De signaalfunctie van Basisbeveiliging.nl
Basisbeveiliging.nl is er niet alleen informatiebeveiligingsspecialisten. Bestuurders kunnen erop nagaan of de werkelijkheid overeenkomt met de interne rapportages die zij ontvangen. Een inkoper ziet of de dienstverlener up-to-date is. Leveranciers kunnen checken of zij nog steeds aan de gestelde (basis)eisen voldoen. En misschien wel het belangrijkst: voor burgers is het interessant om te zien of een overheidsorganisatie goed en zorgvuldig omgaat met online veiligheid en privacy.
Met zijn initiatief om de digitale veiligheid van gemeenten in kaart te brengen veroorzaakte Elger Jonker in 2016 vooral paniek. Op een conferentie, met een zaal vol CISO’s voor zich, toonde hij voor het eerst een landkaart waarop veel gemeenten oranje of rood kleurden. Na de eerste shock werden veel kwetsbaarheden opgelost, maar volgde er ook frictie: ‘Kunt u mijn domeinen z.s.m. van uw website Basisbeveiliging.nl verwijderen?!’ Het antwoord was – en is nog steeds – steevast ‘Nee’. Tegenwoordig ontvangen Jonker en zijn team vooral waardering voor het werk dat zij doen om de Nederlandse overheid digitaal weerbaarder te maken.
Centrum Informatiebeveiliging en Privacybescherming (CIP) draagt jaarlijks financieel bij aan de exploitatie, doorontwikkeling en optimalisatie van de website. Elger Jonker, initiatiefnemer van de Internet Cleanup Foundation, de stichting achter Basisbeveiliging.nl, en Geert-Jan van de Ven, directeur CIP, vertellen over de samenwerking tussen beide partijen, het gezamenlijke doel, de recente en aanstaande ontwikkelingen en voor wie het regelmatig bezoeken van de website is aan te raden.
Wat is kenmerkend voor de samenwerking tussen Basisbeveiliging en CIP?
Jonker: ‘Eind 2021 stond ik vanwege het uitblijven van financiële ondersteuning op het punt om Basisbeveiliging.nl op een lager pitje te zetten en ergens in loondienst te gaan. Tijdens het eerste sollicitatiegesprek ontving ik een mail van CIP dat er budget ter ondersteuning beschikbaar kon worden gesteld. Veel partijen hadden al bij mij aangegeven iets te willen met Basisbeveiliging.nl, maar CIP voegde de daad bij het woord.’
Van de Ven: ‘CIP is geen opdrachtgever van Basisbeveiliging: de financiële bijdrage gaat niet gepaard met een resultaatverplichting en dat geeft Elger de ruimte om de website te ontwikkelen zonder gedicteerd te worden door de overheid. Deze onafhankelijkheid is essentieel voor het behouden van een zuiver risicobeeld.’
Wat is het gezamenlijke doel van beide partijen?
Zowel Basisbeveiliging.nl als CIP zijn niet in het leven geroepen om verplichtingen op te leggen of overheidsorganisaties de les te lezen. Beide partijen zijn een voorstander van transparantie en willen organisaties verleiden om snel te acteren op onvolkomenheden.
Jonker: ‘Natuurlijk is het een mooi streven om als organisatie groen te kleuren op Basisbeveiliging.nl. Maar een terugval naar oranje of zelfs rood is goed mogelijk, vooral als er een upgrade heeft plaatsgevonden of er een nieuw project is gestart. Dit voorkomen is duur, onrealistisch en helemaal niet nodig. Van belang is dat je te allen tijde in control blijft, zodat terugval tijdelijk is.’
Van de Ven: ‘Eigenlijk is het ultieme doel dat alle overheidsorganisaties de digitale veiligheid zodanig op orde hebben dat Basisbeveiliging.nl overbodig is. Maar zo’n vaart zal dat niet lopen: de signaalfunctie en aandacht voor de werkelijke stand van zaken blijft altijd nodig.’
