eerder verschenen nummers

zoeken binnen de website

Informatieveiligheid is urgenter dan ooit

Guus Bronkhorst pleit voor meer veiligheidsbewustzijn bij ambtenaar en burger

door: Nicole vd Steen | 20 februari 2014

Het grootschalige aftappen door de NSA, incidenten met sociale media en affaires als Diginotar maken duidelijk dat informatie niet zomaar veilig is. “Toch vertalen wij ambtenaren informatieveiligheid nog lang niet altijd naar de eigen situatie en werkomgeving”, stelt Guus Bronkhorst, MT-lid van de directie Burgerschap en Informatie van BZK.

Guus Bronkhorst

Guus Bronkhorst, MT-lid van de directie Burgerschap en Informatie van Binnenlandse Zaken

Guus Bronkhorst is gedelegeerd opdrachtgever van de begin dit jaar opgerichte Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening). Deze taskforce wil dat alle bestuurders bij de overheid informatieveiligheid gaan zien als onderdeel van hun werk. Het is voor het eerst dat binnen de overheid een aparte taskforce voor informatieveiligheid is opgericht. Volgens Bronkhorst een teken dat het groeiende belang wordt erkend. “We moeten nu gaan beseffen dat er ook in ons eigen werk meegekeken en meegeluisterd kan worden en dat cybercriminelen aan de haal kunnen gaan met onze vertrouwelijke gegevens. Als we dit besef nog vijf jaar uitstellen zijn we te laat.”

Zoektocht

Bronkhorst betoogt dat een betere bescherming van informatie begint bij veiligheidsbewustwording. “Dat is de basis. Je kunt je systemen nog zo goed beveiligen, als je vervolgens tijdens een telefoongesprek in de trein vertrouwelijke informatie bespreekt heeft dat weinig zin.” Het gaat volgens Bronkhorst soms om eenvoudige aanpassingen in het gedrag. “Wanneer je vertrouwelijke informatie wilt bespreken, kies je bijvoorbeeld beter geen gsm. We weten immers dat die gsm niet volledig veilig is. Of zorg dat er niemand achter je computer zomaar kan meekijken.” Bronkhorst erkent dat het geen sinecure is om een acceptabel veiligheidsniveau te bepalen. “Dat is een zoektocht. We kunnen altijd verrast worden door de nieuwe mogelijkheden en de gaten die cybercriminelen ontdekken in de beveiliging. Nieuwe technologische ontwikkelingen nemen in korte tijd een hoge vlucht. Apps bestonden zes jaar geleden nog niet, nu gebruikt bijna iedereen ze. Als overheid volgen we de techniek en zijn we niet leidend.”

De taskforce wil het veiligheidsbewustzijn creëren via symposia, publicaties en cursussen informatieveiligheid. Ze overlegt met overheidsorganisaties en -vertegenwoordigers. De VNG is nauw betrokken. Die pleit voor een portefeuille informatieveiligheid in het college van B&W en voor Chief Information Officers.
Maar hoe gaat de taskforce het veiligheidsbewustzijn eigenlijk meten? Bronkhorst: “We monitoren of overheden de baselines voor beveiliging accepteren die we met elkaar hebben afgesproken. We voeren assessments uit om te controleren of alle verkeer met DigiD veilig is. Bewustzijn is goed, maar dat moet wel organisatorisch en technisch belegd worden en dat kun je wel monitoren.”

Wisselend beeld

Het beeld dat uit de DigiD-assessments komt is volgens Bronkhorst op dit moment wisselend. “Sommige organisaties doen het goed, andere minder. We moeten nog tot eind dit jaar resultaten binnenkrijgen. Als er een strikt onveilige situatie is, kunnen we organisaties afsluiten van DigiD. Dat is nog niet gebeurd.” Vrijwel alle overheidsorganen zijn aangesloten op DigiD. Met medewerking van het Nationaal Cyber Security Centrum (NCSC) zijn er voorwaarden gesteld voor die aansluitingen. Maar alleen in strikt onveilige situaties volgen er maatregelen. Bronkhorst: “Al is er wat discussie over de betrouwbaarheid van DigiD als middel, met het veiligheidsniveau van de DigiD-infrastructuur zit het wel goed. De authenticatie blijkt keer op keer zeer veilig te zijn.” Er is volgens Bronkhorst geen aanleiding om bestuurders te gaan vertellen wat ze moeten doen en hoe, en met wetgeving te komen. “We zetten in op de zogenaamde verplichte zelfregulering. We volgen de koers dat het in het belang van de organisaties zelf is om het goed te regelen.”

Taak voor de burger

Kan de burger er voldoende op vertrouwen dat de overheid de bescherming van zijn gegevens goed regelt? Volgens Bronkhorst moet de overheid rekenschap kunnen geven aan de burger dat zijn gegevens veilig zijn. “Maar de burger heeft zelf ook een verantwoordelijkheid”, geeft hij aan. “Je geeft bijvoorbeeld niet zomaar je wachtwoord af. Dat klinkt logisch, maar de praktijk is weerbarstig.” Bronkhorst refereert aan onderzoek in België waarin een flink deel van de geïnterviewden aan het einde van het interview over veiligheid na een vriendelijk verzoek toch hun wachtwoord overhandigde.
Bronkhorst ziet daarnaast dat de burger ook mogelijkheden moet hebben om de overheid te controleren. Hoe reëel dat is, is de vraag. Onlangs waarschuwde de Ombudsman nog voor het gevaar van het verzamelen en combineren van onjuiste persoonsgegevens in bijvoorbeeld overheidsdatabases. Voor een burger is het niet alleen lastig om die gegevens in te zien, maar lijkt het ook onmogelijk om deze te laten corrigeren als er iets niet klopt. Bronkhorst erkent dat controle door de burger wellicht een moeilijke opgave is, maar dat inzage- en correctierecht voor burgers goed geregeld moet zijn. Bronkhorst: “In mijnoverheid.nl zijn we daarmee bezig. Het principe is: de burger mag en moet kunnen vertrouwen dat zijn gegevens bij de overheid veilig en correct zijn, maar moet ook in staat zijn dat na te gaan.”

reacties: 2

tags: , ,

  • Geert Wester (gemeente Deventer) #

    20 februari 2014, 18:13

    de beste informatiebeveiliging is misschien de hoeveelheid informatie beperken?

  • Rob Koch, Sebyde BV #

    25 februari 2014, 10:47

    Hulde voor dit artikel. Bij het verlagen van risico’s dienen drie belangrijke zaken betrokken te worden: Techniek, Processen en de Mens. Bij de techniek draait het om de technische oplossingen die er zijn om netwerken en systemen af te schermen voor aanvallen van buitenaf. Bij de Procesen gaat het er om dat je in het beleid ervoor zorgt dat security op de agenda staat. Maak het bespreekbaar en ondersteun dat vanuit het top-management. Implemeenteer en security- en privacy beleid en ondersteun dat met een security awareness programma. En last BUT NOT LEAST het veilige gedrag van de mens … Er staat een prachtig voorbeeld in het artikel over het bespreken van vertrouwelijke informatie in de trein. Maar een organisatie blijft ook zeer kwetsbaar als medewerkers op phishing mails blijven klikken en/of onveilige passwords gebruiken en die passwords met iedereen delen en met post-its op het beeldschem plakken. IT Security risico’s kunnen heel goed verlaagd worden, maar dan gaat het om iets meer dan het installeren van een goede firewall. Er komt een nieuwe Europese Privacy wet aan die bedrijven middels hoge sancties gaat dwingen om hun privacy- en security op orde te brengen. Voorbereiding op deze nieuwe wetgeving is nodig. Graag geef ik aan iedereen nadere toelichting hierover.

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.