Lektober is voorbij, de ergste schrik over de Diginotar-affaire is zo goed als achter de rug. Leer van elkaar, maar ook van de hackers.
– COLUMN – Tof Thissen
Bij KING hebben we
samen met de VNG zoveel
mogelijk de gemeenten bijgestaan in de afgelopen maanden. Maar de lessons learned, de urgentie van een veilige overheid, zijn meer dan ooit actueel. En die urgentie moeten we voorlopig vasthouden.
We moeten aan de slag met die veiligheid,
voor nu en voor de toekomst. Ik denk overigens niet dat “100% veilig”
bestaat, maar daar moeten
we natuurlijk wel naar streven.
Ik was best verbaasd over wat er allemaal
naar boven kwam tijdens de maand “Lektober”, een initiatief van
internet-journalist Brenno de
Winter. Hij legde tijdens die maand elke werkdag een lek bloot. Bij
overheden en bedrijfsleven. De gemeenten die daarbij lek bleken te zijn,
kregen de tijd om dat zelf nog op te lossen.
Positief
Op deze manier waren de
hackers van De Winter op een positieve manier
bezig om te checken hoe het in Nederland staat met de privacy en
waarborging van onze persoonlijke gegevens. Ik vond dat een goed
initiatief, want het legde een aantal (pijnlijke) zaken bloot en zorgde
voor een flinke discussie. Met andere woorden: de Winters
initiatief legde de vinger op de zere plek en zette het onderwerp
opnieuw op de kaart. De Diginotar-crisis was uiteraard een heel ander
verhaal. Daar wilden hackers bewust schade en angst toebrengen aan de
Nederlandse samenleving en helemaal niet een dialoog
opstarten. Maar ook van dat soort, schadelijke, cyberaanvallen, kunnen
we leren.
Hacker in huis
KING wil en kan een rol spelen in dit proces,
bijvoorbeeld door gemeenten bij elkaar te brengen die samen kunnen
sparren over oplossingen.
Want veel kennis is in huis, maar deze wordt nog niet altijd in
voldoende mate gedeeld met elkaar. Maar ik denk er ook aan
om bijvoorbeeld hackers voor ons te laten werken. Je nodigt de hacker
als gemeente dus zelf uit om jouw gegevens te checken en zo lekken
bloot te leggen in de beveiliging. Mochten er problemen ontstaan bij de
gemeente, bijvoorbeeld een lek op de gemeentelijke website, dan kunnen
gemeenten dat zelf oplossingen met hun ict-afdeling of hun
ict-leverancier.
Ook wil KING dat er goede afspraken komen
over wat te doen met de beveiliging van gegevens, door intensiever te
gaan samenwerken met partijen als Logius en Govcert. Zo kan KING in de
toekomst gemeenten nog meer ondersteunen op het gebied van beveiliging
van gegevens. En kunnen wij daar als burgers
op vertrouwen.
Studenten en scipt-kiddies buiten de deur houden is inderdaad een basis voorwaarde om bedrijfs informatie achter websites te beschermen. Hackers die echt binnen willen komen, moet je het gewoon moeilijk maken. Kijk ook eens op http://www.trustinpeople.com en zorg ervoor dat jouw beveiliging net iets beter is dan dat van je “buurman”. Je kan ook Motiv, Madison Ghurka of Fox IT, KPMG, PWC, EY vragen, maar zitten qua levertijd en prijsstelling in een ander segment dan Trust in People.
Goed advies! Gespecialiseerde bedrijven als Sincerus consultancy voeren deze opdrachten al langer uit voor een aantal gemeenten (en andere organisaties) en hebben hierdoor zeer veel ervaring met de materie. Kijk ook maar eens op de website http://www.sincerus.nl
Diginotar kon gehackt worden omdat bij het bedrijf het technisch en organisatorisch een puinhoop was. Tevens is aangetoond dat de ICT Audits niet voldeden.
Er werd gekeken of de procedures voldeden en of de handboeken op de juiste wijze genummerd zijn. Niet of het technisch allemaal zo was zoals het was afgesproken.
Dat is ernstig.