Na alle ICT-perikelen hebben veel gemeenten het licht gezien: persoonsgegevens verwerken doe je veilig of je doet het niet. Helaas werpen bedrijven obstakels op.
– COLUMN – Brenno de Winter
Als het veilig
gaat ontkom je niet aan het voldoen aan regels. De geldende open
standaard die
verplicht is, is de
ISO-27001-norm.
Dus zijn de eerste ambtenaren opgestaan die een traject
van
certificering zijn ingegaan. Een goede stap, want daarmee tonen
ze intern en
naar buiten dat de beveiligingszaken op orde zijn. Als er
problemen zijn dan
komen die tijdens de procedure aan het licht. Op die manier
wordt de
beveiliging in de hele gemeente op procedureel niveau
opgeschroefd.
Natuurlijk
wordt er door auditors ook gekeken naar de technische staat van
beveiliging via
een aantal penetratietesten die moeten worden uitgevoerd.
Tenminste zo hoort
het eigenlijk wel te gaan.
Problemen
met
audits
Van de perikelen bij KPN weten we inmiddels dat de
audit niet alles,
omdat na de hacks bij KPN Getronics, Gemnet en KPN zelf bleek
dat er nogal in
het beheer wat mis is gegaan. Er waren jarenlang verouderde,
slecht bijgewerkte
systemen en daarbij ging het niet om een vergeten computertjes
ergens achteraf.
Dat had tijdens de controleslagen ontdekt moeten worden, iets
wat in de
industrie wel langzamerhand aan het doordringen is.
Na de
affaire Diginotar
beginnen auditors eindelijk te geloven in het belang van hun
eigen werk.
We zitten dus midden in een cultuurveranderingsproces
en dat is
lastig. Maar eigenlijk is het ideaalbeeld is voor mij wel
helder. Niet meneer
de burgemeester (m/v) of meneer de wethouder (m/v) in reactie op
Lektober moet
persberichten of raadsbrieven met zalvende woorden sturen. Nee
een stoere
gemeente laat zien dat zij hun zaken op orde hebben en zegt:
kijk natuurlijk
zijn we toetsbaar.
Kijk hier is het certificaat. En voegt daar
onmiddellijk aan
toe: maar we doen natuurlijk meer dan dat aan beveiliging, want
in een
papiertje alleen zit het niet.
Billen bloot
Maar ik heb een obstakel ontdekt en dat staat gemeenten
in de weg. In
gemeenteland zijn meerdere helden die de stap hebben gezet om
ISO-gecertificeerd te worden. Hard werkende ambtenaren knokken
om alles op
alles te zetten de zaken op orde te krijgen. Dat is geen
sinecure en dwingt
respect af. Dus moeten ook leveranciers met de billen bloot en
vertellen hoe
procedureel zaken in elkaar steken.
Op cruciale punten is die
informatie
onmisbaar voor goedwillende auditors. En u voelt hem al
aankomen: sommige
bedrijven werken niet mee. Geld van de belastingbetaler vangen
is prima, maar
verantwoordelijkheid nemen is toch weer minder leuk.
KPN
Als voorbeeld (maar er zijn er meer) noem ik KPN.
Pardon? Ja, KPN.
Het bedrijf dat zelf trots prijkt met een ISO-certificaat dat
evident ze zou
moeten worden afgepakt, blijkt de onderneming deze informatie
niet te willen
leveren. Dus hebben we een speler die cruciale elementen in de
ICT-infrastructuur doet en schimmig over de werking. Het geeft
certificaten uit
en doet schimmig over hoe zij tot resultaat komen. Er is geen
enkele reden
denkbaar waarom dit niet gewoon kan worden gestuurd. Juist
procedures zijn een
belangrijk in het certificeringsproces en geen geheim van de
smid. En als het
wel het geheim van de smid was geweest dan geef je dat in
vertrouwen aan de
auditor.
Op
blauwe ogen vertrouwen hebben we in het verleden iets te vaak
geprobeerd en leidt binnen de ICT iets te vaak tot ongelukken.
Terecht want KPN
heeft mij al eens duidelijk gemaakt dat er misschien iets anders
aan de hand
is.
Toen ik vroeg naar gedetailleerde informatie over KPN
Getronics en hun PKI
Overheid-certificaten kreeg ik na veel brieven schrijven en
stampvoeten
eindelijk de waarheid te horen: “Zoals bij verschillende
gelegenheden al aan
jou kenbaar gemaakt, heeft KPN simpelweg geen eigendom of
beschikking over de
informatie die jij vraagt.”
Tja, daar kan de beste wil van de
beste ambtenaar
niet tegen op. Wat kun je daar nog aan toevoegen behalve dat ik
nu ben begonnen
uit te zoeken welke auditor dan ooit akkoord is gegaan met de
certificering van
KPN, KPN Getronics en Gemnet.
Epiloog
Persoonsgegevens
verwerk je veilig of je doet het niet. Onder dat
motto ben ik op zoek naar meer voorbeelden en kom graag in
contact met
ambtenaren die ook door hun leveranciers worden gehinderd. Dat
is mooi voor een
zwartboek dat dan voor het begin van het parlementaire onderzoek
naar wat er
toch structureel misgaat in de industrie.
Erik-Jan,
Helemaal mee eens. Dus de komende tijd zal uit mijn onderzoek hopelijk helder of dat zo is.
Met vriendelijke groet,
Brenno de Winter
Een belangrijk onderdeel van ISO 27001 is het risk assessment. Hierin worden alle risico’s geinventariseerd, wordt de impact op de bedrijfsvoering beschreven en wordt de kans op optreden berekend/beredeneerd. Daarnaast worden de maatregelen om de risico’s te vermijden op een rijtje gezet.
De auditor doet geen uitspraak over de beschreven risico’s en de gekozen maatregelen. De auditor kijkt of de organisatie tot een goed gedefinieerde methode is gekomen om dat risk assessment uit te voeren. Of die methode herhaalbaar is, of het management de methode inzet, evalueert, tot verbetering kan komen; of er een PDCA-cyclus aan verbonden is: je kunt niet altijd alles van te voren weten en daarom moet er een procedure voor verbetering zijn.
De control om informatie te leveren over overheids PKI certificaten is blijkbaar niet toereikend. Als KPN of Getronics een procedure heeft om deze control te verbeteren zijn ze nog steeds ISO 27001 waardig.
Hebben ze die procedure niet dan voldoen ze niet aan hun ISO 27001 certificering.