Informatieveiligheid is urgenter dan ooit
Het grootschalige aftappen door de NSA, incidenten met sociale media en affaires als Diginotar maken duidelijk dat informatie niet zomaar veilig is. “Toch vertalen wij ambtenaren informatieveiligheid nog lang niet altijd naar de eigen situatie en werkomgeving”, stelt Guus Bronkhorst, MT-lid van de directie Burgerschap en Informatie van BZK.
Guus Bronkhorst, MT-lid van de directie Burgerschap en Informatie van Binnenlandse Zaken
Guus Bronkhorst is gedelegeerd opdrachtgever van de begin dit jaar opgerichte Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening). Deze taskforce wil dat alle bestuurders bij de overheid informatieveiligheid gaan zien als onderdeel van hun werk. Het is voor het eerst dat binnen de overheid een aparte taskforce voor informatieveiligheid is opgericht. Volgens Bronkhorst een teken dat het groeiende belang wordt erkend. “We moeten nu gaan beseffen dat er ook in ons eigen werk meegekeken en meegeluisterd kan worden en dat cybercriminelen aan de haal kunnen gaan met onze vertrouwelijke gegevens. Als we dit besef nog vijf jaar uitstellen zijn we te laat.”
Zoektocht
Bronkhorst betoogt dat een betere bescherming van informatie begint bij veiligheidsbewustwording. “Dat is de basis. Je kunt je systemen nog zo goed beveiligen, als je vervolgens tijdens een telefoongesprek in de trein vertrouwelijke informatie bespreekt heeft dat weinig zin.” Het gaat volgens Bronkhorst soms om eenvoudige aanpassingen in het gedrag. “Wanneer je vertrouwelijke informatie wilt bespreken, kies je bijvoorbeeld beter geen gsm. We weten immers dat die gsm niet volledig veilig is. Of zorg dat er niemand achter je computer zomaar kan meekijken.” Bronkhorst erkent dat het geen sinecure is om een acceptabel veiligheidsniveau te bepalen. “Dat is een zoektocht. We kunnen altijd verrast worden door de nieuwe mogelijkheden en de gaten die cybercriminelen ontdekken in de beveiliging. Nieuwe technologische ontwikkelingen nemen in korte tijd een hoge vlucht. Apps bestonden zes jaar geleden nog niet, nu gebruikt bijna iedereen ze. Als overheid volgen we de techniek en zijn we niet leidend.”
De taskforce wil het veiligheidsbewustzijn creëren via symposia, publicaties en cursussen informatieveiligheid. Ze overlegt met overheidsorganisaties en -vertegenwoordigers. De VNG is nauw betrokken. Die pleit voor een portefeuille informatieveiligheid in het college van B&W en voor Chief Information Officers.
Maar hoe gaat de taskforce het veiligheidsbewustzijn eigenlijk meten? Bronkhorst: “We monitoren of overheden de baselines voor beveiliging accepteren die we met elkaar hebben afgesproken. We voeren assessments uit om te controleren of alle verkeer met DigiD veilig is. Bewustzijn is goed, maar dat moet wel organisatorisch en technisch belegd worden en dat kun je wel monitoren.”
Wisselend beeld
Het beeld dat uit de DigiD-assessments komt is volgens Bronkhorst op dit moment wisselend. “Sommige organisaties doen het goed, andere minder. We moeten nog tot eind dit jaar resultaten binnenkrijgen. Als er een strikt onveilige situatie is, kunnen we organisaties afsluiten van DigiD. Dat is nog niet gebeurd.” Vrijwel alle overheidsorganen zijn aangesloten op DigiD. Met medewerking van het Nationaal Cyber Security Centrum (NCSC) zijn er voorwaarden gesteld voor die aansluitingen. Maar alleen in strikt onveilige situaties volgen er maatregelen. Bronkhorst: “Al is er wat discussie over de betrouwbaarheid van DigiD als middel, met het veiligheidsniveau van de DigiD-infrastructuur zit het wel goed. De authenticatie blijkt keer op keer zeer veilig te zijn.” Er is volgens Bronkhorst geen aanleiding om bestuurders te gaan vertellen wat ze moeten doen en hoe, en met wetgeving te komen. “We zetten in op de zogenaamde verplichte zelfregulering. We volgen de koers dat het in het belang van de organisaties zelf is om het goed te regelen.”
