Laat je smartphone maar thuis

Vanaf komend voorjaar worden gemeenten vanuit de VNG verplicht om een wethouder verantwoordelijk te maken voor informatiebeveiliging. Deze afspraak moet worden vastgelegd in het coalitieakkoord. De verwachting is dat door de toenemende mate van ketensamenwerking het aantal normen en compliancy-eisen de komende jaren verder zal toenemen.

Op het vlak van informatiebeveiliging wijken ambtenaren niet veel af van de gemiddelde consument, zo bleek in november 2013 uit een onderzoek van de inspectie SZW. Gemeenten, maar ook andere overheden, hebben echter meer nodig dan alleen een security officer.

Ondanks richtlijnen en controle bleek het gebruik van vertrouwelijke informatie binnen gemeenten niet op orde te zijn. Het Suwi-inkijk incident in november 2013 is daar een voorbeeld van. Gemeenten, het UWV en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Daarin zijn gegevens in te zien over inkomsten, uitkeringen, autobezit, diplomagegevens en examenresultaten. Gemeenten moeten maatregelen treffen tegen het raadplegen van persoonsgegevens van burgers zonder goede reden. Uit een inspectie kwam naar voren dat slechts vier procent van de gemeenten voor het gebruik van Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen van de onderzochte normen voor informatiebeveiliging. De Inspectie constateerde tijdens het onderzoek dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld.

Van alle gemeenten heeft 58 procent formeel een security officer aangesteld, die moet adviseren over bijvoorbeeld beveiliging en access management. In verschillende  gemeenten bestaat een clean desk policy, maar de meeste aandacht gaat daarbij uit naar vermindering van de papierstroom en verlaging van het aantal administratieve fouten.

Weinig aandacht is er voor de afbakening van Bring Your Own Device. Het Nationaal Cyber Security Centrum (NCSC) heeft richtlijnen gepubliceerd hoe gebruikers van mobiele devices hun systeem kunnen beveiligen. Het NCSC somt maatregelen op die betrekking hebben op het mobiele apparaat, op het gebruik en de configuratie van het mobiele besturingssysteem (zoals iOS en Android) en op de applicaties (apps) die op het mobiele apparaat zijn geïnstalleerd. Daarbij ligt het accent op bedreigingen van buitenaf zoals afluisteren en het gebruik van clouddiensten (“de beveiliging van dergelijke diensten heeft u niet zelf in de hand en is niet altijd afdoende, wees dus voorzichtig bij onlineopslag vanaf uw mobiele apparaat”). Gebruikers moeten verder het aantal geïnstalleerde apps beperken, de rechten van geïnstalleerde apps tot een absoluut minimum beperken en locatievoorzieningen zoveel mogelijk uit te schakelen, zo luiden de adviezen. Kortom, als we het NCSC moeten geloven liggen de risico’s van mobiel werken vooral in de omgeving. Maar juist het onderzoek van SZW heeft laten zien dat vooral in het gedrag van medewerkers risico’s schuilen.

In sommige sectoren van onze samenleving raakt de informatiebeveiliging het BYOD-beleid. Er zijn organisaties waar je geen smartphone mee mag nemen naar je werkplek. Wanneer je wilt bellen, moet je de telefoon op je bureau of de softphone op je pc of laptop gebruiken. Ook pen en papier zijn niet toegestaan. Daarmee kan worden voorkomen dat scherminformatie wordt gekopieerd. Het lijkt lastig, maar op veel andere momenten kunnen we ook zonder pen en papier. Ik wil niet zeggen dat alle ambtenaren moeten overstappen op een volledig digitale werkplek. Maar ik denk wel dat het tijd wordt om duidelijker regels en strengere audits in te voeren. Gedrag verandert alleen als er duidelijke kaders en sancties bestaan en het goede voorbeeld wordt gegeven. Informatie is geen entertainment, al lijkt het Suwi-incident met het raadplegen van gegevens van BN’ers het tegendeel te bewijzen.

 

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems