De TU heeft een onsamenhangende en weinig professionele beveiligingsuitvoering. Hierdoor kan de universiteit niet adequaat reageren op steeds slimmere computervirussen.
Dat zegt Johan Kelderman, adviseur beveiligingsbeleid van de stafdirectie informatiemanagement (IM). ,,Er is hier niemand die beslissingen kan nemen. We werken te veel volgens het poldermodel, streven te veel naar consensus. Dingen moeten van tevoren geregeld worden, vóórdat problemen zich voordoen.”
Twee weken geleden werd de TU, evenals talloze andere bedrijven wereldwijd, zwaar getroffen door het Blaster-virus. Vooral de universiteitsdienst (UD) had veel last van de gevolgen van het virus. Met name de na-effecten van het zogeheten ‘patchen’ (bijwerken van delen van de machine) zorgden volgens manager werkplekken Dave du Croix voor veel ongerief. De meeste problemen bij de UD kwamen niet door besmetting van het virus, maar door een onvolledig uitgevoerde patch, bevestigt Du Croix.
Kelderman vindt de aanpak van DTO weinig professioneel. ,,Doordat zij een servicepack (uitgebreide update van de software) niet hebben geïnstalleerd, konden veel Windows-systemen niet op tijd gepatcht worden.”
DTO beweert daarentegen dat juist de automatiseerders van de universiteitsdienst de komst van ‘Servicepack 4’ voor Windows bij de UD tegenhielden. De decentrale afdelingen automatisering worden gecoördineerd door de directie informatiemanagement.
Het servicepack zou problemen veroorzaken bij bepaalde applicaties en moest dus eerst getest worden. ,,Dat hebben we gedaan en het pack is in orde bevonden. Vervolgens is het bij de UD blijven liggen”, zegt een DTO-medewerker desgevraagd. De benodigde patches tegen het virus hadden dit servicepack nodig en konden dus niet tijdig ‘uitgerold’ worden. De UD was hierdoor extra kwetsbaar voor de Blaster-worm.
Volgens Kelderman en Du Croix is niet de vraag hoe het virus heeft kunnen toeslaan, maar wat de TU ervan kan leren. ,,Het huidige virus is nog niet eens het grootste probleem. Ik ben bang voor wat er gebeurt als er een intelligentere vorm de kop opsteekt”, zegt Kelderman.
Tegenstrijdig
Bij systeembeheer wordt nu volop gediscussieerd over wat er beter kan. Wat er gebeurt, hangt af van de locatie en de bevoegdheden van beheerders. DTO beheert maar een beperkt aantal werkplekken op de campus. Waar DTO dat niet doet, is de lokale beheerder verantwoordelijk. ,,Veel faculteiten zijn wat betreft informatiebeheer eigen baas en er spelen tegenstrijdige belangen”, aldus Kelderman. ,,De een wil alles dichtgooien, de ander wil juist dat de systemen open blijven. Als je alles openzet kun je meer doen, maar ben je ook kwetsbaarder.”
De TU zou op instellingsniveau de bevoegdheden en verantwoordelijkheden moeten regelen. ,,Er moet een draaiboekklaarliggen bij een crisis van dit formaat”, zegt Kelderman op persoonlijke titel.
Ook DTO’er Du Croix vindt dat de beveiliging nu niet zo efficiënt is. ,,De TU is moeilijker te beveiligen dan andere instellingen omdat het altijd zo is geweest dat de universiteit een open wereld moet zijn voor de wetenschap”, zegt hij. ,,Er is een behoorlijke cultuuromslag nodig om deze gedachtegang te veranderen.” Het zal volgens hem moeilijk worden om één beleid te voeren, omdat er zo veel eigen beheerders zijn op de TU. ,,En die hebben allemaal hun eigen ideeën daarover.”
De directie IM wil graag de tussenpersoon zijn tussen de universiteit en de partij die de beveiliging uitvoert (bijvoorbeeld DTO). ,,Dat moet een onafhankelijk iemand zijn. De TU heeft nu eenmaal besloten om het beleid van het beheer en de uitvoering te scheiden. Op dit moment is er nog onvoldoende samenhang.”
Het college van bestuur neemt deze herfst een aantal besluiten op het gebied van informatiebeveiliging.
Dat zegt Johan Kelderman, adviseur beveiligingsbeleid van de stafdirectie informatiemanagement (IM). ,,Er is hier niemand die beslissingen kan nemen. We werken te veel volgens het poldermodel, streven te veel naar consensus. Dingen moeten van tevoren geregeld worden, vóórdat problemen zich voordoen.”
Twee weken geleden werd de TU, evenals talloze andere bedrijven wereldwijd, zwaar getroffen door het Blaster-virus. Vooral de universiteitsdienst (UD) had veel last van de gevolgen van het virus. Met name de na-effecten van het zogeheten ‘patchen’ (bijwerken van delen van de machine) zorgden volgens manager werkplekken Dave du Croix voor veel ongerief. De meeste problemen bij de UD kwamen niet door besmetting van het virus, maar door een onvolledig uitgevoerde patch, bevestigt Du Croix.
Kelderman vindt de aanpak van DTO weinig professioneel. ,,Doordat zij een servicepack (uitgebreide update van de software) niet hebben geïnstalleerd, konden veel Windows-systemen niet op tijd gepatcht worden.”
DTO beweert daarentegen dat juist de automatiseerders van de universiteitsdienst de komst van ‘Servicepack 4’ voor Windows bij de UD tegenhielden. De decentrale afdelingen automatisering worden gecoördineerd door de directie informatiemanagement.
Het servicepack zou problemen veroorzaken bij bepaalde applicaties en moest dus eerst getest worden. ,,Dat hebben we gedaan en het pack is in orde bevonden. Vervolgens is het bij de UD blijven liggen”, zegt een DTO-medewerker desgevraagd. De benodigde patches tegen het virus hadden dit servicepack nodig en konden dus niet tijdig ‘uitgerold’ worden. De UD was hierdoor extra kwetsbaar voor de Blaster-worm.
Volgens Kelderman en Du Croix is niet de vraag hoe het virus heeft kunnen toeslaan, maar wat de TU ervan kan leren. ,,Het huidige virus is nog niet eens het grootste probleem. Ik ben bang voor wat er gebeurt als er een intelligentere vorm de kop opsteekt”, zegt Kelderman.
Tegenstrijdig
Bij systeembeheer wordt nu volop gediscussieerd over wat er beter kan. Wat er gebeurt, hangt af van de locatie en de bevoegdheden van beheerders. DTO beheert maar een beperkt aantal werkplekken op de campus. Waar DTO dat niet doet, is de lokale beheerder verantwoordelijk. ,,Veel faculteiten zijn wat betreft informatiebeheer eigen baas en er spelen tegenstrijdige belangen”, aldus Kelderman. ,,De een wil alles dichtgooien, de ander wil juist dat de systemen open blijven. Als je alles openzet kun je meer doen, maar ben je ook kwetsbaarder.”
De TU zou op instellingsniveau de bevoegdheden en verantwoordelijkheden moeten regelen. ,,Er moet een draaiboekklaarliggen bij een crisis van dit formaat”, zegt Kelderman op persoonlijke titel.
Ook DTO’er Du Croix vindt dat de beveiliging nu niet zo efficiënt is. ,,De TU is moeilijker te beveiligen dan andere instellingen omdat het altijd zo is geweest dat de universiteit een open wereld moet zijn voor de wetenschap”, zegt hij. ,,Er is een behoorlijke cultuuromslag nodig om deze gedachtegang te veranderen.” Het zal volgens hem moeilijk worden om één beleid te voeren, omdat er zo veel eigen beheerders zijn op de TU. ,,En die hebben allemaal hun eigen ideeën daarover.”
De directie IM wil graag de tussenpersoon zijn tussen de universiteit en de partij die de beveiliging uitvoert (bijvoorbeeld DTO). ,,Dat moet een onafhankelijk iemand zijn. De TU heeft nu eenmaal besloten om het beleid van het beheer en de uitvoering te scheiden. Op dit moment is er nog onvoldoende samenhang.”
Het college van bestuur neemt deze herfst een aantal besluiten op het gebied van informatiebeveiliging.
Comments are closed.