Digitale veiligheid is niet alleen techniek

Artikel Binnenlands Bestuur

Het onderstaande artikel is geplaatst op de website van het Binnenlands Bestuur:

‘Beveiliging begint met een goede technische oplossing, maar staat of valt met hoe gebruikers ermee omgaan.’

Geld wordt pas fout of goed, door wat je er samen mee doet. ASN-bank heeft met deze slogan naast een cliché ook een uitspraak te pakken die behalve op geld op nog veel meer zaken betrekking heeft. Een van die zaken is een informatiebeheersysteem. De afgelopen maanden is de beveiliging van dergelijke systemen bij de overheid regelmatig negatief in het nieuws geweest. Het aanwijzen van een oorzaak was in deze berichten vanzelfsprekend een belangrijk onderdeel. Aan deze vraag gaat echter de vraag vooraf wie er eigenlijk verantwoordelijk is voor een goede beveiliging. Net als geld in het ASN-bank-voorbeeld is ook een informatiebeheersysteem geen autonome factor, maar slechts een stuk gereedschap, een middel. De manier waarop ermee omgegaan wordt, bepaalt of het goed of fout gaat. Zo is beveiliging geen kwestie van de dienstverlener, de opdrachtgever of de gebruiker alleen. Beveiliging begint met een goede technische oplossing, maar staat of valt met hoe gebruikers ermee omgaan. Het is iets wat met elkaar bewaakt moet worden.

Stelt u zich eens voor: een overheidsinstantie wil haar raadsleden attenderen op het feit dat een bepaald vertrouwelijk stuk te raadplegen is. De omgeving waar het stuk staat opgeslagen is veilig en ook het wachtwoord waarmee het te bereiken is, is sterk. Hoe het inloggen in zijn werk gaat, staat echter uitgelegd in een nieuwsbrief die bewaard wordt in een openbaar online archief… De gevolgen laten zich raden. Een simpele situatie waaruit blijkt dat naast een veilige ICT-omgeving het minstens zo belangrijk is dat het proces van hoe er met de informatie en beveiligingszaken wordt omgegaan goed bewaakt wordt. Hier ligt een groot stuk verantwoordelijkheid bij de overheidsinstantie.

Natuurlijk is er altijd sprake van een samenspel tussen techniek en proces. Het verloop van een bepaald proces kan bijvoorbeeld voor een gedeelte verankerd worden in de techniek. Denk aan een systeem dat automatisch aangeeft dat het wachtwoord na een half jaar veranderd moet worden. Daarom is goede overeenstemming tussen dienstverlener en overheid op dit gebied ook erg belangrijk.

Wat een dienstverlener naast advies verder aan een overheidsinstantie kan en moet bieden, is een goede begeleiding op het gebied van beveiliging. Gemakkelijk is het tenslotte niet: alle gebruikers moeten op de hoogte zijn, het belang van de handelingen inzien en altijd handelen naar de gegeven instructies. Daarnaast moet de situatie ook nog eens werkbaar blijven. Toch zijn er eenvoudige acties te bedenken die de beveiliging ten goede komen. Te denken valt aan verstrekken van tips over het kiezen van een goed wachtwoord en hoe er met zo’n wachtwoord moet worden omgegaan. Zoals uit bovenstaand voorbeeld bleek, is een sterk wachtwoord namelijk niet meer zo sterk als het ook aan anderen wordt verstrekt, ook niet als het om iemand van de IT-afdeling gaat. Om het belang van sterke wachtwoorden aan te geven, is het verstandig een uitleg te geven hoe hackers te werk gaan. Wist u bijvoorbeeld dat bij een zogenaamde brute force attack duizenden wachtwoorden per seconde automatisch kunnen worden uitgeprobeerd?

Kortom: om op korte termijn de beveiliging van overheidsinformatie efficiënt te verbeteren, is actie vanuit alle partijen noodzakelijk. Voor een veilig informatiebeheersysteem is de onderliggende technologie van groot belang. Maar de focus moet ook liggen op een veilig werkproces en op de bewustwording daarvan bij alle gebruikers van het systeem. Daardoor kan met een minimale inspanning de veiligheid van gebruikte systemen snel met sprongen vooruit gaan. Digitale veiligheid is niet alleen techniek, maar ook mensenwerk

Rufus Flipse is directeur van NotuBiz.
Wouter van Dongen is directeur van DongIT.