Grootste obstakel cybersecurity is het bankenmanagement

BHjKz_gCQAAu3ztBanken hebben een groot aantal storingen te verwerken gekregen de afgelopen weken. Volgens de banken zelf betreft dit aanvallen van buitenaf. Zogenaamde DDoS-aanvallen die via een botnet dusdanig veel verkeer genereren dat een website onbereikbaar kan worden. DDoS-aanvallen kennen globaal drie doelstellingen. Ze kunnen fungeren als een virtueel protest zoals Anonymous dit vaak toepast, ze kunnen gepaard gaan met technieken waarmee men daadwerkelijk gegevens probeert te bemachtigen. In het geval van een bank zal dat bijna altijd een diefstal poging betekenen en tot slot kunnen de veelvuldige aanvallen een chantagemiddel zijn. In dit laatste geval probeert men een bank tot wanhoop te drijven zodat men gaat betalen enkel om de aanvallen te laten stoppen.

Gezien de hoge ontwrichtingsfactor van de storingen in het dagelijkse leven, valt er iets voor te zeggen het bancaire netwerk kritieke infrastructuur te noemen. Dit is ook de reden waarom er een bijeenkomst op het hoogste niveau is belegd waarbij het National Cybersecurity Centrum is betrokken.
Redelijk voorspelbaar is dat er voorstellen zullen komen om bevoegdheden van opsporingsdiensten zowel van de overheid als van private security bedrijven uit te breiden. Ook voorspelbaar is dat de categorisatie van het bankensysteem als kritieke infrastructuur ertoe zal leiden dat de toch al fragiele banken financieel ondersteund gaan worden door de belastingbetaler bij het verhogen van de kwaliteit van de cyberbeveiliging.
Eens een keertje goed analyseren hoe het er binnen IT projecten in de banken aan toegaat, zal niet gebeuren. Juist daarin zit mijns inziens de problematiek.

Een casus
Ik kan talloze voorbeelden geven zowel uit eigen ervaring als van andere ICT’ers in bankopdrachten, maar zal me beperken tot een casus waarin de manco’s overduidelijk naar voren komen.
Bij een grote bank kreeg ik een aantal jaren geleden de opdracht via een van de grote IT consultancybedrijven als projectmanager autorisatiebeheer dicht te timmeren.
Het mandaat kwam rechtstreeks van de directie en op papier kregen we alle vrijheid de processen volledig naar eigen inzicht in te richten. In mijn team had ik een aantal techneuten, een projectondersteuner, een ethical hacker, twee architecten, een accountant en ik zou zelf de procesinrichting doen.
In de opdrachtomschrijving was duidelijk geformuleerd dat we de vrije hand hadden wie dan ook uit te organisatie te betrekken bij het project. Een droomopdracht zou je zeggen…

Helaas zijn de grote banken qua hiërarchische inrichting te vergelijken met een militaire organisatie. De directie wilde dus wel de rapportages krijgen, maar via de hiërarchische lijn. Aangezien het project werd gezien als een IT opdracht op procesmatig vlak, kregen we er drie managers tussen geplaatst. De laagste manager aan wie wij in eerste instantie moesten gaan rapporteren was een persoon zonder enige kennis van autorisatiebeheer, maar ook zonder formele projectmanagement kennis. Deze nam niet enkel de rol van opdrachtgever op zich, maar ook die van projectmanager.

Afijn, als team bespraken we in de pauze deze manager maar zoveel mogelijk te pleasen en verder onze eigen gang te gaan conform het initiële mandaat.
Aangezien de organisatie niet was geïnformeerd door de directie over het project en het bijbehorende mandaat, maakten we eerst een communicatiedocument om daarin uit te leggen wie we waren, wat we kwamen doen, waarom, op welke wijze; kortom de zeven W’s welbekend in de politiewereld ter informatie.
Het baasje aan wie wij moesten gaan rapporteren deed er twee dagen over om dat document naar eigen inzicht te redigeren, maar uiteindelijk werd de organisatie geïnformeerd.

