OPEN VIZIER OP INFORMATIEEN ORGANISATIEVEILIGHEID
Alle rechten voorbehouden. Niets van deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder vooraf gaande schriftelijke toestemming van de auteursrechthebbende.
Voorwoord – V-ICT-OR Overheden staan net als alle andere organisaties in de 21ste eeuw – een steeds vaker digitaal ontsloten wereld – voor grote uitdagingen op het gebied van informatieveiligheid. Informatieveiligheid belangt immers alle overheden als “overheidsge gevensbewaker” maar ook de leveranciers aan. Dagelijkse aandacht voor informatieveiligheid en privacy is daarom belangrijk, in het bijzonder binnen de processen waarbij persoons- en sociale gegevens worden geregistreerd en uitgewisseld. Het gaat dan niet alleen om de technische kant van informatieveiligheid en privacy, maar ook om het feit dat alle medewerkers in elke laag van de organisatie doordrongen moeten zijn van het belang en de risico’s. Het is dan ook significant dat overheden informatieveiligheid, het gevaar van cybercriminaliteit en het gevaar op inbreuken op privacy sterk verankeren in de organisatie en niet louter overlaten aan een interne of externe specialist ter zake. Dit alles vereist een verhoogde bewustwording om de maatschappelijke, financiële en politieke risico’s die incidenten met zich kunnen meebrengen te begrijpen, of om de impact te kunnen inschatten van de schade aangericht door onzorgvuldig handelen van medewerkers bij het gebruik van diverse databanken – van de overheid maar zeker ook van – vaak transnationale – private ondernemingen – met steeds meer (audiovisuele) gegevens van en over burgers. Bij het aanleggen en gebruik van nieuwe gegevensbronnen binnen onze innovatieve kennismaatschappij zou men er bijna moeten van uitgaan dat een geïnformeerde toestemming het basisrecht wordt. Met een duidelijke en correcte informatie waarom en hoe men deze data zal gebruiken, dienen overheden en bedrijven transparant te zijn omtrent welke informatie zij verzamelen en waarom, in het bijzonder in de domeinen gezondheid en sociale zekerheid.
3
In dit boekje laten we – naar goede gewoonte – diverse specialisten aan het woord vanuit hun eigen werkveld en de realiteit van elke dag als het om informatieveiligheid gaat. Om de dagelijkse werking niet uit het oog te verliezen gieten we graag over de vaak moeilijk te bevatten logica van topspecialisten een saus pragmatiek. Want pas door informatieveiligheid vanuit een pragmatische invalshoek te benaderen, krijgt het de juiste aandacht. Niemand binnen onze administraties wil zo maar persoons-, medische of sociale gegevens op straat zien belanden, daar zijn we ondertussen al lang uit. We hopen dan ook met deze uitgave bij te dragen aan de juiste collectieve en didactische bewustwording die dit thema vereist. Veel leesplezier.
Eddy Van der Stock Voorzitter Vlaamse ICT organisatie (V-ICT-OR vzw)
4
Voorwoord – VIAG Samen met onze collega’s van V-ICT-OR en de IBD is dit boekje tot stand gekomen. De artikels kennen ieder een eigen benadering. Niet verwonderlijk bij het thema informatieveiligheid. Want dit thema kan op verschillende wijzen bekeken worden: ·
·
·
instrumenteel: er wordt technisch heel wat ingeregeld en niemand kan nog zonder autorisatie van persoons- of andere gegevens benaderd worden; procesmatig: hierbij bekijken we wat maximaal haalbaar is aan beveiliging zonder daarbij de efficiëntie van de gemeentelijke overheidsprocessen te verhinderen. Daarbij mag men de factor mens zeker niet vergeten. Risicomanagement is hierbij een belangrijk hulpmiddel. Immers 100 % garantie is in een snel veranderende ICT omgeving niet te geven. Voor de gemeenteraad en college goed om zich dat te realiseren; gegevens: gegevens moeten makkelijk benaderbaar maar niet te misbruiken zijn. De overheid heeft veelal maximaal toegang en kan vanuit de verschillende registraties gegevens koppelen, zij verkrijgt op die wijze veel informatie. Met name op het gebied van de decentralisaties wordt duidelijk dat deze concentratie van gegevens om een hoge mate van professionaliteit vraagt van gemeenten.
De wetgeving in Nederland legt daarom ook diverse restricties op bij deze scenario’s. Dat helpt in de discussies over het onderwerp informatieveiligheid, waarbij een verschuiving plaatsvindt van technische maatregelen naar Governance. Meer dan bij andere onderwerpen op het gebied van ICT en dienstverlening komen bij het onderwerp privacy existentiële vragen aan de orde. Onze visie op de maatschappij, levensovertuiging, filosofische standpunten, wat is de rol van de overheid en de invloed van het tijdsgewricht waarin we leven? In onze multiculturele samenleving is plek voor iedereen, maar wel binnen de regels die we met elkaar hebben afgesproken. Echter, de wereld is groter dan een stukje Europa, ook dat gegeven dient een plek te krijgen in de discussie over informatieveiligheid. 5
Laat dit boekje een uitdaging en uitnodiging zijn aan u als lezer om met elkaar het gesprek aan te gaan over informatieveiligheid. Samen met alle medewerkers aan dit boekje hopen wij u voldoende stof te hebben meegegeven voor een boeiende discussie over dit onderwerp.
Arend Van Beek Voorzitter Vereniging van Coördinatoren Informatisering en Automatisering Nederlandse Gemeenten (VIAG)
6
Inhoudstafel Help, ik ben systeembeheerder! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 IT Governance bij de gemeente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Informatieveiligheid verankeren in de proceswerking
. . . . . 27
Informatiebeveiligingsdienst uit de startblokken in Nederland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Hoe het bewustzijn rond informatiebeveiliging binnen de organisatie bestendigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Burger wil controle over eigen data . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
7
8
Help, ik ben systeembeheerder!
Ivo Depoorter (V-ICT-OR - Domein Informatieveiligheid)
“Buitenlandse Zaken gehackt” “Telecom provider krijgt gehackte routers maar niet schoongeveegd” ”De NSA laat spionagechips in netwerkkaarten bouwen” Een greep uit enkele verontrustende nieuwsberichten waar we als systeembeheerder mee geconfronteerd werden dit jaar. Is het allemaal zo erg? We investeren in firewalls1, patchmanagement2, IDS3-systemen… en ja de minimale veiligheidsnormen KSZ4 zijn ingeburgerd, maar is dit wel vol doende? Op de laatste infosecuritybeurs confronteerde ik enkele geroutineerde pen-testers5 met de nieuwsberichten, maar ook zij zijn niet vertrouwd met het fenomeen dat onze netwerken herleidt tot Zwitserse kazen. Daar sta je dan als systeembeheerder die naar best vermogen zijn systemen probeert te beschermen tegen een ongekende vijand die gebruik maakt
1 Een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf 2 Patchmanagement is een ttechniek waarbij veiligheidslekken gedicht worden 3 IDS is een geautomatiseerd systeem dat hackpogingen en voorkomens van ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteert 4 KSZ of Kruispuntbank Sociale Zekerheid 5 Een penetratietest of pentest (binnendringingstest) is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken
9
van cyberwapens6 zoals zero-day-exploits7 en ingebouwde backdoors8 in programma’s van bekende makelij. Ons overkomt dit niet Maar misschien moeten we ons geen zorgen maken? Dat we slachtoffer kunnen worden van cybercriminaliteit is ondertussen duidelijk, maar om het volledig risico te kunnen inschatten, moeten we ook proberen de kans in te schatten dat zoiets ook bij ons kan gebeuren. Je zal maar systeembeheerder zijn in een gemeente waar er Syriëstrijders wonen en ik hoor het nog iemand zeggen: “bij ons woont de Europese president”…. zou het dan niet kunnen dat je op de target-list komt? Het is moeilijk in te schatten of je een doel bent/wordt, misschien is het gewoon verstandiger er vanuit te gaan dat je ‘interessant’ bent!
Volgens de piramide van cyberdreigingen zijn slechts 0,1 % van deze dreigingen niet of zeer moeilijk te stoppen en slechts 9,9 % zijn doelgericht. Bron; Kaspersky Lab
Je staat er niet alleen voor Dankzij de opgelegde regelgeving is de systeembeheerder al lang niet meer de enige trekker van de informatiebeveiliging binnen zijn/haar organisatie. Bewustwording heeft er ook voor gezorgd dat informatieveiligheid een verantwoordelijkheid is van ons allen. 6 Cyberwapens zijn digitale aanvalstechnieken gebruikt in digitale oorlogsvoering waarbij hackers uit politieke motieven natiestaten aanvallen met computer- of netwerksabotage 7 Zero-day-exploits is software die gebruik maakt van een daadwerkelijk gat in de beveiliging voor het uitvoeren van een aanval 8 Een achterdeurtje (Engels: backdoor) is een bewust ingevoerde functie in programmatuur om een beveiligingsmechanisme te omzeilen
10
Security standaarden, de oplossing? Door de jaren heen zijn er heel wat security standaarden ontwikkeld, maar zijn we wel safe als we ze volgen? De NSA9 vertelt dat het gebruik van security normen in de meeste gevallen eerder een oefening is in het rapporteren van de naleving ervan. Ze zagen dit dan ook als een ernstig probleem en samen met een consortium van de VS en internationale agentschappen, deskundigen uit de particuliere sector en van over de hele wereld werd een nieuwe strategie ontwikkeld namelijk:
“De aanval moet de verdediging informeren”. Dit alles werd gecoördineerd door SANS10 en resulteerde in een aanbeveling met 20 kritische beveiligingsmaatregelen voor een doeltreffende Cyber verdediging11. Het is duidelijk dat het volgen van normen alleen niet langer voldoende is als je de controlepunten van SANS erop naleest. “Nog maar eens extra werk”, hoor ik sommige zeggen en dat is ook zo indien je de volledige checklist van SANS wil afpunten. Een mogelijke oplossing voor dit probleem wordt ook aangeboden. 9 National Security Agency, een veiligheidsorganisatie van de Amerikaanse overheid 10 SANS is een toonaangevende private instelling in de VS gespecialiseerd in informatiebeveiliging en cyberveiligheid. 11 20 Kritische Beveiligingsmaatregelen: http://www.sans.org/critical-security-controls
11
Door te starten met de 5 Quick Wins boek je onmiddellijk resultaat en verkleint de kans op een cyberaanval. Mijn mening? De SANS-checklist is geen vervanger van bestaande security standaarden. Bekijk het dan ook als een complementair instrument specifiek bedoeld om de kans op cyberaanvallen te verkleinen. Wat de toekomst betreft, vrees ik dat we de laatste generatie zullen zijn die haar servers en de beveiliging ervan intern wil houden. Tijd dus om ons af te vragen of gevoelige data niet beter ergens anders staat?
“Waar de eindgebruiker niet bewust is van de cyberdreigingen, daar kom je als hacker al fluitend de best beveiligde omgeving binnen.” (Luc Beirens – Director Cyber security services – Deloitte)
12
IT Governance bij de gemeente Pieter van der Hoog MBA, ISMP – Information Security, Risk & telecom Manager – Nieuwegein
Datalekken, hacks, uit de hand gelopen ICT trajecten, etc. Hoe zijn de verantwoordelijkheden verdeeld bij uw gemeente als het mis gaat? Maar beter nog, hoe ga je preventief tewerk en richt je ook bestuurlijke verantwoordelijkheid in? GOVERNANCE Goed bestuur is van alle tijden. Slecht bestuur helaas ook. In de loop der geschiedenis is er veel over geschreven door filosofen en leiders. Het is pas echter in de twintigste eeuw dat er formele raamwerken zijn ontstaan en gedocumenteerd, die richting geven aan de (in)richting van ‘goed’ bestuur en die aansluiten bij ‘modern’ management en leiderschap, Enterprise Governance. Het is niet verwonderlijk dat de Rijksoverheid een eigen aanzet naar dit thema heeft gemaakt. In de brochure ‘Nederlandse code voor goed openbaar bestuur’, wordt een opsomming gegeven van uitgangspunten voor deugdelijk bestuur waar iedere overheid zich aan zou moeten houden. Dat klinkt vanzelfsprekend, maar is het niet. En als het aankomt op bestuurlijke verantwoordelijkheid voor IT wordt de spoeling dun. Een kleine steekproef bij gemeentelijke websites leert dat bestuurlijke verantwoordelijkheid voor IT op niveau van portefeuillehouders landelijk niet apart genoemd wordt bij circa 40 % van de gemeentes. Er is dus beperkt sprake van IT Governance. Toch neemt het belang ervan hand over hand toe. De tekenen aan de wand waren de afgelopen jaren vooral de IT incidenten die leidden tot de oprichting van de IBD12, de DigiD13 audit en de Suwinet14 zelf-check. De komende jaren zal het vooral gaan om de decentralisaties en het in ketens delen van allerlei 12 IBD: Informatie Beveilings Dienst 13 DigiD:Digitale Identiteit 14 Suwinet: (wet) Structuur, Uitvoering, Werk en Inkomen
13
informatie over zaken als jeugd, gezinnen en werk & inkomen. Dat delen gaat dan ook nog plaatsvinden met allerlei organisaties waar de gemeente weinig of geen controle over of inzicht in heeft. In gedachten kan ik me de krantenkoppen van de komende jaren al voorstellen: “Gegevens burgers van gemeente XYZ liggen op straat…..”. En onder wiens neus wordt dan de microfoon van de pers gedrukt? Vanuit de Rijksoverheid is er de reflex om de put te dempen. Dat geeft een gevoel van schijnveiligheid. Er lijkt kloeke actie te worden genomen. Er komen normen en er wordt geaudit. Stringent auditen op een (deel) systeem – hoe nodig ook – leidt echter de aandacht af van de verder reikende zwakke informatiebeveiliging bij Nederlandse gemeentes. De incidenten die na DigiNotar15 optraden en gemeentes troffen, hadden weinig of niets met risico’s voor DigiD te maken. Auditen is dan een begrijpelijke reactie, maar het lost weinig op, is een momentopname en geeft geen ‘zekerheid’. Het is eerder omgekeerd, op het moment dat er sprake is van goed belegde en doorgevoerde IT Governance, zal een gemeente sneller en met meer vertrouwen uit welke audit dan ook uit komen rollen. Zelfregulering is ook nodig, maar de roep om invoering van de ISOstandaard zal leiden tot certificering, zonder garantie dat een gecertificeerde gemeente ook echt haar informatiebeveiliging op orde heeft. Ter illustratie: DigiNotar was ook ISO27001 gecertificeerd. Bovendien blijkt uit discussies rond Zelfregulering dat men enkel oog heeft voor de ‘digitale inbraken’. Aanstippen 15 DigiNotar: Digitale Notaris, de eerste commerciële instantie in Nederland die certificaten afgaf.
14
dat een simpele zaak als de betrouwbaarheid van de informatievoorziening – waar hele andere zaken bij komen kijken, zoals de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening – van net zo cruciaal belang is, lokt weinig reacties uit. Ook de oprichting van een IBD lijkt bestuurders in slaap te sussen. ‘Den Haag’ neemt toch immers actie? Men gaat voorbij aan een cruciaal manco in de redenering. Gemeentes hebben zelf een bestuurlijke verantwoordelijkheid om hun Informatievoorziening en met name de digitale, organisatorische en culturele aspecten ervan goed in de organisatie te verankeren. Er is geen enkele gemeente zonder een portefeuille P&O of Financiën. Als in de klassieke economische theorie Kapitaal, Grondstoffen en Arbeid genoemd worden, dan is in de kenniseconomie Informatie de vierde pijler. Soms wordt gesteld dat in hedendaagse bedrijven Informatie zeker 50 % van de waarde van een bedrijf vertegenwoordigt. Bij een gemeente ligt dat anders. Er zijn geen producten die beschermd moeten worden, geen klanten die kunnen weglopen. Toch zijn gemeentes kennisintensieve bedrijven, waarbij veruit het allerbelangrijkste de privacy van de burger is. Schenden van het vertrouwen dat burgers hebben in hun lokale overheid schendt een fundamenteel recht en de basale relatie tussen burgers en alle overheden ‘by proxy’. Een fout van een gemeente is een fout van de hele overheid (vandaar de verplichte IT-Beveiligingsassessment DigiD). Degene die daar vaak uiteindelijk de prijs voor betaalt, is de verantwoordelijke bestuurder. De schade in dat soort gevallen is dan te omschrijven als imagoschade voor gemeente en de (aftredende) bestuurder(s) en de wachtgeldregelingen die daaruit voortvloeien, plus de kosten van herstel. Maar op langere termijn is er nog meer (verborgen) schade. Uit onderzoek blijkt dat van de Nederlanders 41 % bij voorkeur digitale kanalen gebruikt. 31 % doet dat liever helemaal niet en 11 % liever niet meer na teleurstellingen. Schenden van het basisvertrouwen in de veiligheid van informatie kan in die getallen een verschuiving in die balans aanbrengen, wat negatieve gevolgen heeft voor het streven van gemeentes om meer (en goedkoper) digitaal zaken te doen met de burger.
