot aantal datacenters. Het feit dat we samen met de telecomproviders een onderdeel vormen van wat het ministerie van Economische Zaken het “Internet Waardeweb” noemt, legt ook grote druk en verplichtingen op de sector. De samenleving, markt en politiek worden zich in toenemende mate bewust van de vitale rol van onze sector. De samenleving moet kunnen vertrouwen op professionaliteit en kwaliteit waarmee geclaimde beschikbaarheid kan worden gehaald, informatie afdoende wordt beveiligd, persoonsgegevens worden beschermd, wet- en regelgeving worden geborgd en cybercrime wordt voorkomen.’

‘De DHPA voert daarom een beleid dat erop gericht is om die kwaliteit te borgen, door het promoten van certificeringen, audits, keurmerken, et cetera. En borging van kwaliteit en veiligheid vereist goede afspraken, standaards en een uniforme aanpak van controles. Daarbij helpt soms dat er wetgeving met sancties is, als een stok achter de deur.’

Wat zijn volgens jou de belangrijkste uitdagingen?

’Om te beginnen hebben we te maken met alle aspecten en kenmerken van ketenproblematiek, waarbij de zwakste schakels de spreekwoordelijke risico’s vormen, omdat een eenduidige aanpak en goede afspraken ontbreken. Welke maatregelen moet je treffen als de wet spreekt van ”een passend niveau van informatiebeveiliging”, wat houdt dat in? Het is niet geoperationaliseerd. De grootste categorie risico’s is voor iedereen hetzelfde. Als je zegt ”adequaat” dan geeft dat enorme onzekerheid bij ondernemers. Wat moet hij daaronder verstaan? Het mooie van standaards is dat er zo veel zijn om uit te kiezen: ISO, ETSI, PCI-DSS, CSA, noem maar op. Iedereen bedenkt normenkaders waaraan systemen moeten voldoen. Voor diverse aspecten worden ze van toepassing verklaard. Deze wildgroei maakt het probleem alleen maar erger. Welke normering is nu van toepassing? KPN krijgt, ondanks ISO- en andere certificeringen, gewoon een boete van ruim drie ton van de Autoriteit Consument en Markt, omdat de klantgegevens in 2012 onvoldoende waren beveiligd. Hierbij blijft onduidelijk hoe KPN die zorgplicht voor een “passende beveiliging” had moeten invullen. Dat is bijzonder onbevredigend en frustrerend.’

Een keurmerk is geen doel maar een vanzelfsprekend gevolg

Wat is volgens jou dan de oplossing en hoe kan het project Veilige Verbindingen daar aan bijdragen?

’Als sector zijn we er van overtuigd dat we de oplossing moeten vinden in een samenspel van principles. Dat wil zeggen duidelijkheid over normen en maatregelen, en best practices op grond waarvan we al een aantal uitgangspunten hebben benoemd voor veilige verbindingen en waaruit blijkt dat we ons voldoende bewust zijn van de ketenproblematiek en de specifieke risico’s die deze met zich meebrengt. De principles en best practices zullen dicht op de IT-werkelijkheid moeten zitten en compensatie moeten bieden aan de over de keten heen per definitie gefragmenteerde en gedifferentieerde governance.’

‘Het is daarom volgens ons noodzakelijk om zekerheden te organiseren in de leveringsketens van e-commerce en online diensten. In 2014 is met dat doel de werkgroep ”Kwartiermakers veilige online diensten” ingericht. Deze werkgroep, waarin de basis is gelegd voor het project Veilige Verbindingen, wordt ondersteund door het Electronic Commerce Platform Nederland (ECP.nl), waarin naast EZ vele belangrijke stakeholders en marktpartijen deelnemen. Het project is onderdeel van het programma “Digivaardig & Digiveilig”, waardoor de bredere bestuurlijke inbedding is verzorgd en aansluiting op andere initiatieven is gewaarborgd. Als je een sector in beweging wilt brengen, dan is het immers nodig om daarvoor voldoende draagvlak te organiseren. Het is onze doelstelling om najaar 2015 een inhoudelijk normenkader te implementeren. De baseline daarvan wordt gevormd door wat ik zou willen noemen ”een minimum adequate set” aan inhoudelijke maatregelen die voor alle belanghebbenden acceptabel is. Daarbij realiseren we ons dat het betere altijd de vijand van het goede is. Ik ga liever van start met een agile en iteratief proces dan niets doen en gaan zitten wachten op een eenduidige definitie en normering van de perfecte beveiliging, want die gaat er toch niet komen.’