We stelden een lijst op van afdelingen die betrokken zouden moeten worden bij het project om alle informatie te vergaren met betrekking tot hoe autorisatiebeheer op dat moment was ingericht. Vervolgens wilden we daaruit sleutelfiguren op allerlei niveaus selecteren om in workshops gezamenlijk van de huidige situatie naar de gewenste situatie toe te gaan werken.
Deze werkwijze is onontbeerlijk om draagvlak binnen een organisatie te creëren, maar ook om mensen op een andere manier te kunnen laten werken.

De eerste persoon die ik benaderde zat letterlijk nog geen 10 meter bij mijn werkplek vandaan.
De dag erna kreeg ik een woedend rapportagebaasje aan mijn bureau waar ik het lef wel niet vandaan haalde personeel zomaar aan te spreken. Het baasje van het personeelslid dat ik benaderd had was totaal over de pis bij hem verschenen.
Of wij van het project in het vervolg schriftelijk alle afdelingen die we wilden benaderen bij het rapportagebaasje aan wilden melden. Hij zou dan schriftelijk het verzoek gaan indienen bij de andere managers en die zouden dan bepalen of en met wie wij mochten spreken.
Kortom; een volstrekt onwerkbare situatie die groteske vormen aannam nadat ik me moest verantwoorden waarom ik lunchte met een manager van de rechercheafdeling (familielid).

Als team besloten we dan maar zelf de systemen en processen uit te gaan spitten en een herontwerp te maken. In rookpauzes overlegden we een en ander met personen van andere afdelingen, op deze wijze onttrokken aan het oog van het enorme aantal managers; we werden een soort van ondergrondse organisatie.
De zaak escaleren had ook geen zin, want de weg door de lijn heen was onmogelijk te bewandelen.

Bij presentatie van het herontwerp aan het rapportagebaasje door de ethical hacker, was voor mij de maat vol. Deze briljante hacker had een al even briljant ontwerp bedacht waar de manager inhoudelijk werkelijk niets van leek te begrijpen, maar zich wel allerlei weinig intelligente meningen over vormde. De frustratie van de hacker liep daarbij na al wat eerdere incidenten zo hoog op dat een handgemeen nog net door de andere aanwezigen voorkomen kon worden.
Ik heb vervolgens direct om overplaatsing naar een ander bedrijf verzocht.

Aanbevelingen
De directie zal de ware toedracht van het mislukken van dergelijke projecten nooit te horen krijgen. De hele lijn aan managers er tussenin veegt het eigen straatje schoon.
Beschreven casus is niet uniek; elke ICT’er heeft soortgelijke verhalen. Ik nodig andere ICT’ers dan ook van harte uit hun eigen verhalen te delen.
Aangezien we in de huidige situatie geen tijd hebben uit te zoeken waarom er in de grote banken zo’n verziekte, wantrouwige cultuur heerst, is het zaak IT projecten echt onder de directie te plaatsen, bij voorkeur niet eens onder de CIO maar onder de CEO. Het mandaat moet duidelijk gecommuniceerd worden door de directie zelf met de hele organisatie en de lijn dient hierbij volledige medewerking te verlenen zonder uitzondering.

Daarnaast opteer ik voor een platform waarop vliegende teams te maken zijn van allerlei toppers uit verschillende vakgebieden met raakvlakken cybersecurity.
Deze toppers zouden gezamenlijk een blauwdruk moeten maken van welke expertises een kernteam moet bevatten.
Op deze wijze ondervang je enigszins dat 1 groot IT bedrijf een opdracht krijgt van waaruit een team wordt samengesteld voor projecten. Diversiteit is goed voor het niveau en voorkomt machtsconcentratie.
Dergelijke teams zouden met mandaat nu binnen geplaatst moeten worden bij de banken en overkoepelend moeten rapporteren mede aan de minister van veiligheid en justitie.
Tijd voor een baasjesstrijd is er niet.

Getagd . Bladwijzer de permalink.

Geef een reactie