15
WAT NU? Als informatie en de veiligheid ervan in brede zin (beschikbaar, integer, vertrouwelijk) dan zo belangrijk zijn, waarom zijn we dan met zijn allen zo druk bezig lekken te dichten en putten te dempen? Zeker, technologie schrijdt voort en de risico’s zijn erg dynamisch, maar waarom krijgt de informatievoorziening dan niet dezelfde aandacht van bestuur en leiding als P&O (Arbeid) en Financiën (Kapitaal)? De vakmensen uit de IT denken daar uiteraard een antwoord op te hebben. Binnen de IT is er geen gebrek aan raamwerken om IT in de goede richting te sturen, waarbij steeds meer de nadruk komt te liggen op ‘compliance’, of je je aantoonbaar aan de regelgeving kunt houden op je vakgebied en in bredere zin ter ondersteuning van fundamentele (en soms repressieve) regelgeving die ontstaan is door grote internationale Governance schandalen zoals de Amerikaanse Sarbanes-Oxley (SOx) wet. IT lost dat allemaal graag op met modellen als ITIL, ASL , COBIT, etc. Raamwerk geïmplementeerd? Opgelost! IT tevreden, maar leiding en bestuurder achterlatend met vraagtekens in de ogen. Het moge duidelijk zijn dat het niet ontbreekt aan allerlei modellen, maar dat we niet zozeer moeten focussen op begrip en control van IT en het belang ervan voor de business, maar op afbakening van terreinen en verantwoordelijkheden en daartussen bruggen moeten bouwen. Een brug heeft als vertrekpunt twee bruggenhoofden en dus twee partijen (IT en leiding / bestuurder), met twee – niet automatisch gelijke – belangen en idiomen. Daartussen ontbreekt het onderling aan begrip en vertrouwen. Dat vergt m.i. dan 2 disciplines die elkaar moeten leren vertrouwen: · bestuur en leiding · IT Dat gaat niet vanzelf. De genoemde partijen hebben een plan nodig om te weten waar ze samen naartoe gaan, maar moeten ook weten waar ze vandaan komen. Het bouwen van een brug mag en kan niet zondermeer afgeschoven worden op 1 partij, maar tegelijkertijd moet er voor elke partij 16
een punt zijn waarop deze zijn inbreng heeft ingebracht en daarna zijn deel doet en erop vertrouwt dat de ander dat ook doet en – nog belangrijker – de gemaakte afspraken nakomt en blijft nakomen. De sleutel daartoe ligt m.i. in het helder definiëren van de eigen rol door de spelers zelf. Een partij die zichzelf transparant en publiekelijk definieert, neem daarbij onzekerheden weg, What you see is what you get. Een aanzet daartoe volgt hieronder. IT Ik begin doelbewust met IT. IT heeft de meeste ‘overlast’ in de praktijk. Ze wordt vaak alle kanten opgestuurd en op andere punten juist niet of nauwelijks aangestuurd. Een niet benijdbare positie waar IT zichzelf in heeft gebracht. Immers, IT heeft de neiging om zichzelf zekerheden te willen verschaffen om de dag door te komen. Het is ook een exact beroep en als je IT de gelegenheid geeft raamwerken te implementeren, krijg je vanzelf een gepantserde IT die naar de buitenwereld als hoogst bureaucratisch wordt beschouwd. Wat IT niet doet, is zijn eigen beeld en positie bepalen, ‘Wie zijn wij, wat doen we en waarom/waarvoor?’. Ik doe daar een voorstel voor. M.i. heeft IT een drietal rollen: · · ·
Dienen Basisvoorzieningen leveren Bedienen Deelname aan projecten van, reageren op vraag organisatie Verdienen Nieuwe technologie aandragen die organisatie vooruit kan helpen.
17
Dienen Binnen een gemeente heeft ICT een grote en m.i. leidende rol om de organisatie elke dag weer geruisloos te ondersteunen met de bestaande basisportfolio van systemen en diensten. IT moet in de organisatie van het leveren van basisvoorzieningen zoals netwerk, pc werkplekken, printers, etc. autonoom zijn, maar daar dan ook nadrukkelijk verantwoordelijk voor worden gemaakt. Als we de betrouwbaarheid van de informatievoorziening zien als bestaand uit: · · ·
Beschikbaarheid, Integriteit en Vertrouwelijkheid,
dan is het domein Beschikbaarheid exclusief dat van IT. De andere partijen doen er goed aan om dit deel net zo te beschouwen als de beschikbaarheid van elektriciteit en water. Je bekommert je er niet om, het is iemand anders zijn verantwoordelijkheid en het moet er altijd zijn. Maar o wee als het er niet is, dan mag IT wat uitleggen. Het gaat hier om ‘performance’ van IT. Het is dus belangrijk voor IT om daarover een standpunt in te nemen en de grens te trekken. IT vraagt dan om de middelen om dat product – meetbaar en verantwoordbaar – te kunnen leveren en daar dan garanties voor af te geven. IT stelt zich daarna dan ook bewust kwetsbaar op, want ze kan er op afgerekend worden, mits van tevoren goed met de organisatie is afgesproken wat er geleverd wordt onder welke omstandigheden. Bedienen Dit is het domein van het IT-projectenportfolio van de organisatie. De gemeentes hebben jaarlijks een grote portfolio van allerlei projecten, die maar deels ondersteund worden door het bestaande portfolio van IT systemen. IT moet hierin faciliteren, maar beperkt, hoe vreemd dat ook klinkt. Zolang IT kan aantonen hoe en in welke omgeving het project na overdracht een plek in de standaard diensten portfolio krijgt, kan IT de inbreng in het project 18
beperken tot faciliteren en adviseren. De business moet de leiding hebben want het gaat uiteindelijk ‘performance’ van de business. Verdienen Dit is het terrein waar IT deels raakt aan Enterprise Governance, hoe de organisatie zich kan verantwoorden aan wet- en regelgeving, normen, enz. en binnen het eigen domein. IT heeft hier een ‘vrije’ rol: ·
·
·
Vanuit een IT perspectief ligt hier de verantwoordelijkheid om de eigen organisatie en systemen constant te evalueren. Hoe kan het beter (faciliteren), hoe kan het beter, etc., voornamelijk meer of betere performance tegen liefst lagere kosten. Inzake Governance ligt hier een rol voor IT om conformance in de status quo (mede) te kunnen aantonen, maar ook een pad uit te stippelen om de eigen basisvoorzieningen zodanig aan te kunnen blijven scherpen dat op bestuurlijk niveau het vertrouwen groeit dat IT de steeds scherper worden conformance en compliance eisen blijvend kan ondersteunen. Maar IT moet zich ook als adviseur opwerpen naar de organisatie als ze zaken ziet die voor de organisatie een blinde vlek zijn. IT kan vanuit haar kennis ontwikkelingen zien, vaak op de langere termijn, die waardevol voor de kunnen organisatie zijn. Het gaat dan om zaken als ketenautomatisering, Cloud, Shared Services en andere ‘enabling’ technologieën. Het is de rol van IT om zowel gevraagd als ongevraagd voor de organisatie vraagtekens te plaatsen bij de status quo. Inzake Governance ‘bemoeit’ IT zich hier met de brede samenhang van de organisatie. IT moet dan ook wel de moed hebben om in eigen vlees te snijden, ‘Kill your darlings’, als handhaving van de IT status quo vooruitgang blokkeert.
19
BESTUUR Gemeentelijk bestuur is als een passerende karavaan. Dat is geen aardige kwalificatie, maar wel een goede analogie. Elke 4 jaar, na de verkiezingen, treedt er weer een nieuw corps bestuurders aan. De enige constante hierin is de burgemeester. Deze wordt – buiten het college om – voor telkens 5 jaar benoemd door de Commissaris der Koning. Verlenging voor een tweede periode is heel normaal. Wethouders daarentegen worden naar voren geschoven door politieke partijen voor een periode van 4 jaar, zonder dat er enige garantie op terugkeer in een volgend college is en dat heeft consequenties. Het wethouderschap geeft geen garanties op volledige 20
inhoudelijke dekking van portefeuilles. En het belang van IT in het geheel lijkt dan soms erg beperkt. Dat gezegd hebbende, stel ik voor om IT Governance te beleggen bij de burgemeester. Ongebonden door partijen, is hij het die minimaal vijf, maar zondermeer ook 10 jaar een constante factor is. Hij is m.i. dan ook de persoon die de verbinding tussen Enterprise Governance en IT Governance kan maken. Vergelijk het met de burgemeestersrol in Openbare Orde & Veiligheid. Er ligt m.i. ook een rol voor ‘Den Haag’ om naast het forceren van compliance, een aanzet te maken voor het ‘verplicht’ stellen van een aparte portefeuille IT Governance in alle gemeentelijke besturen. Dit biedt dan de gelegenheid om IT ook echt als poot binnen het begrip ‘kenniseconomie’ te beschouwen en aan te sturen. Op 2 niveaus komt Governance dan aan de orde op bestuurlijk niveau: · Er moet een link van een collegeprogramma naar de leiding zijn om erop toe te zien – op afstand – dat de IT Governance (conformance/ compliance) op orde is. Er is altijd sprake van bestuurlijke verant woordelijkheid en alle risicogebieden moeten dan vroegtijdig en helder in beeld zijn. Kijk bv. naar hoe vaak overheden in opspraak komen als ze zaken (willen) gaan registreren of koppelen terwijl er geen heldere basis voor is (met name inzake privacy, of het lekken van gevoelige informatie op dit gebied). · Een directere aansturing heeft het college in het vertalen van programma’s en met name de projectportfolio naar meetbare doelen voor de leiding. Ook hier gaat het om bestuurlijke verantwoordelijkheid voor wat de organisatie levert aan producten en diensten. Kijk bv. naar de problemen van het UWV-platform Werk.nl, een essentieel systeem wat niet doet wat het belooft.
21
LEIDING Ook voor de leiding kan een analyse gemaakt worden van taken en rollen op Governance gebied. De directie is een tamelijk constante factor. Leidinggevenden bij een overheid wijzigen niet zo vaak van positie. Langdurige verblijven op 1 post zijn niet ongewoon. Dat biedt voordelen bij het constanter en langduriger kunnen beheren van vooral de performance van een organisatieonderdeel. De leiding heeft een lastige taak. Enerzijds voert zij het collegeprogramma uit, anderzijds beheert zij de (dagelijkse) organisatie. De leiding heeft , net als IT, een drietal rollen: · · ·
Dienen Basisvoorzieningen leveren Bedienen Deelname aan projecten van, reageren op vraag organisatie en maatschappij Verdienen Verbanden leggen tussen organisatieonderdelen onderling en met de maatschappij.
Dienen Straten worden geveegd, huisvuil opgehaald en paspoorten worden uitgegeven, elke dag weer. Dat stuurt zichzelf grotendeels aan en is vrijwel niet beïnvloedbaar. De leiding heeft dan ook een autonome verantwoordelijkheid – binnen bestuurlijke kaders – om hier zelf (meetbare) tactische en operationele doelen te stellen en daarvoor deels – waar nodig – ook goede afspraken te maken met IT. Maar het is en blijft grotendeels een ‘hands off’ deel van de organisatie. Ieder draagt daarin zijn eigen verantwoordelijkheid – net als IT – en rapporteert op performance, conformance en excepties. Vanzelfsprekend heeft de leiding hiervoor aparte budgetten en middelen. Bedienen Waar de leiding echt het onderscheid in kan en moet maken, is de projectenportfolio. Als geen ander kan de leiding de vertaling maken van beleidsvoornemens naar producten, diensten en processen. Eis van de leiding moet dan wel zijn dat het bestuur duidelijk en specifiek eist wat er opgeleverd moet worden. Alleen dan kan de leiding haar eigen 22
verantwoordelijkheid oppakken om binnen de organisatie projecten op te starten en op te leveren, waarvan de (afgeleide) doelen en middelen duidelijk zijn en er een (grotere) mate van zekerheid is dat het projectresultaat ook geabsorbeerd kan worden in de staande organisatie, inclusief de IT functie. Het is ook verantwoordelijkheid van de leiding om in het kader van zowel Enterprise als IT Governance grip te hebben op de betrouwbaarheid van de informatievoorziening, daarbij ondersteuning te vragen van IT (instrumentarium) en daarover transparant t.b.v. Enterprise Governance te rapporteren aan het bestuur. Verdienen Als laatste heeft de leiding de lastige taak om vooral in onderlinge afstemming tussen organisatieonderdelen en –functies meerwaarde te geven aan de onderlinge samenhang van de organisatie en in verbinding te brengen met de maatschappij. De organisatie is een netwerk en afstemming van beleid en maatregelen is dan ook nodig om ook t.b.v. het bestuur de Enterprise Governance te ondersteunen. Net als bij IT ligt hier dus de plicht voor de leiding om de nek uit te durven steken en over de eigen schaduw heen te kunnen stappen.
BRUGGEN BOUWEN Het lijkt dus allemaal zo helder en toch lukt het vaak niet om partijen op 1 lijn te krijgen, laat staan aan 1 tafel. Ze spreken elkaars taal niet, ze delen niet altijd cultuur of agenda. Ik voer dan hier een derde rol op. In de analogie van de brug heb ik in de voorgaande paragrafen vooral geschetst hoe de bruggenhoofden eruit zien en hoe partijen zouden moeten willen dat de brug eruit ziet. Daarna gaat erom om een vakkundige bruggenbouwer te kiezen. In een ideale situatie is dat iets of iemand met verstand van zowel de (bestuurlijke) business als ook IT. In dat kader wordt dan al snel naar de functie/rol van een Chief Information Officer (CIO) gewezen. Dat is een ‘bekende’ term waarvan al dan niet terecht de verwachting bestaat dat het benoemen van iemand in die functie de oplossing voor alle soorten IT 23
problemen en vraagstukken biedt. Het is ook een lastige positie. De grap luidt dat CIO de afkorting is van ‘Career Is Over’. Dat is voor een deel te verklaren uit de positie die een CIO heeft, hij heeft geen gelijkwaardige en formele positie als bv. een CFO (hoofd Financiën). Naar die luistert iedereen impliciet, want die heeft wat te melden over serieuze zaken die iedereen begrijpt of zich er wat bij kan voorstellen. Zelfs het hoofd P&O heeft meer status dan de CIO. De CIO moet m.i. met nadruk iemand zijn die niet in ICT zit, maar ook niet uit de lijnorganisatie komt. Met de input van IT en de leiding/bestuurder – elk op hun eigen bruggenhoofd – over hun aspecten van de betrouwbaarheid van de informatievoorziening, kan de CIO de verbanden leggen en vragen stellen en bijsturen. Dat maakt hem niet automatisch tot de projectmanager, maar geeft hem een ‘Control’ positie en functie en de autoriteit om partijen, inclusief de projectleider (uit de lijnorganisatie) bij te sturen op hun conformance en performance, niet op inhoud, niet op technologie. Dat wijkt misschien af van de meer traditionele rol van de CIO als die van iemand die ervoor zorgt dat de bedrijfsprocessen en de besluitnemers optimaal voorzien worden van die informatie die ze nodig hebben om zo goed mogelijke prestatie te kunnen leveren. Ik kies er echter voor om de CIO een vrijere rol toe te dichten (zij het wel een met de benodigde autoriteit) om business en IT samen te laten werken en onderling te laten afstemmen zodanig dat alle niveaus van Governance zoals die hiervoor benoemd zijn binnen elkaars terreinen, goed afgedekt zijn. Dat voorkomt dan ook dat de CIO verantwoordelijk wordt voor inhoud, performance en conformance van de hele informatievoorziening. Zijn of haar rol is m.i. enkel die van ‘bouwheer’. Deze opstelling van de CIO functie geeft betere garanties dat de CIO niet een moeras van tegenstrijdige belangen wordt ingezogen, maar juist alle politieke, bestuurlijke, leidinggevende, functionele en IT belangen in balans kan houden en de voortgang kan bewaken en aansturen.
24
SAMENVATTING Met deze positionering van 3 partijen: Bestuur/Leiding, IT en de CIO heb ik geprobeerd een kader te verschaffen voor IT Governance. Mijn betoog is dat het een heilloze weg is voor zowel IT als ‘Den Haag’ om de verankering van IT in de organisatie te verzorgen door het adopteren van (IT) raamwerken en daarin te sturen op conformance/compliance en dat vooral veel te auditen, maar om eerder een aantal principiële zaken goed te regelen: · Leg de verantwoordelijkheid en portefeuille van IT Governance standaard en ‘verplicht’ bij de burgemeester · Benoem een CIO die – met kennis van zaken van vooral het business domein en daarnaast het IT domein – de Governance control rol van IT vervult · Ieder in zijn eigen domein aan te (laten) sturen op de voor hun geëigende vorm van compliance, ieder in eigen domein autonomie te geven, maar daar ook op af te rekenen.
25
Veel van de verwarring en het gebrek aan sturing en resultaten liggen besloten in het feit dat er onvoldoende wordt afgebakend, soms juist teveel op 1 hoop wordt gegooid, er teveel kennis/interesse van IT wordt gevraagd van bestuur en leiding en dat men elkaar onvoldoende bevraagt op duidelijkheid. Mogelijk dat bovenstaande helpt als discussiestuk binnen gemeentelijk Nederland. Vooropgesteld dat we eerst duidelijk maken aan betrokkenen dat het gaat over 2 majeure begrippen: · ·
Governance als ‘Leitmotif’ In de uitvoering daarvan de Betrouwbaarheid van de Informatie voorziening te hanteren als gemeenschappelijke deler, om daarmee de marsroute te kunnen bepalen voor de nu vaak onvoldoende benutte en aangestuurde en niet altijd even betrouwbare Informatievoorziening. Daar moet ook de winst liggen voor alle betrokkenen: ieder wordt zijn eigen gebied en competentie gelaten, maar daar ook op aangesproken. Heldere rollen, verantwoordelijkheden en doelen leiden dan tot betere resultaten en lagere kosten en minder politieke schade; betere Governance dus, beter openbaar bestuur, ook in IT.
“Privacy kent vele facetten. Sinds 13 mei weet Google dat het Europees recht ook op hen van toepassing is. En meer nog: dat een “verantwoordelijke voor de verwerking” alle standaarden van die Europese regelgeving moet nakomen. Elkeen, bedrijf of overheid, burger of rechtspersoon, die persoonsgegevens verwerkt moet daar ook ‘verantwoording’ kunnen voor afleggen.” (Willem Debeuckelaere – Voorzitter CBPL (Commissie voor de Bescherming van de Persoonlijke Levenssfeer) en VTC (Vlaamse Toezichtcommissie)
26
Informatieveiligheid verankeren in de proceswerking
Ivan Stuer (V-ICT-OR – Domein Informatieveiligheid)
Om even een open deur in te trappen: informatieveiligheid is een hot topic. We worden dagelijks bedolven met nieuws over privacy-inbreuken door commerciële bedrijven, overheden bespioneren elkaar naar hartenlust, hackings, dataverlies, … In wat men intussen het ‘Post-Snowden’ tijdperk noemt is informatieveiligheid niet weg te branden uit het nieuws. Toch is hier niets nieuws onder de zon. Alle inbreuken in cyberspace bestonden ook in de analoge wereld. Alleen waren de bedreigingen daar veel tastbaarder. Vroeger zagen we bij lokale besturen strikt gescheiden loketten, ambtenaren achter glas, documenten in brandkasten en angstvallige bewaking van officiële stempels. Er zou maar eens een document in verkeerde handen moeten komen of een stempelafdruk worden misbruikt… Nu alles gedigitaliseerd is, is het risico sterk vergroot, maar heeft paradoxaal genoeg diezelfde loketbediende meestal geen idee waar zijn documenten zich fysisch bevinden, waar de backups staan, of de versie van het document officieel is, en wie er allemaal toegang heeft. Doorgaans wordt verwezen naar de systeembeheerder. Die systeembeheerder is echter vooral bezig met het opvolgen van helpdeskmeldingen, het herstellen van Pc’s, het helpen van eindgebruikers met het gebruik van Excel of de printer, en in het beste geval ook met het onderhouden en technisch beveiligen van de server- en netwerkinfrastructuur. De bestanden zelf zijn voor hem de verantwoordelijkheid van de eindgebruiker. Soms verkeert deze laatste ook daadwerkelijk in de illusie dat 27
hij deze echt zelf beheert. In het aller slechtste geval omdat de server onder zijn bureau staat. Stel dat de systeembeheerder een witte raaf is en er in zijn eentje of met een beperkt team toch in slaagt om de infrastructuur op een goed niveau te brengen en te houden, weten we dan zeker dat er geen spionagesoftware op het netwerk zit die niet kan worden gedetecteerd door de antivirusprogramma’s? Zit er sowieso geen spionagechip in elke server of switch? Zo kunnen we nog wel een tijdje doorgaan, en we moeten dit ook doen. Risicoanalyse en doemscenario’s uitdenken helpen bij het opstellen van een gezond informatieveiligheidsbeleid. Maar naast de technische controle is er ook de dagelijkse praktijk: we drukken documenten af zonder nadenken, we kopiëren gegevens of versturen zonder beveiliging, we gebruiken hetzelfde weliswaar complexe wachtwoord voor alle toepassingen, we gooien ondoordacht documenten op Dropbox of Google. Het is allemaal zo complex, we begrijpen al die dure woorden toch niet; encryptie, next generation firewalls, ACL, certificaten, cloudsecurity? Pff, informatiebeveiliging hindert onze dagelijkse werking… Er gaapt duidelijk een kloof tussen de IT kant – in weze nog steeds informatietechnologie- en de dagelijkse praktijk. De IT’ers nemen technische maatregelen, maar rekenen op de gebruiker als goede huisvader. De gebruiker beschouwt zelfs die technologische maatregelen al als lastig. Daartussen zit voor een bedrijf of organisatie gelukkig de proceswerking. En daar zijn openbare besturen goed in. Alleen zijn die processen en procedures nog afgestemd op de analoge wereld van gescheiden loketjes en diplomatenkoffertjes. Wanneer zelfs de Europese president eigenhandig aan veiligheidsdiensten moet vragen om de cadeautjes (USB-sticks en gsmladers) te onderzoeken die hij kreeg van de Russische delegatie op de G20top, mogen we gerust stellen dat er wat schort aan de veiligheidsprocedures van de overheid.
28
Het streven naar absolute zekerheid rond informatieveiligheid is een utopie. Als de grootste Belgische telecom provider geen garantie kan bieden, wat verwachten we dan van een gemeente van 2.000 (of zelfs 50.000) inwoners. Voormalig NSA topman Michael Hayden heeft recent de focus verlegd van het voorkomen van inbraak naar het beheren van de impact. Deze “assume breach” aanpak ontslaat natuurlijk niemand van de verantwoordelijkheid om de gepaste hoeveelheid technische voorzorgsmaatregelen te nemen. De aandacht wordt echter duidelijk verlegd van technologie naar processen en risicoanalyse. Misschien is dit besef wel de oorzaak van de geconstateerde gelatenheid? Aanvaarden en niets doen dan maar? Fout! Burgers en bedrijven verwachten wel degelijk dat hun gegevens beschermd zijn. We willen van de overheid een garantie voor de vertrouwelijkheid, beschikbaarheid en integriteit van onze gegevens. We willen absoluut niet dat een bouwvergunning verloren gaat (beschikbaarheid of ‘Availability’), dat we ongewild overleden worden verklaard (Integriteit/’Integrity’) of dat ons medisch dossier voor iedereen zichtbaar op internet staat (Confidentialiteit/’Confidentiality’).
29
Hoekstenen Deze drie principes (C-I-A) zijn de hoekstenen van informatieveiligheid. Wanneer het om echt privacygevoelige gegevens gaat legt de wetgever ook op dat de finaliteit, proportionaliteit en transparantie van het gebruik of de verwerking gegarandeerd moeten worden. Waarom worden de gegevens verwerkt of gebruikt (Finaliteit)? Worden ze enkel voor die doeleinden gebruikt? (Proportionaliteit). Is de betrokkene op de hoogte (Transparantie)? De buurvrouw-ambtenaar-van-burgerlijke-stand kan gegevens van de nieuwe wijkbewoners inkijken en de historiek van gezinssamenstelling opsporen, maar mag dit gelukkig niet zomaar. Ook hier verwachten we dat het gemeentebestuur de nodige maatregelen treft om dit te voorkomen. Of in het slechtste geval dat ze dit zeer consequent bestraffen. De informatisering en digitalisering heeft de aandacht stelselmatig verslapt, een beetje zoals de allegorie van de kikker in geleidelijk aan kokend water. Besturen moeten het bewustzijn opnieuw aanscherpen, zoals in de ‘goede oude tijd’ van de hermetische loketten. Jammer genoeg weerhoudt de complexiteit van de hedendaagse informatica en van het wetgevende kader veel besturen en overheidsinstellingen van een gedegen invoering van een informatieveiligheidsbeleid. Er wordt met frisse tegenzin een veiligheidsconsulent ingehuurd die in het beste geval een plan opstelt, en het groene vinkje kan aangezet worden. En ziezo, we zijn compliant. Het mag duidelijk zijn dat dit geen afdoend antwoord is op de kern van de zaak. Het gaat in essentie over informatiemanagement en risicobeheer. Wanneer informatie goed wordt beheerd en wordt gezien als één van de belangrijkste assets binnen een hedendaagse dienstenorganisatie (die de overheid is), volgt informatieveiligheid vanzelf als onderdeel van de organisatiebeheersing. Wetgeving zou dan eigenlijk enkel ondersteunend moeten zijn, als stok achter de deur voor slechte leerlingen. Informatieveiligheid moet worden verankerd in de bestaande processen binnen de organisatie.
30
Managementmodellen Hoe krijgen we informatieveiligheid hoger op de agenda van het management? Gelukkig zien we dat bijna alle managementmodellen in hun meest recente versie security als belangrijk onderdeel hebben opgenomen, en daarbij verwijzen naar de ISO27002 norm. De voorbije jaren waren ze elk hun eigen aanpak aan het uitwerken, wat eerder contraproductief werkte. Ook de wetgeving is gebaseerd op dezelfde norm, waardoor het implementeren van managementmodellen automatisch de juiste richting uitzet voor uw Informations Security Management System (ISMS). Managementmodellen… hoe beginnen we daaraan? Nog niet zolang geleden hoorde ik de administratie van een middelgrote stad zich afvragen of project management iets voor hen was… Blind invoeren van Prince2, PMBOK, COBIT of ITIL is uiteraard geen oplossing om informatieveiligheid gedragen te krijgen. Het beschrijven van de procesverankering in de management modellen overstijgt de scope van dit artikel. In de opleiding informatieveiligheid die V-ICT-OR organiseert i.s.m. Escala wordt hier dieper op ingegaan. Begin 2015 verschijnt bij Politeia een pocket rond het thema, waarin men concrete proceshandvaten en templates zal meegeven vertrekkende vanuit de meest gangbare managementmodellen. We kunnen nu alvast meegeven dat het COSO framework een eerste houvast kan bieden. Dit framework is expliciet overgenomen in het Gemeentedecreet (art. 99) en de leidraad voor interne controle/organisatiebeheersing van de Vlaamse overheid. Het lijkt een goed idee om voortaan ook informatiebeveiliging expliciet mee op te nemen als domein voor interne controle, zodat het op de agenda van het hoger management komt zonder dat iemand (de veiligheidconsulent?) de vertaalslag moet maken. COSO is sterk gericht op controle. Dat is een eerste stap, maar hoe krijgen we veiligheid verankerd? Hiervoor is het aangewezen om de kern van ITIL voor processen en Project management voor niet-procesmatige taken – dus projecten – te gebruiken. 31
De ITIL library ondersteunt de invoering van service management in de IT afdeling (=ITSM). Security is een apart proces binnen ITIL, en kan zeker een kapstok zijn voor organisaties die al een bepaalde maturiteit in service management hebben bereikt. Maar mogelijk nog belangrijker dan het security proces op zich, is het effect dat het implementeren van de ITIL methodologie heeft op informatieveiligheid in het algemeen. Een betere beheersing van het onderscheid tussen incidenten, problemen en changes kan vermijden dat de ITafdeling of de leverancier te snel overgaat tot het ‘fixen’ van problemen in productieomgevingen, wat een hoog risico op veiligheidsincidenten inhoudt. Waar ITIL focust op het operationele beheer is het ook nodig om informatieveiligheid te verankeren in de veranderingstrajecten binnen de informatiehuishouding, via een goede methodologie rond projectmanagement. Projecten brengen omwille van het unieke karakter een groter risico met zich mee. Projectmanagement Projectmanagement (PM) is niet specifiek aan de ITafdeling gerelateerd. Overheidsinstellingen en nonprofit organisaties passen al lang PM technieken toe bij de organisatie van evenementen of de (her)aanleg van wegen. Projectmanagement gaat in essentie over een uniek veranderingstraject of het ontwikkelen van een nieuwe service of product. Daarbij is het beheer van scope (inhoud), budget en timing essentieel. 32
Dit wordt meestal voorgesteld in een driehoek omdat de drie aspecten wederzijds afhankelijk zijn (‘triple constraints’). Meer of andere inhoud kost meer of duurt langer om te realiseren. Minder beschikbare tijd vraagt inzet van meer middelen of zal tot minder resultaat leiden, enz. Bij het beheer van deze ‘triple constraints’ moet voortdurend worden gestuurd op risico’s, geïdentificeerde problemen, communicatie en uit te voeren acties. Het is dus veel meer dan de vaak voorkomende interpretatie dat het gaat over het opstellen van een planning. Een goede projectmanagement methodologie beperkt het risico op fouten en neemt informatieveiligheid mee in het ontwikkeltraject. Hier verwijst men vaak naar als ‘privacy by design’. Bouw de nodige maatregelen rond de ‘C-I-A’ aspecten in, zodat na het beëindigen van het project het service management rond security aspecten wordt vereenvoudigd, en er algemeen gewoon veel minder risico op veiligheidsincidenten is. Alle PM methodologieën hechten veel belang aan risicomanagement. Hiervoor worden dezelfde technieken toegepast als in het ITIL security management proces of de ISO27002-norm; identificatie van risico’s, analyse van risico’s (waarschijnlijkheid, impact) en het bepalen van een antwoordstrategie (aanvaarden, transfereren, mitigeren). Ook andere modellen kunnen helpen. Indien voluit voor informatieveiligheid wordt gegaan is het uitwerken van een ISMS volgens de ISO27002 norm de aangewezen weg. Men kan ook vertrekken vanuit bedrijfscontinuïteit of vanuit kwaliteitsmanagement (EFQM, CAF). Er is het CoBIT framework dat meerdere modellen omvat en de aansluiting maakt tussen de bedrijfsvoering (business requirements) en hoe ICT kan worden ingezet om de bedrijfsdoelstellingen te bereiken. Met informatieveiligheid en managementmodellen kan men hele boekenkasten vullen. Ook al klinken COSO, ITIL, Prince2 of EFQM niet direct bekend in de oren van de directie of het managementteam, toch is het zeer waarschijnlijk dat het kader aanwezig is, via de leidraad interne controle en organisatiebeheersing van de Vlaamse Overheid, bij lokale besturen bekend geraakt met de invoering van de BBC. 33
Managementmodellen zijn uiteraard geen doel op zich. Ze bieden enkel een kader om op een gestructureerde manier een bepaald proces te benaderen, om zo bij de dragen tot een verbetering van de organisatiebeheersing. En met een goede organisatiebeheersing wordt informatieveiligheid een evidentie. “Cybercriminelen bedreigen niet langer alleen onze data: steeds meer trachten ze controle te krijgen over industriële procescontrole apparatuur.” (Luc Beirens – Director Cyber security services – Deloitte)
34
Informatiebeveiligingsdienst uit de startblokken in Nederland Auteurs: Informatiebeveiligingsdienst IBD Nederland.
