Laat je smartphone maar thuis

ANALYSE - Vanaf komend voorjaar worden gemeenten vanuit de VNG verplicht om een wethouder verantwoordelijk te maken voor informatiebeveiliging. Deze afspraak moet worden vastgelegd in het coalitieakkoord. De verwachting is dat door de toenemende mate van ketensamenwerking het aantal normen en compliancy-eisen de komende jaren verder zal toenemen.

Op het vlak van informatiebeveiliging wijken ambtenaren niet veel af van de gemiddelde consument, zo bleek in november 2013 uit een onderzoek van de inspectie SZW. Gemeenten, maar ook andere overheden, hebben echter meer nodig dan alleen een security officer.

Ondanks richtlijnen en controle bleek het gebruik van vertrouwelijke informatie binnen gemeenten niet op orde te zijn. Het Suwi-inkijk-incident in november 2013 is daar een voorbeeld van. Gemeenten, het UWV en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Daarin zijn gegevens in te zien over inkomsten, uitkeringen, autobezit, diplomagegevens en examenresultaten. Gemeenten moeten maatregelen treffen tegen het raadplegen van persoonsgegevens van burgers zonder goede reden. Uit een inspectie kwam naar voren dat slechts vier procent van de gemeenten voor het gebruik van Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen van de onderzochte normen voor informatiebeveiliging. De Inspectie constateerde tijdens het onderzoek dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld.

Van alle gemeenten heeft 58 procent formeel een security officer aangesteld, die moet adviseren over bijvoorbeeld beveiliging en access management. In verschillende  gemeenten bestaat een clean desk policy, maar de meeste aandacht gaat daarbij uit naar vermindering van de papierstroom en verlaging van het aantal administratieve fouten.

Er is weinig aandacht voor de afbakening van Bring Your Own Device (BYOD). Het Nationaal Cyber Security Centrum (NCSC) heeft richtlijnen gepubliceerd hoe gebruikers van mobiele devices hun systeem kunnen beveiligen. Het NCSC somt maatregelen op die betrekking hebben op het mobiele apparaat, op het gebruik en de configuratie van het mobiele besturingssysteem (zoals iOS en Android) en op de applicaties (apps) die op het mobiele apparaat zijn geïnstalleerd. Daarbij ligt het accent op bedreigingen van buitenaf zoals afluisteren en het gebruik van clouddiensten (“de beveiliging van dergelijke diensten heeft u niet zelf in de hand en is niet altijd afdoende, wees dus voorzichtig bij onlineopslag vanaf uw mobiele apparaat”). Gebruikers moeten verder het aantal geïnstalleerde apps beperken, de rechten van geïnstalleerde apps tot een absoluut minimum beperken en locatievoorzieningen zoveel mogelijk uit te schakelen, zo luiden de adviezen. Kortom, als we het NCSC moeten geloven liggen de risico’s van mobiel werken vooral in de omgeving. Maar juist het onderzoek van SZW heeft laten zien dat vooral in het gedrag van medewerkersrisico’s schuilen.

In sommige sectoren van onze samenleving raakt de informatiebeveiliging het BYOD-beleid. Er zijn organisaties waar je geen smartphone mee mag nemen naar je werkplek. Wanneer je wilt bellen, moet je de telefoon op je bureau of de softphone op je pc of laptop gebruiken. Ook pen en papier zijn niet toegestaan. Daarmee kan worden voorkomen dat scherminformatie wordt gekopieerd. Het lijkt lastig, maar op veel andere momenten kunnen we ook zonder pen en papier. Ik wil niet zeggen dat alle ambtenaren moeten overstappen op een volledig digitale werkplek. Maar ik denk wel dat het tijd wordt om duidelijker regels en strengere audits in te voeren. Gedrag verandert alleen als er duidelijke kaders en sancties bestaan en het goede voorbeeld wordt gegeven. Informatie is geen entertainment, al lijkt het Suwi-incident met het raadplegen van gegevens van BN’ers het tegendeel te bewijzen.

Via The Connected World.

