De informatiekraak in 2011 bij Diginotar - als trusted thirth party voor de overheid - had vergaande consequenties. Naast direct overheidsingrijpen en het faillissement van Diginotar werd de kennispositie van overheidsspelers op gebied van veiligheid cruciaal.
Beeld: Jan Alexander / Pixabay
Actuele kennis over informatiebeveiliging en privacybescherming en aanvullend implementatiekennis binnen de overheid worden sinds 2012 behartigd door het CIP. Een nadere kennismaking met een netwerk dat meer dan 650 publieke organisaties en kennispartners verbindt.
Juli 2011. Diginotar wordt gehackt en vervalste PKI-overheidscertificaten komen in omloop. Het lukt het bedrijf niet om de zaak onder controle te krijgen waardoor geen enkel certificaat meer is te vertrouwen. Niet langer is zeker dat als een gebruiker inlogt op een Nederlandse overheidswebsite, hij daadwerkelijk op die site terecht is gekomen en op betrouwbare en vertrouwelijke wijze gegevens kan delen met de overheid. Het vertrouwen in het digitale communicatieverkeer wordt aangetast en de minister van Binnenlandse Zaken moet ingrijpen. Diginotar gaat kort daarop failliet.
Toenemend bewustzijn én beleid
De informatiekraak doet veel bij bestuurders en medewerkers die dagelijks bezig zijn met ICT en veiligheid. ICT staat niet op zich, maar er hangt samen met een veelheid aan (veranderende) processen en thema’s. Of het nu gaat om inkoopeisen van ICT, externe en interne beveiligingseisen, ontwikkelingen op gebied van hosting, veranderende richtlijnen rondom privacy en uitwisseling van gegevens, ethiek, uitvoeren van tests, ontwikkelingen binnen DevOps, etc. Daar doorheen verweven is toenemend beleid vanuit de overheid ten aanzien van veiligheid, risicomanagement, privacybescherming en – meer recent – digitale toegankelijkheid, archivering, etc.
Het inzicht ontstond al snel dat door de toenemende digitalisering van de werkprocessen (complexiteit), de communicatie met burgers en de groeiende veiligheidsrisico’s (mogelijke criminaliteit), er meer aandacht dan ooit nodig is.
CIP als kennisverbinder
Uit nood en deugd werd het CIP opgericht door de Belastingdienst, DUO, SVB en UWV samen; alle gegevensverwerkende overheidsorganisaties. Het CIP, voluit Centrum voor Informatiebeveiliging en Privacybescherming, is een publiek-private netwerkorganisatie die bestaat uit Participanten en Kennispartners. Participanten zijn overheidsbedrijven waarvan medewerkers meedoen aan een of meer van de werkverbanden in het netwerk. Kennispartners zijn marktpartijen die met een convenant verbonden zijn en een hoeveelheid uren hebben toegezegd in de samenwerking.
CIP is in 8 jaar tijd gegroeid naar een kennisverbinder die deskundigen van verschillende organisaties weet te mobiliseren, online en offline. De netwerkorganisatie telt meer dan 3300 leden werkzaam bij ruim 650 verschillende organisaties. Online wordt gebruikt gemaakt van een samenwerkingsomgeving op basis van Pleio en de openbare website www.cip-overheid.nl. Offline organiseert het CIP jaarlijks meer dan 100 kennisbijeenkomsten over thema’s als veilige software, Internet of Things, privacy, inkoop en ethiek.
Aanvullend zijn praktische hulpmiddelen ontwikkeld zoals crisissimulaties (gaming), self assessments, baselines en er zijn aparte communities rond thema’s als Privacy, Veilige Software, Ethiek, et cetera. Verder zijn er communities voor specifieke functies zoals voor Functionarissen Gegevensbescherming (FG’s) en Chief Information and Security Officers (CISO’s).
Waar nodig worden krachten gebundeld en komen producten zoals whitepapers en adviezen tot stand. Producten waarop beleidsmakers en uitvoerders zich steeds meer baseren. Toenemende waarde voor aangesloten organisaties dus.
Leidende principes van het netwerk zijn telkens:
- werken op basis voor ‘voor allen, door allen’,
- nadruk op de praktische vertaling (‘how to’).
- kennis delen met gesloten beurzen
- en Creative Commons (d.i. vrijelijk kunnen delen en overnemen van ontwikkelde kennis).
CIP ervaart een soortgelijke behoefte binnen de zorg. Namelijk dat de ‘practitioners’ binnen verschillende zorginstellingen in verbinding willen komen met vakgenoten binnen de zorg, zodat ze met elkaar kennis kunnen delen op gebied van veiligheid en privacy. Van oudsher bestaat deze verbinding nog niet op deze thema’s, wat deels is ingegeven door de grote diversiteit aan zorgaanbieders / -leveranciers. Actuele onderwerpen die gedeelde aandacht vragen zijn op dit moment bijvoorbeeld elektronische patiëntendossiers, risico’s van het kunnen binnendringen en hacken van medische apparaten, etc. Inmiddels zijn er eerste initiatieven om de veiligheidsfunctionarissen binnen de zorg via het CIP met elkaar te verbinden.
Inzet Pleio als online kennisplatform
Om samenwerking óver de vele organisatiegrenzen heen mogelijk te maken zet CIP het online platform Pleio in. Pleio is een opensourcesamenwerkingsplatform dat specifiek is ontwikkeld voor communicatie en interactie binnen, tussen en met overheidsorganisaties. Op de site https://cip.pleio.nl/ vinden de deskundigen elkaar, bespreken er hun vragen en delen hun kennisproducten op diverse digitale fora. Belangrijk om burgers en ondernemers te kunnen blijven beschermen, omdat de overheid er in de eerste plaats voor hen is.
Meer weten?
Het CIP is gevestigd in Amsterdam, binnen het hoofdkantoor van UWV. Bezoek ook de algemene site www.cip-overheid.nl of word lid van de online samenwerkingsomgeving https://cip.pleio.nl/.