De IBD16 is een gezamenlijk initiatief van de VNG17 en het KING18 en is actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD waren enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de collectieve keuze van gemeenten voor coördinatie en ondersteuning op het gebied van informatiebeveiliging via de IBD. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. Eén van de doelen van de IBD is het bieden van gerichte projectmatige ondersteuning op deelgebieden als het gaat om informatiebeveiliging. Het ontwikkelen van de BIG19, zowel de strategische- en tactische variant alsook de operationele producten, is een voorbeeld van zo’n project. Om invulling te kunnen geven aan haar doelen is er door de IBD, op basis van de BIR20 en het VIR21 een vertaalslag gemaakt naar een Baseline Informatiebeveiliging voor de Gemeentelijke markt die een aantal producten heeft opgeleverd: · een Strategische- en Tactische Baseline Informatiebeveiliging Neder landse Gemeenten (BIG). · een serie operationele BIG-producten die het gemeenten makkelijk maken de BIG te implementeren De BIG De BIG is gebaseerd op de ISO 27001, de ISO 27002 en op de BIR. De IBD heeft hiervan een vertaalslag gemaakt naar een baseline voor de 16 17 18 19 20 21
IBD: Informatiebeveiligingsdienst voor gemeenten VNG: Vereniging van Nederlandse Gemeenten KING: Kwaliteitsinstituut van de Nederlandse Gemeenten BIG: Baseline Informatiebeveiliging Nederlandse Gemeenten BIR: Baseline Informatiebeveiliging Rijksdienst VIR: Voorschrift Informatiebeveiliging rijksoverheid
35
gemeentelijke markt: de BIG. Deze BIG heeft dus twee varianten, een strategische én een tactische. Het verschil? De strategische variant bevat regels en aanwijzingen over het managen en het toewijzen van verantwoordelijkheden voor informatiebeveiliging. In de tactische variant staan de daarbij behorende maatregelen beschreven. De BIG is ontstaan omdat er bij gemeenten de afgelopen jaren een aantal incidenten op informatiebeveiligingsvlak opgetreden zijn, waaruit bleek dat het basis beveiligingsniveau bij veel gemeenten verschilt. Veel gemeenten hanteren niet dezelfde normen als het gaat om informatiebeveiliging. De BIG is gelijkwaardig met de BIR, en dat is niet voor niks. Samenwerken, ook met centrale overheden en uitvoeringsorganisaties, vraagt om een vergelijkbaar niveau van beveiligen. Nut en noodzaak van de BIG is vooral het opleggen van een norm voor alle gemeenten. Wanneer iedere gemeente deze BIG implementeert en naleeft, is een basis beveiligingsniveau gerealiseerd. Samengevat zijn de hoofddoelen van de BIG: · Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatiebeveiliging. · Gemeenten een hulpmiddel te bieden om aan alle eisen voor informatiebeveiliging te kunnen voldoen. · Informatiebeveiliging een integraal onderdeel te laten zijn van de bedrijfsvoering en van de keuzes die het management maakt. · een goed basis beveiligingsniveau voor gemeenten neer te leggen Om de BIG te implementeren zijn diverse operationele BIG-producten ontwikkeld. Als eerste moet men vaststellen wat er minimaal nodig is om de beveiliging te implementeren en inzicht te krijgen in waar de gemeente nu al staat. Denk daarbij zeker aan ‘welke documenten’ er bij beveiliging nodig zijn en ‘welke rollen’ nodig zijn. Concreet betekent dit het uitvoeren van een nulmeting en een impactanalyse. Daarna kan men beginnen met de implementatie, die wordt opgesteld en bepaald door belangrijke/kritische systemen, de BIG en (nieuwe en bestaande) systemen.
36
De doelgroepen De strategische-, tactische- en operationele BIG zijn bedoeld voor alle medewerkers binnen de gemeente, en specifiek voor: Strategische BIG · College burgemeester en wethouders (College B&W) · Gemeentesecretarissen Tactische BIG · IB-functionarissen · Lijnmanagers · Beleidsmakers · Personeelszaken · Fysieke beveiliging · ICT-diensten en –infrastructuren · Applicatie- en systeemeigenaren · Informatiebeveiligingsadviseurs · ICT-auditors en externe leveranciers Operationele BIG · verantwoordelijke voor de implementatie van de BIG binnen de gemeente dan wel de afdeling Implementatie van de BIG De verschillende varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Strategische BIG De strategisch BIG kan gezien worden als de ’kapstok’ waaraan men de elementen van informatiebeveiliging kan ophangen. Centraal hierbij staat de organisatie en de verantwoording over informatie beveiliging binnen de gemeente. Bedrijfsvoeringsprocessen, onderliggende 37
informatiesystemen en informatie van de gemeente vormen de scope van BIG. De uitgangspunten zijn als volgt: · burgemeester en wethouders zijn integraal verantwoordelijk · basis classificatieniveau is vertrouwelijk (departementaal vertrou welijk) · ‘Schengen’-principe wordt gehanteerd · gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is. Om de strategische BIG binnen de gemeente te implementeren dient men ten minste het volgende vast te stellen: · de strategische uitgangspunten en randvoorwaarden die de gemeente hanteert ten aanzien van informatiebeveiliging, waaronder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid · het doel van het informatiebeveiligingsbeleid · de organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden · de toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers · de gemeenschappelijke betrouwbaarheidseisen en normen die voor de gemeente van toepassing zijn · de frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd · de bevordering van het veiligheids-/beveiligingsbewustzijn Tactische BIG De tactische BIG beschrijft de normen en maatregelen voor controle en risicomanagement. De tactische BIG beschrijft, aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IeC 27002:2007, de controles/maat regelen die als tactische BIG gelden voor de gemeenten: · · 38
indeling als internationale beveiligingsnorm ISO/IeC 27002:2007 BAG (Basisregistratie Adressen Gebouwen)
· · · · · · ·
basisset aan maatregelen die voor alle gemeenten geldt SUWI wet bevat maatregelen uit aansluitnormen van de basisregistraties WBP en laatste richtsnoeren GBA/BRP (Gemeentelijke Bevolkingsadministratie/Basisregistratie Personen) operationele BIG PUN (Paspoort Uitvoeringsregeling Nederland)
De volgende stappen zijn belangrijk bij de implementatie van de tactische BIG: · benoem verantwoordelijken voor de volgende afdelingen: {{communicatie {{organisatie {{personeel
{{administratieve
organisatie {{financiën {{informatie voorziening
{{juridische
zaken
{{technologie {{huisvesting
·
laat een Gap-analyse uitvoeren. Onderzoek welke maatregelen al genomen zijn en geef per maatregel aan: {{of er iets over beschreven is, en zo ja, waar dat opgelegd is (opzet) {{of de verantwoordelijken bekend zijn met de maatregel (bestaan)
·
benoem Quick Wins en voer deze uit, bijvoorbeeld het beschrijven en implementeren van procedures.
·
maak een integraal implementatieplan (Information Security Management System - ISMS) en begin met periodiek rapporteren over de voortgang.
Operationele BIG Om de implementatie van de strategische en tactische BIG te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. De operationele BIG is opgebouwd uit een aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen, die hiermee een antwoord geven op het ‘hoe’. In deze producten wordt gedetailleerd omschreven welke stappen men moet nemen om tot implementatie van de BIG over te gaan en hoe 39
invulling te geven aan de maatregelen. Om gemeenten bij de implementatie van de strategische en tactische BIG concreet te ondersteunen, zijn door de IBD – deels in samenwerking met de Taskforce BID – een dertigtal producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd, vertegenwoordigers van deze gemeenten hebben de producten nagekeken. De producten zijn te vinden op de website van de IBD.
Schematische weergave van de samenhang tussen de strategische, tactische en operationele BIG
40
Voordelen Welke zijn de voordelen van de BIG voor gemeenten? 1. Gemeenten hebben nu allemaal hetzelfde kader dat hetzelfde niveau van informatiebeveiliging nastreeft. 2. Kleinere verschillen in beveiligingseisen tussen gemeenten. 3. Bewustwording neemt toe bij gemeenten en daarmee ook de vragen over informatiebeveiliging aan leveranciers. 4. gemeenten hebben de mogelijkheid om ‘in control’ te komen op het gebied van informatiebeveiliging. 5. Het leveren van veilige producten wordt een onderscheidende factor voor productleveranciers. 6. ‘Secure by design’ wordt normaal. 7. Er is nu één normenkader, waarin eenduidige eisen en wensen staan, in één taal, wat ook duidelijkheid geeft aan derden. 8. Toename bewustwording bij gemeenten, dus ook meer en gerichte vragen over informatiebeveiliging. Randvoorwaarden Strategische BIG 1. Informatiebeveiliging is en blijft een verantwoordelijkheid van het lijnmanagement. 2. Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement. 3. De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert, maakt plaats voor veilig faciliteren. 4. Methoden voor rubricering en continue evaluatie hiervan zijn hanteerbaar om onder- en over-rubricering te voorkomen. De Strategische Baseline geeft geen aanpak voor rubriceren van informatie. 5. De focus verschuift van netwerkbeveiliging naar gegevensbeveiliging. 6. Verantwoord en bewust gedrag van mensen is essentieel voor een goede informatiebeveiliging. 7. De Strategische Baseline wordt gemeentebreed afgesproken; overheidsbrede kaders en -maatregelen worden ook overheidsbreed 41
afgesproken, waarbij de overheidsbrede kaders en -maatregelen geënt worden op de Strategische Baseline. Uitzonderingen worden in overleg besproken. 8. Kennis en expertise zijn essentieel voor een toekomstige stevige informatiebeveiliging en moet geborgd worden. 9. Informatiebeveiliging vereist een integrale aanpak, zowel binnen de gemeenten als voor overheidsbrede gemeenschappelijke voorzieningen. Randvoorwaarden Tactische BIG 1. Informatiebeveiliging is en blijft een verantwoordelijkheid van het lijnmanagement. 2. Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement 3. De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren. 4. Methoden voor rubricering en continue evaluatie ervan zijn hanteerbaar om onder- en over-rubricering te voorkomen (deze Tactische Baseline geeft geen aanpak voor rubriceren van informatie). 5. De focus van informatiebeveiliging verschuift van netwerkbeveiliging naar gegevensbeveiliging. 6. Bewust en verantwoord gedrag van mensen is essentieel voor een goede informatiebeveiliging. 7. De Tactische Baseline wordt gemeente-breed afgesproken en overheidsbrede kaders en maatregelen worden overheidsbreed afgesproken, waarbij de gemeente-brede kaders en maatregelen geënt worden op de overheidsbrede kaders. In uitzonderingsgevallen wordt – in overleg – afgeweken. 8. Kennis en expertise zijn essentieel voor een toekomstvaste informatiebeveiliging en moeten geborgd worden. 9. Informatiebeveiliging vereist een integrale aanpak, zowel binnen de gemeenten als voor (overheidsbrede) gemeenschappelijke voorzieningen. 42
10. Deze Tactische Baseline is gebaseerd op de ISO 27001:2005 en ISO 27002:2007. 11. Deze Tactische Baseline kan gefaseerd worden ingevoerd. Rollen in het informatiebeveiligingsproces Binnen het informatiebeveiligingsproces zijn verschillende rollen van belang binnen de gemeente. · College van burgemeester en wethouders (B&W): het vaststellen van het informatiebeveiligingsbeleid. · Chief Information Officer (CIO): geeft dagelijkse invulling aan de sturende rol, door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering. · Chief Information Security Officer (CISO): bevordert en adviseert (on) gevraagd over informatiebeveiliging en rapporteert over de stand van zaken. · Security functionaris (ICT): dagelijks beheer van technische informatie beveiligingsaspecten. Samenvattend in relatie tot processen zijn er de volgende rollen: · De proceseigenaar is verantwoordelijk voor het goed functioneren van de processen die een wisselwerking hebben met het informatiesysteem.
43
·
De gegevenseigenaar is verantwoordelijk voor de juistheid van de gegevens in het informatiesysteem in kwestie. · De systeemeigenaar is verantwoordelijk voor het juist functioneren van het informatiesysteem. Uit bovenstaande definities volgt dat de systeemeigenaar, de gegevens- en proceseigenaar tot klant heeft. De gegevenseigenaar en de proceseigenaar bepalen hoe de gegevens en de processen er uitzien. Vervolgens dient de systeemeigenaar het informatiesysteem hierop in te richten.
Schematische weergave van de samenhang Meer informatie vindt u bij de IBD: https://www.ibdgemeenten.nl/
“Overheden krijgen van de wet- en regelgeving een groot vertrouwen mee : zij mogen zonder enige uitzondering de persoonsgegevens van alle burgers verwerken, met of zonder hun toestemming. De keerzijde daarvan is dat zij dat vertrouwen ook moeten waarmaken. Die overheden moeten dat vertrouwen ook verdienen. Dat impliceert dat zij garanderen dat de persoonsgegevens veilig en wel, goed beschermd, worden verwerkt.” (Willem Debeuckelaere – Voorzitter Privacy Commissie en Vlaamse Toezichtcommissie)
44
Hoe het bewustzijn rond informatie beveiliging binnen de organisatie bestendigen
Frederik Leyssens (V-ICT-OR – Domein Informatieveiligheid)
Kritische succesfactoren bij invoering van een informatieveiligheidsbeleid De meest aangehaalde ‘kritische succesfactoren’ die we in de literatuur en opleidingen aantreffen zijn: · Bij het inrichten van informatieveiligheid staan de belangen van de organisatie steeds voorop · Management is hierbij het toonbeeld en neemt steeds een voortrekkersrol · Er is duidelijk inzicht in de informatiebronnen en de computersystemen alsook in de rol die zij binnen de organisatie vervullen · Voorts is er ook inschatting van de risico’s, kwetsbaarheden en bedreigingen die van toepassing zijn op deze bronnen en systemen · De implementatie van een informatieveiligheidsplan vereist een duidelijk raamwerk, richtlijnen en hulpmiddelen gericht op verschillende gebruikersgroepen en -systemen · Het informatieveiligheidsbeleid is een ‘verbeteringsproces’ dat voortdurend dient geëvalueerd en bijgesteld · En last but not least: goede marketing en communicatie zijn essentieel voor het verankeren van het algemeen bewustzijn rond het belang en de noodzaak van deze materie Bij dit laatste punt wordt vaak de vraag gesteld op welke manier het ‘bewustzijn’ (security awareness) – eenmaal het initieel informatieveiligheidsplan is ingevoerd – kan worden bestendigd en aangescherpt. We gaan hier in dit artikel verder op in.
45
De mens (medewerker) centraal Invoering van Informatiebeveiligingsbeleid is een zaak van mens, techniek en organisatie. Bij het succesvol doorvoeren van het plan staat (het gedrag van) de mens echter centraal. Drie aspecten zijn hierbij belangrijk: · Informatiebeveiliging is vandaag een essentieel onderdeel van de organisatie. Hieruit vloeit voort, dat als informatiebeveiliging niet aan de orde is, dit mogelijk grote gevolgen heeft voor het imago, de kosten en zelfs de continuïteit van het bestuur · Bevorderen van het bewustzijn vergt aanpassing van de attitude. Immers statistisch gezien wordt 50 tot 70 % van alle veiligheidsincidenten en inbreuken veroorzaakt door medewerkers · Aanpassing van gedrag vergt intrinsieke motivatie van de individuele medewerkers We hebben dus in essentie te maken met een ‘veranderingsproces’ (change management). 46
Enkele vuistregels bij de invoering van een veranderingsproces Algemeen is het zo dat de kans op succes bij het doorvoeren van een organisatorische wijziging toeneemt door: · Het gewenste gedrag zo specifiek mogelijk te benoemen met behulp van duidelijk geformuleerde acties op korte en middellange termijn · Medewerkers te motiveren om hun intentie daadwerkelijk uit te voeren · Argumenten voor een positieve gedragsverandering te kiezen en deze voortdurend te onderhouden en versterken Anderzijds neemt de kans op falen bij veranderingsmanagement toe wanneer: · Het doel van de verandering niet klaar wordt gesteld · De medewerkers het nut van verandering niet of onvoldoende inzien · De impact van de verandering moeilijk realiseerbaar is (bv. extra workload) · De medewerkers niet worden betrokken bij de planning en de communicatie · Men algemeen het gevoel heeft dat sleutelfiguren niet werkelijk achter de verandering staan Checklist voor het opstellen van een succesvol communicatieplan ü Wat is het beleidsdoel? Welk probleem moet worden opgelost? Wat is het gewenst gedrag dat we tot stand willen brengen? In welke fysieke en sociale omgeving vindt dit plaats en hoe beïnvloed dit de doelgroep? ü Welke cijfers en feiten zijn bekend over de huidige manier van werken? Breng gewenst en ongewenst gedrag in kaart en stuur bij naar de grootst mogelijke positieve attitude. ü Hoe groot is de communicatieve uitdaging? In welke mate wordt het ‘positieve’ ondersteund door meerdere beleidsmaatregelen?