Welke ontwikkelingen maakt Basisbeveiliging door?
Inmiddels brengt Basisbeveiliging zo’n 10.000 organisaties in kaart. Al deze informatie is afkomstig uit openbare bronnen. Als een kaart bijna volledig groen kleurt, worden er risico’s toegevoegd. Niet om te pesten, maar om de lat hoger te leggen. Wel houdt Basisbeveiliging.nl rekening met geplande beveiligingsupdates van grote leveranciers als Microsoft. Omdat overheidsorganisaties hier helemaal geen invloed op hebben, worden zij er niet negatief op beoordeeld.
Jonker: ‘Afgelopen jaar hebben we aan 100 organisaties een baseline cyber security certificaat uitgereikt: zij stonden tijdens de testperiode minstens een dag lang op groen. Komend jaar gaan we de ontwikkelingen die organisaties doormaken visualiseren. Soms hebben zij veel werk verzet zonder nog van kleur te veranderen en dat willen we inzichtelijk maken.’
Lees het verhaal van de gemeenten Hillegom, Lisse en Teylingen; een van de weinige gemeenten die in 2024 een baseline cyber security certificaat ontvingen.
Voor wie is Basisbeveiliging.nl in het leven geroepen?
Basisbeveiliging.nl is niet alleen voor informatiebeveiligingsspecialisten, juist ook voor bestuurders, dienstverleners en niet te vergeten de burgers. Bestuurders kunnen erop nagaan of de werkelijkheid overeenkomt met de interne rapportages die zij ontvangen. Een inkoper ziet of de dienstverlener up-to-date is. Leveranciers kunnen checken of zij nog steeds aan de gestelde (basis)eisen voldoen. En misschien wel het belangrijkst: voor burgers is het interessant om te zien of een overheidsorganisatie goed en zorgvuldig omgaat met online veiligheid en privacy, zoals de plaatsing van volgcookies.
Van de Ven: ‘Regelmatig zit er een verschil tussen de managementrapportage, waar filters overheen zijn gegaan, en de daadwerkelijke digitale veiligheid. Ik raad bestuurders aan om de resultaten op Basisbeveiliging.nl als hulpmiddel te gebruiken in gesprek met de (C)I(S)O. Deze input geeft andere voeding en bovendien geeft het een beeld dat openbaar is en iedereen dus kan inzien.’
Jonker: ‘Naast iedereen uit het vakgebied en werkzaam bij een overheidsorganisatie, wil ik een oproep doen aan twee andere groepen. Burgers hebben belang bij een digitaal veilige overheid en kunnen domeinen aandragen waar wij nog geen weet van hebben. Aan leveranciers het verzoek om proactief de resultaten van de door jou geleverde website(s) op te zoeken en het voortouw te nemen in het verbeteren van de digitale veiligheid hiervan. Niet alle overheidsorganisaties beschikken over voldoende kennis en capaciteit om de veiligheidsrisico’s te duiden.’
Welke tip willen jullie tot slot nog meegeven?
Jonker: ‘Wat we kunnen leren van goed presterende organisaties, bijvoorbeeld de drie grootste banken, is dat het opruimen van (oude) domeinen een enorm verschil maakt. Veel organisaties hebben tientallen, soms meer dan honderd domeinen actief staan waarvan een groot deel niet meer relevant is en niemand weet wie de producteigenaar is of was.’
Van de Ven: ‘Leg binnen jouw organisatie de focus op weerbaarheid in plaats van op de perfecte score en maak bewuste keuzes als het gaat om informatiebeveiliging. Een grote overheidsorganisatie die bijzondere persoonsgegevens verwerkt, dient anders om te gaan met digitale beveiligingsrisico’s dan de basisschool bij jou in de buurt. Als je de gestelde prioriteiten maar kunt toelichten.’
Lees ook:
