Honderd procent beveiliging bestaat niet in de ict, dus geef het maar op.
COLUMN – Brenno de Winter
Reizen wordt weer leuk, want op Schiphol bestaan de controles op papier nog wel maar in de praktijk niet meer. Je mag weer je waterflesje meenemen, het zakmes is weer toegestaan en tijdrovende detectiepoortjes staan allemaal uitgeschakeld. Het besef is doorgedrongen dat terrorisme niet echt te stoppen is en het omzeilen van de maatregelen simpel is.
Honderd procent beveiliging bestaat toch niet dus geef het maar op. Wat is trouwens de kans dat een terrorist daadwerkelijk op een van de kerstdagen met explosieven vanaf Schiphol naar bijvoorbeeld de Verenigde Staten vliegt? Op de nationale luchthaven moeten ze gedacht hebben zelf de standaard te zetten. De nieuwe aanpak bespaart tijd en geld en rond de kerst is het toch al zo druk.
Kolderiek in de polder
Kolderiek zult u denken. Terecht want Schiphol noch Brenno zijn gek geworden. Die gekte is er elders wel: bij sommige bestuursorganen. Die moeten namelijk net als Schiphol voldoen aan harde standaarden. Het beleid is dat bepaalde standaarden worden gevolgd. Dat vloeit voort uit het unaniem door de Tweede Kamer aangenomen: Nederland Open in Verbinding (NOiV). De regel is: pas toe of leg uit.
Voor beveiliging zijn twee standaarden verplicht. De ISO-27001 en 27002 standaarden. De beveiligingsstandaarden leggen een minimaal niveau van beveiliging neer en daarop kun je ook worden gecertificeerd. Bestuursorganen beheren persoonsgegevens van burgers. Dus heeft de Nationaal Coördinator Terrorismebestrijding en beveiliging gesteld dat geen moeite gespaard moet blijven om data goed te beschermen.
Massaal niet voldoen
In 2009 heb ik geprobeerd in kaart te brengen hoe decentrale overheden omgaan met de verplichting van NOiV. Een betrouwbare tipgever maakte duidelijk dat er massaal niet wordt voldaan aan de verplichting. Dat bleek te kloppen en gelet op de staat van beveiliging heeft de BV Nederland nu iets uit te leggen.
Eerder ging dat mis. Om te beginnen bij de VNG. Bellen leidde tot niets. Toen vroeg ik de relevante stukken op, maar kreeg ze niet. De vereniging ontkende bij de rechter eerst dat ze stukken hadden, maar moest die stelling herzien. Het maakte niet uit, want de vereniging hoeft van de rechter en de
Toen de obstructie duidelijk werd, vroeg ik het de gemeenten zelf. Veel gaven de problemen toe. Sommige verborgen de problemen achter legesheffingen. Maar dat
Obstructie in plaats van zelfbewust willen begrijpen dat het voldoen aan de regels belangrijk is voor de kwaliteit van de ICT. In plaats van procederen om stukken geheim te houden, was energie steken in oplossen van de echte oorzaak logischer geweest. Dat had
BOEM!
Maar misschien hielp Lektober toch wel een beetje. Er is opeens wel risicobesef, er worden in gemeenten waar dat nog niet gebeurde beveiligingsplannen gemaakt en zowaar beginnen de bestuurders langzaam problemen bij zichzelf te zoeken en niet bij de boodschapper. Zij lijken overleg te zoeken en lessen te willen trekken. Dat is een hoopvolle stap in de richting van een betere bescherming van gegevens.
Gemeenten doen het daarom beter dan Schiphol. Toen men daar getoond kreeg hoe simpel je explosieven op de luchthaven krijgt en in het vliegtuig van de koningin kunt leggen, gebeurde iets onlogisch. In plaats van de falende beveiligingsmedewerkers aanpakken wordt verslaggever Alberto Stegeman vervolgd. Het lijkt wel alsof de luchthaven en het Openbaar Ministerie liever met één goede klap de overstap naar een republiek willen maken dan de levens van duizenden mensen wil beschermen door de angstcultuur in stand te houden.
In 2012 hebben de gemeenten veel werk te verzetten en zal ongetwijfeld falen worden aangetoond. Dat is pijnlijk en genant, maar de reactie bepaalt het echte beeld. Door de bank genomen was Lektober een pijnlijke les, die sportief is opgevat. Laten we proberen in 2012 grote stappen te maken met de ICT, zodat systemen veilig, toegankelijk en vooral betrouwbaar worden. Fijne feestdagen!
Het is goed nieuws als gemeenten in 2012 nu ?indelijk eens de handschoen opnemen en voor het eerst hun informatievoorziening serieus gaan nemen.
Als het gebeurt, en dat is nog een hele grote ‘als’. Want voorlopig zie ik nog niet zo veel gebeuren bij instituten die gemeenten zouden moeten adviseren, zoals VNG, ICTU, NOiV en KING. Dat lijken vooral baantjesmachines voor een zeer beperkte en zeer Haagsche kliek, die ternauwernood de indruk wekken meer ge?nteresseerd te zijn in de gemeentelijke sores dan gemeenten zelf. En dit zullen toch vaak de clubs zijn waar gemeenten als eersten aankloppen voor advies. D??r lijkt nu juist het gemeentelijke onvermogen samen te klonteren bij allerlei lieden die nog moeite zouden hebben het woord ‘PC’ te spellen, laat staan werkelijk inzicht te hebben in de gemeentelijke informatieproblematiek. Bij die alfabetsoep hoort ook een VIAG, de belangenvereniging van gemeentelijke IT-ers. Ook die schurkt liever aan bij de macht, en kwebbelt liever over de nieuwste lekkere hebbedingetjes van het Nieuwe Werken dan hun congres te richten op de ellende die Lektober naar boven bracht. Navelstaren in optima forma.
Maar ?ls gemeenten dan in 2012 voor het eerst eens ?cht en serieus naar hun eigen fnctioneren willen gaan kijken, dan zou het aanbeveling verdienen om de werkelijke ‘grootverdieners’ ook eens onder de loep te gaan nemen. Ook jij, Brenno, zou daar een belangrijke rol in kunnen spelen. Wie ik bedoel met deze grootverdieners? Heel simpel: de leveranciers en adviseurs die gemeenten de afgelopen decennia hebben “bijgestaan” voor ettelijke miljoenen, zo niet miljarden. De BMCs, de Logica’s, de ATOSsen. De Centrics en de Pinks. De Wouter Kellers, de Argiteks en de M&Is. De Oranjewouds, de X- Y- en Z-groepen. Allemaal nooit te belazerd om voor een honderdje of twee aan euro’s advies te komen geven. En dan deze puinhoop mede te veroorzaken.
Misschien moet dat de doelgroep voor 2012 eens worden. De Adviseurs en Consultants Jungle. Laat daar maar eens wat gaan lekken.
Voor de rest: fijne feestdagen, en een gelukkig 2012…..