47
Succesvolle communicatie vereist een tweeledige aanpak · Rechtstreekse dialoog met de medewerkers van de diverse doelgroepen: bestuur, afdelingsverantwoordelijken, afdelingsmedewerkers, ICT, nieuwe en tijdelijke medewerkers. · Ondersteuning door een brede informatiecampagne rond bepaalde thema’s om het onderwerp levendig te houden. Inrichten en uitvoering van de dialoog · · · ·
·
Bepaal vooraf de specifieke gespreksthema’s Zorg voor een interactieve sessie Regel goede notulering Kernvragen voor de medewerkers: {{Waar zitten de informatierisico’s in jouw werk? {{Hoe ga je daar vandaag mee om? {{Wat doe je nu al, wat kan beter en wat is er nodig om dat te realiseren? {{Wat doe je als het mis gaat? Achteraf: Evaluatie met de afdelingsverantwoordelijke: {{Wat ging er goed? {{Waar is verbetering gewenst? {{Hoe kunnen we dit bereiken?
Inrichten en uitvoeren van de ondersteunende communicatiecampagne ·
Communicatiemiddelen en -vormen {{Presentaties {{Opleiding en training {{Posters {{Artikels in het personeelsblad
·
Essentiële randvoorwaarden: {{De boodschap begrijpelijk en geloofwaardig formuleren {{Gebruik een positieve toonzetting {{Sluit aan op de behoeften van de doelgroep (afdeling)
·
Ondersteun je campagne met slogans, bv. {{Veiligheid zit tussen de oren! {{Beveiligen is mensenwerk! {{SEC_RITY is not complete without U!
48
Bronnen -
-
-
Informatiebeveiliging onder controle 2e editie – Dr. ir. P.L. Overbeek RE, prof. dr. E.E.O. Roos Lindgreen RE en dr. M.E.M. Spruit – 2005 ISBN 90430-0692-0. Werkgroep Borging: Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW – Centrum Informatiebeveiliging en privacybescherming ) – December 2013 Gedragsverandering via campagnes, Dienst Publiek en Communicatie 18 mei 2011 Native Security Inc. Security Awareness Courses, Posters, Newsletters and Presentations “Informatieveiligheid is een absolute vereiste om de privacy van de burger wiens gegevens worden verwerkt te beschermen. Zonder die veiligheid is er geen afdoende bescherming mogelijk.” (Willem Debeuckelaere – Voorzitter Privacy Commissie en Vlaamse Toezichtcommissie)
49
Burger wil controle over eigen data Auteurs: Qiy Foundation
Wat is je postcode? Wat is de naam van je kind? Hoeveel verdien je eigenlijk? Hoeveel staat er op je bankrekening? Mag ik je pincode weten? Geef je even je inloggegevens? Iedereen heeft geheimen. Jij ook! Alleen jij weet welke gegevens voor jou comfortabel voelen om te delen, met wie, voor welke doeleinden, en in welke context. Dus privacy moet je zelf kunnen instellen. Een top-down privacy beleid opgelegd door organisaties, is vanuit dat perspectief per definitie onbevredigend. Privacy is een persoonlijke instelling Steeds meer mensen worden zich bewust van het gebrek aan online privacy, geholpen door steeds weer nieuwe schandalen. Het feit dat het schenden van privacy en het misbruiken van persoonlijke gegevens nog nieuws is, is al bijna opzienbarend te noemen. Het komt zodanig vaak voor en er wordt dermate weinig aan gedaan, dat je je afvraagt of de gemiddelde burger nog wel op nóg een nieuwsitem zit te wachten over dit onderwerp.
Toch helpen schandalen het privacy bewustzijn te verhogen. Iedereen realiseert zich inmiddels wel, dat je voor alles wat je doet op internet betaalt met je gegevens. Cookies en trackers houden je zoekgedrag bij en baseren daar ongevraagde aanbiedingen op. Informatie die je post op Facebook en Twitter is openbare informatie, en dus klaar voor gebruik voor wie reclame wil maken. Een weeffout in het World Wide Web De internetwereld is gebouwd op het creëren van profielen van de mensen die het internet gebruiken. Die profielen worden gebruikt om inhoud en reclame af te stemmen op jouw vermeende voorkeuren. Zelfs worden profielgegevens in sommige gevallen gewoon doorverkocht. Daarmee komt jouw profiel voor in allerlei databases. Volgens de Nederlandse Commissie 50
Bescherming Persoonsgegevens, het CBP, komen persoonlijke gegevens van de gemiddelde Nederlander voor in meer dan 1.100 databases. Niet alle databases zijn even zwaar beveiligd en zijn dan ook een dankbaar doelwit voor hackers die persoonsgegevens achterhalen en misbruiken. Steeds meer mensen zijn het slachtoffer van identiteitsfraude. Volgens een steekproef in opdracht van minister Plasterk van Binnenlandse Zaken is het aantal gedupeerden gestegen van zo’n 75.000 in 2007 naar 612.000 in 2012. Naast het feit dat mensen de controle kwijt raken over hun eigen gegevens, dat databases gehackt worden en dat op grote schaal de online privacy geschonden wordt is er nog iets aan de hand. Dat heeft te maken met de manier waarop het World Wide Web werkt: bedrijven en overheden vragen continu aan jou – in je rol als klant, burger, patiënt, werknemer etc. – om persoonlijke gegevens op te halen of weg te brengen. Dat kun je alleen maar doen met een gebruikersnaam en een wachtwoord, waarmee je dient in te loggen op je account bij de vragende organisatie. De gegevens achter de inlog zijn gestructureerd op de manier die de vragende organisatie het beste past. En dat is niet per se de manier die jou het beste uit komt en zeker niet de manier waarop je zelf nog iets met die gegevens kan. Want stel je voor dat je een offerte wil aanvragen voor een hypotheek. Daarvoor is het nodig dat je zowel je salaris ophaalt van het salarisportaal van je werkgever als de taxatiewaarde van je woning bij jouw gemeente. Die gegevens kloppen. Totdat jij ze ophaalt en invult op de website van de mogelijke hypotheekverstrekker. De bank in kwestie gaat vervolgens de door jou ingevulde gegevens controleren op juistheid. Dat kost veel geld en veel tijd en het resultaat is dat al jouw gegevens alweer aan een database zijn toegevoegd, met alle risico’s van dien. Dat probleem is te ondervangen wanneer de burger een eigen veilige plek krijgt in die digitale wereld. Dat betekent niet dat je een zoveelste account ergens moet aanmaken voor een bepaalde dienst, maar dat je zelf een eigen domein krijgt. Op het moment dat je veilig bij dat domein kunt komen, kun je vanuit dat domein veilig de toegang hebben tot jouw data bij organisaties en deze – gevalideerd – beschikbaar stellen aan voor jou relevante derde partijen.
51
Het herstellen van de menselijke maat in de digitale wereld Iedereen doet liever zaken met organisaties die ze kunnen vertrouwen; organisaties die oprecht zekerheid en veiligheid bieden met betrekking tot de persoonlijke gegevens van het individu. Die duidelijk maken waarom ze je gegevens nodig hebben en wat ze er precies mee doen. Die zich op jou abonneren en jouw privacy respecteren, al was het maar omdat ze daarmee mogen beschikken over actuele gegevens. Het Duitse onderzoeksinstituut KuppingerCole bundelt dit denken onder de term ‘Life Management Platforms’. In Europa is de Nederlandse Qiy Foundation de organisatie die het kunnen beschikken over je persoonlijke gegevens op de kaart gezet heeft. De onafhankelijke stichting werkt samen met een aantal private en publieke organisaties, waaronder ABN Amro, Equens, ING, RTL, SIDN, Ziggo en de Nederlandse overheid aan een afsprakenstelsel dat leidt tot een nieuwe open standaard voor het ‘interoperabel uitwisselen van persoonlijke data’ over het internet, waarbij mensen zelf bepalen welke gegevens wanneer worden gedeeld. Het is een virtuele laag, een trustlaag, over het internet heen. Een persoonlijk domein
52
is aangesloten op de trustlaag en wordt uitgegeven door ‘Issuers’ die werken onder een licentie van een lokale Qiy autoriteit. Qiy domein als veilige toegangspoort Logische ‘Issuers’ van een persoonlijk domein zijn niet alleen telecombedrijven en banken, maar ook gemeentes. Een gemeente kan op basis van een hoog niveau identificatie een persoonlijk domein uitreiken aan haar burgers. Vanuit dit domein krijgt de burger toegang tot zijn ‘personal data’, ook bij de gemeente, uiteraard alleen nadat hij of zij zich op een hoog niveau geauthentiseerd heeft. Toegang betekent niet dat al die gegevens in een persoonlijke kluis terecht komen. Dat is onveilig en zou op termijn een verdubbeling van de hoeveelheid opgeslagen data betekenen. Vanuit zijn Qiy domein kan de burger over zijn personal data beschikken. Voor een sessie legt hij vanuit zijn Qiy domein contact met zijn gegevens bij de authentieke bron. Na afloop van een sessie zijn de gegevens weer waar ze daarvoor ook al waren: bij de bron. Het Qiy Afsprakenstelsel krijgt snel vorm. Daarbij is het de bedoeling dat ieder land zijn eigen lokale autoriteit krijgt, die toezicht houdt op de uitvoering van het afsprakenstelsel. Meer informatie over Qiy vindt u op: qiyfoundation.org
“Cyber security is al lang niet meer het exclusieve domein van de informaticus : het engagement van de topmanagers is nodig om de continuïteit en de integriteit van de dienstverlening te garanderen.” (Luc Beirens – Director Cyber security services – Deloitte)
53
54