‘Een belangrijke doelstelling van het ministerie was de wens om een keurmerk voor onlinediensten te ontwikkelen ten behoeve van het MKB. Dat vonden we een buitengewoon slecht idee! We hebben EZ ervan kunnen overtuigen dat een keurmerk geen doel mag zijn maar een vanzelfsprekend gevolg. Daarmee bedoelen we dat als je de veilige verbinding hebt gerealiseerd en het doel dus is bereikt, je dan het keurmerk als het ware cadeau krijgt. Het resultaat is veilige verbindingen door transparantie, aansluitbaarheid, modulariteit, inzicht, gesloten ketens. Allemaal randvoorwaarden die we proberen te vervullen en die zullen bijdragen aan het bereiken van het doel: veilige verbindingen.’

Aanpak van auditors resulteert in auditfrictie

Wat is jouw boodschap voor auditors?

‘De aanpak van auditors schiet vaak tekort en resulteert in wat ik als ”auditfrictie” zou willen aanduiden, dat wil zeggen een veelheid aan auditactiviteiten maar weinig relevante audits en dus veel schijnzekerheid. Zo worden datacenters vaak meermaals gecontroleerd, op dezelfde aspecten, door verschillende auditors van hun klanten, terwijl weer andere leveranciers in de keten nooit worden bezocht. We kennen het verschijnsel van het uitbrengen van auditrapporten die uitsluitend bedoeld zijn voor andere auditors van andere organisaties met hun eigen specifieke risico’s en controledoelstellingen. Deze zijn veelal ingestoken door de behoefte aan financial assurance en geven niet de transparantie die de gedigitaliseerde maatschappij nodig heeft. Auditors beschikken over een ruim assortiment van schijnbaar universele normenkaders die in de loop der jaren ontwikkeld zijn als een soort best practices voor de inrichting van stelsels van interne beheersing of general controls. Het gevaar van deze benadering is dat een auditor zich een mening vormt over een beheerkader, governance-stelsel of managementproces, terwijl er (te) weinig aandacht is voor de IT-systemen in hun specifieke toepassingsgebied. Deze “IT-werkelijkheid” zoals Jan Matto het noemt, en de daaraan gerelateerde risico’s worden dan helaas juist verwaarloosd.

Mede daarom zijn er ook IT-auditors betrokken bij de normontwikkeling ten behoeve van Veilige Verbindingen, om te waarborgen dat de normen zo dicht mogelijk bij de IT-werkelijkheid blijven en in de actualiteit daarbinnen ook getoetst kunnen worden.’

Update on IT & Control 2015: Trust & Transparency in de digitale economie

Datum: 18 november 2015

Locatie: Hotel Vianen

Tijdens dit event zal Michiel Steltman een keynote-presentatie geven over ‘Zekere Verbindingen’. De invalshoeken van zijn presentatie zijn kwaliteitsaspecten en performance-indicatoren voor informatiebeveiliging en procesbeheersing.

J. (Jan) Matto RE RI en Drs. W. (Wilfried) J.A. Olthof

Jan Matto is sinds 1998 partner IT-audit en advies bij Mazars. Naast de jarenlange ervaring als IT auditor beschikt hij over een uitgebreid trackrecord van projecten rond informatiebeveiliging, privacyvraagstukken, datalekken en andere ICT-incidenten, zowel in de private als de publieke sector. Wilfried Olthof is directeur van NOREA en heeft daarvoor functies vervuld bij de Perscombinatie, het Ministerie van VROM en de Vrije Universiteit A’dam. Hij heeft politicologie en bestuurswetenschappen gestudeerd.