  1. 1

    Ook pen en papier zijn niet toegestaan. Daarmee kan worden voorkomen dat scherminformatie wordt gekopieerd. Het lijkt lastig, maar op veel andere momenten kunnen we ook zonder pen en papier. Ik wil niet zeggen dat alle ambtenaren moeten overstappen op een volledig digitale werkplek

    Ik zou ook voorstellen om alle ambtenaren bij aanstelling een lobotomie te laten ondergaan zodat ze niet in staat zijn sofinummers en persoonsgevoelige informatie uit hun hoofd te leren en mee naar huis te nemen.

    Dude. In een tijd waarin de NSA’s en AIVD’s probleemloos miljoenen records met privacygevoelige informatie hosselen ga jij je druk maken over die ene ambtenaar die een sofinummer van z’n scherm overschrijft. Je bent volslagen debiel.

  2. 3

    @2: lekker inhoudelijke reactie ook, ‘frank789’. Ik dacht dat een van de ‘verworvenheden’ van het laatste decennium was dat we de dingen mochten benoemen? Nou, wat Erik Bouwer voorstelt is debiel beleid. Sim-pel.

    Als je werken met persoonsgevoelige informatie serieus neemt, dan zoek je je toevlucht niet tot draconische maatregelen zoals ‘je mag geen pen en papier gebruiken’. Je doet dat op twee/drie manieren: allereerst zorg je voor een goede afscherming met de buitenwereld, daarnaast breng je je personeel bij dat ze met persoonsgevoelige data werken en dat ze dus niet zomaar klakkeloos wat moeten doen ‘omdat dat handig was’, maar dat ze een risicoafweging maken, en tenslotte doe je uitgebreid aan monitoring/logging, en als organisatie *spreek je mensen ook aan* op ‘verdacht’ gedrag wat daarbij naar boven komt.

    Dat er zo af en toe eens iemand tegen de lamp loopt is niet erg, sterker nog, dat is juist goed. Dat geeft de ‘monitors’ het idee dat wat ze doen niet voor niets is, en het is een waarschuwing voor de rest van de organisatie.

    Wat je voorstelt is een typische reflex van mensen die zo geobsedeerd zijn met beveiliging dat ze vergeten dat er ook nog werk gedaan moet worden. En dat, als je beveiliging te rigoreus maakt, mensen of hun werk meer kunnen doen, zodat mensen gedwongen worden om onveilig te gaan werken willen ze wel hun werk kunnen doen, of op tijd kunnen opleveren.

    Dat fenomeen is niet iets wat uitzonderlijk is voor IT & privacy. Je ziet hetzelfde in de metaalindustrie waar arbeiders beveiligingen uitschakelen omdat ze ‘niet handig zijn’ en daardoor zwaar gewond raken. Dan kun je natuurlijk gaan roepen ‘dat die medewerkers zich niet aan de regels hebben gehouden’, maar het zou zomaar ook eens kunnen zijn dat de verantwoordelijkheid voor die onveilige situatie bij jou ligt. Omdat jij de situatie hebt gecreerd waarin mensen er voor kiezen om onveilig te werken. Eat that.

  3. 4

    @3
    Als u het verschil niet kent tussen “wat u voorstelt is onzinnig” en “u bent volslagen debiel” dan moet u uw schoolgeld terughalen, dat heeft niets met “verworvenheden” te maken.

    Of ik verder wel of niet inhoudelijk wens te reageren is mijn beslissing, dat bepaalt u niet. Misschien ben ik het wel met u eens, maar als iemand gaat schelden neem ik hem/haar sowieso niet meer serieus.

  4. 5

    @3: Als je alleen maar kan zuigen over stijl, zonder iets inhoudelijks in te brengen, dan hoef je van mij niet te reageren. Ik zou het op prijs stellen als de redactie dit soort reacties zou verwijderen.

    Daarnaast zit d’r nog een logica-fout in je reactie: om serieus te overwegen ‘volslagen onzinnig beleid’ voor te stellen, moet je wel debiel zijn.

  5. 7

    @5
    In de huisregels staat niet dat je inhoudelijk moet reageren.
    Er staat wèl dat een reden tot verwijdering kan zijn: “Persoonlijke beledigingen aan het adres van bloggers of andere reageerders.”

    Dus de redactie is gerechtigd uw reactie te verwijderen.