Rittal organiseert grote tafelgesprek security

Moeten er normen komen voor fysieke IT-beveiliging?

Cyberincidenten komen bijna dagelijks in het nieuws. Het belang hardware-devices goed te beschermen en de impact van falende fysieke IT-security wordt echter zelden belicht. Dat stoort André Hiddink, Product Manager IT bij Rittal. Hij initieerde een kennissessie en ging met vijf andere professionals uit de markt in gesprek over het thema.

Bekijk hier de korte video of download het complete verslag.

André heeft daar een duidelijke bedoeling mee: “Cybersecurity is hot, iedereen heeft het erover. En dat is terecht. Er is geen twijfel over het feit dat organisaties dit zo goed mogelijk op orde moeten hebben.” Er zijn inmiddels ook normen en richtlijnen doe de kans op cyberincidenten verkleinen, en die richtlijnen worden steeds strenger, zoals blijkt uit wetgeving als AVG en NIS2.

“Fysieke IT-security is een onderwerp dat weinig belicht wordt,” stelt André tijdens het gesprek. “Het gaat daarbij niet alleen om de toegang tot de serverruimte, of het slot op de serverkast, maar ook om bewustwording. Om de vraag: wat is het belang van fysieke IT-beveiliging? En kunnen normen of certificeringen helpen deze fysieke omgeving veiliger te maken?”

Weinig aandacht in mkb

Uit de discussie blijkt dat de volwassenheid op het gebied van fysieke IT-beveiliging laag is in de markt. Ja, er zijn rolluiken, sloten en camera’s voor het pand. Dat wordt in de praktijk geassocieerd met mannen met oortjes die rond het pand lopen. Voor de beveiliging van de fysieke IT worden geen of in veel mindere mate maatregelen getroffen.

Zeker in het mkb is men vooral bezig met de business van de onderneming. Niet met beveiliging. “Bij die ondernemingen moet eerst iets gebeuren voordat actie wordt ondernomen,” constateert André.

Taboe

Daarbij is het zo dat incidenten die samenhangen met fysieke IT-beveiliging zelden de krant halen. Het is wellicht ook een taboe. Het is immers geen sterk verhaal als een serverrack uit is gevallen doordat de plant die erop stond te veel water kreeg. “Plofkraken halen wel de krant, dat rolluik mag wat kosten,” stelt een van de deelnemers aan de discussie, maar de IT-apparatuur staat bij een mkb-onderneming in de bezemkast tussen de schoonmaakspullen. Daar heeft men geen gevoel bij. Een goed serverrack mag niets kosten, die koop je voor een paar honderd euro online.

Voor André Hiddink wordt daarmee de kern van het probleem geraakt. “Bedrijven zijn echt wel met beveiliging bezig, zoals het aanmelden van bezoekers en poortjes bij de ingang. Maar pas als door gebrekkige beveiliging van de hardware de boel platgaat investeert men.”

In de praktijk voelt niemand zich verantwoordelijk voor dit belangrijke aspect voor de business continuïteit. André: “Alles ín de computerruimte is IT, de ruimte en de toegang ertoe is facilitair, maar het sleutelbeheer kan zomaar bij HR liggen.

Normenkader

De belangrijkste vragen die op tafel liggen zijn daarom: moeten we tot een bepaald normenkader komen dat duidelijkheid biedt? Welke rol kunnen leveranciers en partners, maar ook de overheid en brancheorganisaties daarbij spelen? André: “Of zeggen we: het belang wordt toch niet onderkend, laten we maar tevreden zijn met NIS2?”

Lees hier tot welke conclusies de deelnemers kwamen!