Taak voor de burger
Kan de burger er voldoende op vertrouwen dat de overheid de bescherming van zijn gegevens goed regelt? Volgens Bronkhorst moet de overheid rekenschap kunnen geven aan de burger dat zijn gegevens veilig zijn. “Maar de burger heeft zelf ook een verantwoordelijkheid”, geeft hij aan. “Je geeft bijvoorbeeld niet zomaar je wachtwoord af. Dat klinkt logisch, maar de praktijk is weerbarstig.” Bronkhorst refereert aan onderzoek in België waarin een flink deel van de geïnterviewden aan het einde van het interview over veiligheid na een vriendelijk verzoek toch hun wachtwoord overhandigde.
Bronkhorst ziet daarnaast dat de burger ook mogelijkheden moet hebben om de overheid te controleren. Hoe reëel dat is, is de vraag. Onlangs waarschuwde de Ombudsman nog voor het gevaar van het verzamelen en combineren van onjuiste persoonsgegevens in bijvoorbeeld overheidsdatabases. Voor een burger is het niet alleen lastig om die gegevens in te zien, maar lijkt het ook onmogelijk om deze te laten corrigeren als er iets niet klopt. Bronkhorst erkent dat controle door de burger wellicht een moeilijke opgave is, maar dat inzage- en correctierecht voor burgers goed geregeld moet zijn. Bronkhorst: “In mijnoverheid.nl zijn we daarmee bezig. Het principe is: de burger mag en moet kunnen vertrouwen dat zijn gegevens bij de overheid veilig en correct zijn, maar moet ook in staat zijn dat na te gaan.”
de beste informatiebeveiliging is misschien de hoeveelheid informatie beperken?
“Het beeld dat uit de DigiD-assessments komt” is een groot verschil met het beeld dat ik van de DigiD-assessments heb gekregen…
Printscreentjes, niet praktische vragen, een papieren werkelijkheid.
We kunnen veel meer afschermen door gebruik te maken van de beschikbare techniek (gebruikte software).
Voordat mensen (medewerkers) ook veilig kunnen en willen werken moe je niet te veel belemmeringen en onhandigheden creëren. Dan worden de wachtwoorden achterin de agenda opgeschreven en kiezen ze voor de seizoenen (90 dagen wissel) of voor W3lkom1 t/m 12 voor de maandwissel enz.
DigiD-assessments moeten de praktijk beschrijven en daarop acteren en niet zoals nu de theorie op papier laten kloppen.
Hulde voor dit artikel. Bij het verlagen van risico’s dienen drie belangrijke zaken betrokken te worden: Techniek, Processen en de Mens. Bij de techniek draait het om de technische oplossingen die er zijn om netwerken en systemen af te schermen voor aanvallen van buitenaf. Bij de Procesen gaat het er om dat je in het beleid ervoor zorgt dat security op de agenda staat. Maak het bespreekbaar en ondersteun dat vanuit het top-management. Implemeenteer en security- en privacy beleid en ondersteun dat met een security awareness programma. En last BUT NOT LEAST het veilige gedrag van de mens … Er staat een prachtig voorbeeld in het artikel over het bespreken van vertrouwelijke informatie in de trein. Maar een organisatie blijft ook zeer kwetsbaar als medewerkers op phishing mails blijven klikken en/of onveilige passwords gebruiken en die passwords met iedereen delen en met post-its op het beeldschem plakken. IT Security risico’s kunnen heel goed verlaagd worden, maar dan gaat het om iets meer dan het installeren van een goede firewall. Er komt een nieuwe Europese Privacy wet aan die bedrijven middels hoge sancties gaat dwingen om hun privacy- en security op orde te brengen. Voorbereiding op deze nieuwe wetgeving is nodig. Graag geef ik aan iedereen nadere toelichting hierover.