Informatiebeveiliging van de overheid

Terwijl Minister Balkenende deelneemt aan de klimaattop, print de overheid bossen papier. Trekpleister, Amsterdam, ligt er al 6,5 jaar bij als een bouwval door verkeerde beslissingen met betrekking tot de Noord/Zuidlijn en informatielekken is niks nieuws in Den Haag. Tijd voor een kritische blik op de Informatievoorziening van de overheid.

De informatievoorziening gaat niet alleen over het informatiesysteem maar ook om de maatregelen die genomen worden omtrent de informatieverzorging, het inrichten van de organisatie en de beveiliging van informatie. De informatiebeveiliging is geen doel van de overheid maar bepaald wel voor een groot deel de kwaliteit van de informatievoorziening. Veel informatie van de overheid is nu eenmaal vertrouwelijk. En eenmaal openbaar dan blijft het openbaar, als iets naar de media uitlekt of op internet komt dan is dit niet meer terug te draaien.

Informatiebeveiliging overheid

Dat er door de overheid wordt gelekt blijkt wel uit voorbeelden uit het verleden. Zo kwam er dit jaar informatie in de media van DNB over de financiële situatie van de DSB. (ANP, 2009) In 2005 werd een werknemer van de inlichtingendienst in de trein bestolen van zijn laptop met vertrouwelijke gegevens en een andere medewerker ruilde datzelfde jaar zijn leaseauto in met daarin nog twee diskettes met geheime gegevens. (Kruijt, 2006) Het lekken van verslagen van ministerraad over het uitdiepen van de Westerschelde en het lekken van de Miljoenennota (ANP, 2009). Tal van andere voorbeelden zijn er te vinden in kranten en op internet.

Na een interview met Mevr. Van Amelsvoort, notulist bij een gemeente in Noord-Brabant, bleek dat er ook hier slordig met de informatie wordt omgesprongen. Binnen de gemeente wordt veel gebruik gemaakt van papieren documenten. Indien er een aanvraag binnenkomt voor bijvoorbeeld een bouwvergunning, dan maakt de afdeling Bouwen een dossier aan. Op het moment dat er een bezwaarschrift tegen de weigering van de vergunning wordt ingediend wordt het dossier doorgestuurd naar de afdeling Juridische Zaken. Voor de behandeling van het bezwaarschrift is het noodzakelijk dat de leden van een adviescommissie voor de bezwaarschriften het dossier in kan zien. Daarom wordt het dossier achtvoudig gekopieerd en naar de leden toeverstuurd. Meestal worden deze in het postvak gelegd van een medewerker, maar Van Amelsvoort is een externe notulist en daarom worden de documenten opgestuurd naar haar huisadres. De informatie wordt verstuurd met de reguliere post, waar iedereen zijn postpakketten mee kan versturen. Het zijn vaak dikke pakken met vertrouwelijke documenten en omdat deze vaak niet door de brievenbus past worden ze ook wel bij de buren afgeleverd indien er niemand thuis is. Na de hoorzitting is Van Amelsvoort zelf verantwoordelijk voor het vernietigen van de documenten. De gemeente vertrouwt erop dat zij haar verantwoordelijkheid hierin neemt.

Organisatorische fouten kunnen een oorzaak zijn van het falen van de informatiebeveiliging. Zo kan er niet duidelijk aangegeven zijn hoe om moet worden gegaan met vertrouwelijke gegevens. In een geheimhoudingsverklaring kan bijvoorbeeld staan dat men geen vertrouwelijke gegevens mag verspreiden, maar geldt dit dan ook wanneer iemand een USB stick vergeet of wanneer er ingebroken wordt in een huis en er een laptop gestolen wordt met vertrouwelijke gegevens? Al deze zaken dienen helder en voor iedereen begrijpelijk in kaart gebracht te zijn. Managers dienen hierin het goede voorbeeld te geven en de werknemers op deze procedures te attenderen, dit geldt ook voor de gevaren van onbewust lekken. Het management dient dus zonder meer perfect op de hoogte te zijn van het beleid voor informatievoorziening en aanverwanten. Daarnaast dienen informatiekundigen het beleid en de risico's hiervan constant kritisch te evalueren om een continu hoog niveau van beveiliging te waarborgen binnen de organisatie.

Toch is lekken niet altijd te voorkomen. Toen gegevens over het uitdiepen van de Westerschelde uitlekten waste Balkenende zijn handen in onschuld door aan te geven dat er in de politiek nu eenmaal innige contacten zijn tussen mensen die over informatie beschikken en vertegenwoordigers van de media. En als iemand wil lekken dan is daar altijd wel een mogelijkheid toe. Deze opmerking is gedeeltelijk terecht maar er kunnen misschien wel verbeterde maatregelen genomen worden om de informatiebeveliging te verbeteren. En daar komt de rol van een Informatiekundige om de hoek kijken.

Nodig onderzoek

Willen we de informatievoorziening van de overheid daadwerkelijk verbeteren en beveiligingsmaatregelen nemen, dan moet er nog het nodig onderzoek plaatsvinden. Dit is erg ingewikkeld, mede omdat de overheid een enorm grote organisatie is met veel verschillende belangengroepen. Het is daarom noodzakelijk om het onderzoeksgebied goed af te bakenen en dus niet de gehele overheid onder de loep nemen.
Eerst zullen de problemen boven tafel moeten komen door middel van een heldere probleemanalyse. Vervolgens zal de huidige werkwijze in kaart gebracht moeten worden. Hierbij moet er gekeken worden naar: welke processen er spelen, hoe de gegevensstroom loopt, welke maatregelen met betrekking tot informatiebeveiliging er zijn genomen en hoe de organisatie momenteel ingericht is. Bovendien is het belangrijk te weten welke belangengroepen een rol spelen in het geheel.
Hierna kan er toegewerkt worden naar de gewenste situatie. Wat zijn de doelstellingen, welke veranderingsalternatieven zijn er, in hoeverre zijn de alternatieven haalbaar, wat zijn de kosten en baten en welk effect hebben ze op de organisatie en belangengroepen.
Op basis van deze gegevens kunnen er keuzes gemaakt worden en kan het informatiebeveiligingsbeleid aangepast worden. De genomen maatregelen en veranderingen kunnen vervolgens ingevoerd worden, waarbij communicatie naar de medewerkers en belangengroepen extreem belangrijk is.

Rol van de informatiekundige

Aangezien de stapels papier onder andere voortkomen uit het misplaatste gevoel van onveiligheid van digitale informatiesystemen, kunnen wij als informatiekundigen trachten hen ervan te overtuigen dat een goed doordacht digitaal informatiesysteem wel degelijk veilig kan zijn. Hierbij kan gebruik gemaakt worden van onder andere wiskundige voorbeelden van encryptietechnieken en fysieke voorbeelden om de gebruikers de link te laten leggen met hun huidige werkwijze.
Daarnaast is het mogeijk om een print te maken van een document dat versleuteld is en deze naast het origineel te leggen. Op deze manier is aan te tonen dat een vel papier eigenlijk veel onveiliger is ten opzichte van versleutelde opslag in welke vorm dan ook. Hieronder is een voorbeeld te zien van een normaal document en een versleuteld document.

Medewerkers dienen er bewust van gemaakt te worden dat gegevens niet altijd veilig zijn op papier en dat ze juist wel veilig zijn in degelijke digitale systemen. Recente artikelen van USB sticks die door Kington werden teruggehaald vanwege een ondeugdelijke beveilinging helpen natuurlijk niet mee aan dit doel, maar de medewerkers zullen er toch van overtuigd moeten worden. (Tweakers.net, 2009) Vaak zijn medewerkers zich er niet van bewust dat ze onverantwoord omspringen met gegevens die vertrouwelijk zijn. Zo zette een officier van Justitie zijn laptop vol vertrouwelijke gegevens bij het grof vuil.(nu.nl, 2004) Hij kan al zijn gegevens wissen maar vaak is er een groot deel van alle data dan nog terug te halen. Medewerkers moeten hier bewust van worden zodat ze het nut van de beveiliginsmaatregelen zien en volgens het informatiebeveiligingsbeleid gaan werken. Als Informatiekundige kunnen we informatiesystemen bouwen en beveilingingsmaatrgelen binnen een organisatie introduceren maar dit heeft allemaal pas nut als wij de gebruikers ervan weten te overtuigen dat het gebruik ervan van belang is voor de veiligheid van gegevens. Dat besef moet bij de gebruikers komen en als Informatiekundige is het onze taak dit besef te creëren. Dit kan mogelijk gedaan worden doormiddel van workshops, voorlichtingen of training. Zo zullen er diverse manieren zijn om de medewerkers te overtuigen. In ieder geval moet er gekeken worden naar de beste methode voor de groep gebruikers.

Referenties

Wetenschappelijke artikelen

• M.E.M Spruit, Informatiebeveiliging en bewustzijn, Informatiebeveiliging jaarboek 2004/2005, Ten Hagen en Stam, Den Haag, 2004, pag. 95-101.
  

Abstract

Het optreden van beveiligingsincidenten is vaak aanleiding voor het starten van een beveiligingsbewustwordingsprogramma, zonder dat men goed weer hoe zo'n programma opgezet moet worden en of het überhaupt wel zo effectief is. Bovendien worden alle werknemers van een organisatie over één kam geschoren en krijgen één en hetzelfde programma voorgeschoteld. Goed beschouwd is het dan niet zo vreemd dat met dergelijke programma´s zo weinig positieve resultaten geboekt worden. Maar kan het dan beter=

Relevantie

Het artikel geeft aan dat het bewustzijn van mensen een belangrijke rol speelt in de informatiebeveiliging. Daarnaast treden er soms fouten op in de organisatie waardoor gegevens niet goed beveiligd zijn. Om dit te verbeteren moet je ervoor zorgen dat medewerkers zich meer bewust worden van zijn handelen en de risico´s die hij of zij hiermee loopt. Ook kunnen maatregelen genomgen worden om risico´s te verkleinen.
In het verleden hebben we vaak gezien dat de overheid slordig met hun data is omgegaan. Dat kan onbewust doordat een medewerker zijn USB stick in de auto laat liggen. Of bewust doordat een kamerlid de miljoenennota aan een journalist geeft of het kan een organisatorische fout zijn door alle documenten op papier uit te printen (en soms bij de buren af te leveren).
De zaken die in het artikel zijn beschreven zijn dus ook heel goed terug te koppelen naar de overheid.

Artikelen

• ANP. (2009, Oktober 8). Balkenende: Verrotting systeem door lekken. http://www.volkskrant.nl/binnenland/article1300516.ece/Balkenende_Verrotting_systeem_door_lekken
  

- Dit artikel geeft een voorbeeld van het lekken van vertrouwelijke gegevens door de overheid.

• ANP. (2009, December 17). DNB doet aangifte wegens lekken document. http://www.volkskrant.nl/economie/article1328859.ece/DNB_doet_aangifte_wegens_lekken_document
  

- Dit artikel geeft een voorbeeld van het lekken van vertrouwelijke gegevens door de overheid.

• Kruijt, M. (2006, Januari 26). Geheime dienst niet meer zo geheim. http://www.volkskrant.nl/den_haag/article205394.ece/Geheime_dienst_niet_meer_zo_geheim
  

- Dit artikel geeft enkele voorbeelden van het lekken van vertrouwelijke gegevens door de overheid.

• nu.nl. (2004, Oktober 07). Officier zet pc vol gevoelige informatie op straat. http://www.nu.nl/algemeen/422656/officier-zet-pc-vol-gevoelige-informatie-op-straat-video.html
  

- Dit artikel geeft een voorbeeld van het lekken van vertrouwelijke gegevens door de overheid.

• Tweakers.net . (2009, December 31). Kingston roept 'beveiligde' usb-sticks terug. http://tweakers.net/nieuws/64650/kingston-roept-beveiligde-usb-sticks-terug.html
  
  

Raakvlakken met gastsprekers

Dit onderwerp heeft raakvlak met de volgende onderwerpen van de gastsprekers.

Cybercrime - Bart Jacobs

Zodra gegevens digitaal opgeslagen zijn, worden ze ook doelwit voor cybercriminelen. In het gastcollege van Bart Jacobs is onder andere cybercrime jegens politieke doelen behandeld, derhalve is het van toepassing op dit onderwerp.

Business Processes & Service-Orientation - Richard Bussink

Wanneer al dan niet gevoelige gegevens opgeslagen worden in een digitaal systeem, dienen de bedrijfsprocessen ook aangepast worden om dit te ondersteunen. In het gastcollege van Richard Bussink zijn veranderingen van business processes behandeld.