In the picture
Informatiebeveiliging is hot. Veel grote bedrijven komen in het nieuws omdat ze gevoelige informatie hebben laten ontsnappen. Ook de overheid.
Overheden zijn populaire targets – zowel voor hackers als voor journalisten en bloggers. Daardoor ligt de prestatielat twee keer zo hoog als voor elke andere onderneming. Neem bijvoorbeeld dit bericht van de NOS over spoofing van dinsdagavond. De overheid komt er in dit artikel niet erg goed vanaf. Een gotspe, want de NOS heeft het ook nog niet helemaal voor elkaar?
Nou…
De Nederlandse overheid beheert immense hoeveelheden gegevens. Die hebben verschillende beveiligingsbehoeften. Zo wordt er ook mee gewerkt. De beveiliging van gegevens voor bijvoorbeeld reisdocumenten en belastingen is erg streng en er zijn zelden incidenten te melden in de geautomatiseerde verwerking ervan. De beveiligingseisen zijn ook al lang in wetgeving verankerd. De meeste incidenten komen voort uit menselijk handelen, niet uit een ‘hack’ of aanval.
Er is ook nog veel te winnen, net als bij veel grote ondernemingen.
Soms kun je je niet zo gemakkelijk beschermen. E-mail versturen uit naam van een ander kan gewoon, net zoals het mogelijk is om een brief met een andere naam te ondertekenen. Bij e-mail zijn er wel standaarden die dit moeilijker maken. De standaarden SPF, DMARC en DKIM zijn er om spoofing, spam en phishing tegen te gaan en deze worden door de overheid geïmplementeerd. Dat is complexer dan alleen maar een vinkje zetten. Als je het niet goed doet, loop je het risico dat je helemaal geen berichten meer kunt versturen of ontvangen, met alle gevolgen van dien. Bovendien zijn er twee partijen voor nodig om de beveiliging te laten werken: de zendende en de ontvangende kant moeten beide gebruik maken van deze e-mailstandaarden.
Transparantie maakt je kwetsbaar. De overheid ligt voortdurend onder een vergrootglas (en terecht). De belangrijkste les die ik haal uit deze artikelen is dat het niet voldoende is als je eigen gemeente of ministerie goed presteert op het gebied van informatiebeveiliging. Als er bij een andere overheidsinstantie iets misgaat, is het toch ‘de overheid’ die zijn zaakjes niet op orde heeft.
Hoeven overheidsinstanties daarom geen moeite meer te doen omdat ze het toch nooit goed doen? Integendeel, ze moeten hun inspanningen verdubbelen. Want overheden dragen verantwoordelijkheid en moeten dat tonen. Maak van die kwetsbaarheid een kracht en breng de informatiebeveiliging zichtbaar op een hoog niveau. Vervul de voorbeeldfunctie die de overheid toekomt.