Opinie 1500 Sinterklazen lossen IT problemen op

Privacy- en beveiligingsproblemen met gemeentelijke sites hebben meestal te maken met webapplicaties. Goed nieuws: er is een oplossing. Slecht nieuws: Den Haag negeert het.

– COLUMN – Brenno de Winter

De vlag kan uit: gemeenten zijn weer aangesloten op DigiD. Daarmee is de acute crisis voorbij. Toch is het signaal van Lektober wel iets sterker dan alleen het falen van een beperkt aantal gemeentelijke websites. Het gaat erom dat in de meeste gevallen webapplicaties het laten afweten. Dan liggen systemen open en dan kunnen onverlaten in databases. Gelukkig is er ook daarvoor een oplossing.
 
Kant en klare oplossingen
Al tien jaar is er een internationale organisatie bezig met het beveiligen van webapplicaties. Dat doet de organisatie OWASP, een samenwerkingsverband van 1500 technisch experts en bedrijven met vertakkingen over de hele wereld. Door de omvang bieden ze nu handleidingen, standaarden, oplossingen voor het testen, omgevingen om te leren hoe je zwakheden in webapplicaties moet vinden en ze moet oplossen en het uitwisselen van kennis.
 
Het mooiste van alles is dat alle kennis gratis beschikbaar is om iedereen te helpen. Zeg maar net zoiets als een bisschop van Myra, die het leed van een bruid niet kon verkroppen en de bruidskleding regelt. Dat is noodzakelijk om niet noodzakelijk leed te voorkomen. OWASP bestaat uit zo’n 1500 Sinterklazen die vooral dingen doen voor het algemeen belang.
 
Niet voor Nederland
Het enige wat eigenlijk nog zou moeten, is dat iemand de schouders eronder zet en de kennis in het Nederlands vertaald. Dan kun je dat aan gemeenten geven, terwijl burgers meeprofiteren. Als die kennis was toegepast was geen van de gemeentesites uit Lektober onderwerp van discussie geweest. Zo simpel had het kunnen zijn.
 
Afgelopen vrijdag was er een korte conferentie in Luxemburg van OWASP Benelux waar juist over dit soort problematieken wordt gesproken. Experts wisselden daar kennis uit om niet alleen ellende te voorkomen, maar ook om te zorgen dat een breed publiek hier toegang toe kan krijgen. Eigenlijk is alles er wat je nodig hebt. De grote afwezige was: de Nederlandse overheid.
 
Desgevraagd liet Govcert weten ‘fan’ te zijn van het project, maar navraag schetst een ander beeld: Govcert blijkt structureel afwezig op bijeenkomsten, heeft in tien jaar tijd zelfs nog nooit met de beveiligers om de tafel gezeten. Heeft de kennis dus nooit doorgegeven en ook nooit iets te bijgedragen. Het is net zoiets als geloven in Sinterklaas, maar niet je schoen willen zetten uit angst dat je leuke kadootjes krijgt of zeggen salaris te willen hebben maar stiekem de opgegeven bankrekening opheffen.
 
Nederland kennisland
Het is ongelofelijk dat een organisatie zo hautain kan blijven. Het gaat niet goed in Nederland. Het oplossen van oppervlakkige problemen rond beveiliging, om maar weer naar DigiD te wijzen, maakt gemeentelijke ICT’ers niet minder zoekend. Ik heb er veel gesproken de laatste weken. Mij is wel duidelijk dat daar de wil wel aanwezig is, maar dat ondersteuning en richting noodzakelijk is. OWASP zou een mooie steun zijn.
 
Omdat het vijf december is stopt de Sint in de schoen van al die goedwillende gemeente-ambtenaren: een top tien van grote problemen met veel sites, een standaard voor het checken op beveiliging, de “OWASP Application Security Verification Standard 2009” en het “Software Assurance Maturity Model” om te groeien in de kwaliteit van webapplicaties. Geschenken van een Sint voor ICT’er en bestuurder.
 
Epiloog: de conferentie van OWASP werd – gelet op de kwaliteit – gehouden op de Universiteit van Luxemburg en kostte in totaal net achtduizend euro. De toegang was gratis. Dat staat in schril contrast tot de 240.000 euro van het Govcert-symposium waar ook gemeente-ambtenaren zijn geweigerd. Dat symposium vierde het sociale event op de SS Rotterdam. Dat schip vaart ondanks een investering van 200 miljoen in tegenstelling tot de pakjesboot niet.

Volg Gemeente.nu via Twitter >>

Tagged With: Den Haag Filed Under: Blog