Blog

Eigen verantwoording

De beveiliging van ICT-systemen bij organisaties is vakwerk. Dat betekent niet dat gebruikers niets kunnen doen.

Ik werk al zo’n dertig jaar in de ICT. De beveiliging van informatiesystemen heeft me altijd geïntrigeerd.

In 1989 las ik het boek ‘Het koekoeksei’ van Cliff Stoll. Dat ging over een hack van de Amerikaanse defensie-organisatie. Het werd geconstateerd door een stagiaire die een paar dollarcents miste op de facturen die moesten worden doorbelast. Enkele centen die niet verklaarbaar zijn is vreemd, want computertellers maken geen fouten. Het verhaal maakte grote indruk op me. Terugkijkend was dit een heftige hack, maar in vergelijking met wat er vandaag de dag gebeurt en kan gebeuren was het eigenlijk kinderspel. Maar is iedereen zich hiervan wel bewust en wordt er rekening mee gehouden of is het alleen mijn obsessie?

Als ICT-verantwoordelijke heb ik dagelijks te maken met uiteenlopende situaties die direct te maken hebben met informatiebeveiliging en privacy. Phishingmails die gebruikers ontvangen, niet van echt te onderscheiden, zijn nog de meest bekende situaties. En jawel hoor, wachtwoorden worden gewoon gegeven als zo’n mail hierom vraagt. Een inwoner die onze site nabouwt om schuldeisers van zich af te houden en meteen even al zijn persoonlijke gegevens online zet. Vreemd, maar wel gebeurd. Het duurde wel even voor we doorhadden wat hier achter zat. Iemand die zijn iPad per ongeluk met het oud papier weggooit of iemand die zijn laptop in de trein laat liggen. Jammer, maar niet vreemd, papieren dossiers werden immers ook gewoon vergeten op openbare plekken.

Al diverse keren hebben we goede awareness sessies gegeven om iedereen te laten zien wat er fout kan gaan en wat zij er allemaal zelf aan kunnen doen. Geplande phisingcampagnes met e-learning erachter om de gebruiker meteen te laten zien hoe ze het de volgende keer beter kunnen doen. En aan ons de taak om het technisch zo goed te regelen dat we al deze missers kunnen opvangen. Want gebruikers kunnen immers fouten maken.

De vraag is ook of wijzelf als ICT-ers en de gebruikers doorhebben wat de risico’s zijn en wat er daadwerkelijk allemaal fout kan gaan. Een hack van je Facebook-account is lastig, maar is het echt gevaarlijk? Wat kunnen ze er echt mee? Je Twitteraccount, lastig als er uit jouw naam rare berichten komen, maar is dit levensbedreigend? Ik dacht wel iets verder na dan de gemiddelde gebruiker. Dat moet ook, want het is mijn werk. Dus voorzichtigheid boven alles. Dat probeer ik uit te dragen. In alle gesprekken en presentaties aan bestuurders, managers en eindgebruikers. Lastig, want door onze maatregelen worden zij beperkt in hun handelen (gemak) en hun werk. Het missiewerk blijft doorgaan.

De bewustwording aan anderen en ook bij mijzelf, bleef op een bepaald niveau. Dat is nu voorgoed veranderd door het lezen van het boek ‘Het is oorlog maar niemand die het ziet’ van Huib Modderkolk. Pas tijdens het lezen van zijn onderzoek, dat overigens als een roman leest, gingen mijn ogen nog verder open. Hij laat het grote plaatje zien. Hij toont aan wat er op wereldschaal gebeurt, welke rol Nederland hierin speelt en welke rol iedere ambtenaar hier in speelt. Het doel is juist het grote geheel en daar zijn poppetjes voor nodig om op macroniveau, internationaal, de oorlog te kunnen voeren.

De illusie dat alleen social media onveilig is, vergeet het maar. Ieder deel in het netwerk is onveilig. Alleen door het nemen van grote en grove maatregelen kun je het geheel beveiligen. En als er één onderdeel van deze hele keten het niet doet, is de hele keten kwetsbaar.

Medewerkers bij gemeenten, overheidsinstellingen, bestuurders: die zijn het doelwit. Hiermee kan er gehackt worden bij banken, openbare ruimten, energiecentrales, ziekenhuizen, havens en noem maar op.

De beveiliging van deze ICT-systemen is vakwerk. Maar als gebruiker heeft iedereen een eigen verantwoording. Daarom hier nog maar even de belangrijkste tips:

  • Zorg voor het gebruik van een wachtwoordzin en gebruik voor iedere site of device een ander wachtwoord;
  • Leg al je wachtwoorden vast in een wachtwoordkluis;
  • Zorg dat je altijd alle laatste versies hebt van software en devices;
  • Zorg dat je nooit op een onbeveiligd wifi-netwerk werkt;
  • Als je een site of een document niet vertrouwt, laat een expert er dan naar kijken;
  • Stel overal (indien mogelijk) two-factor-authentication in. Mocht iemand je wachtwoord hebben, dan kunnen ze er nog niets mee.

Marlène Geskes is afdelingshoofd ICT bij de IJsselgemeenten

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren