C Y B E R SECU R ITY C Y B E R SECU R ITY ONGEOORLOOFDE TOEGANG IS HET ECHTE PROBLEEM HELDERE AUTORISATIE MAAKT SUWINET VEILIG De (on)veiligheid van het SUWInet was de afgelopen maanden onderwerp van gesprek. Het is niet de eerste keer dat de veiligheid van het informatieplatform voor overheidsinstellingen als UWV, SVB en gemeentelijke sociale diensten ter discussie staat. Tekst: Henk Meeuwisse, Senior Management Consultant informatiebeveiliging bij Sogeti ia SUWInet kunnen deze overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en met elkaar delen. Met het doel ons Nederlanders beter te helpen zodat we niet iedere keer overal dezelfde informatie hoeven af te geven. Dit informatieplatform bevat dus veel persoonlijke informatie. Logisch dat de veiligheid van dit systeem kritisch wordt beoordeeld. Zo trok de Commissie Bescherming Persoonsgegevens (CPB) enige tijd geleden al aan de bel. Ook staatssecretaris Klijnsma van Sociale Zaken & Werkgelegenheid riep gemeenten op de beveiliging van SUWInet nu eindelijk eens op orde te brengen. Eind juni schreef ze naar de Tweede Kamer dat het komende inspectie-onderzoek moet uitwijzen of gemeenten voldoen aan de gestelde beveiligingsnormen. De Vereniging van Nederlandse Gemeenten (VNG) maakt zich eveneens hard voor een gemeentebrede informatiebeveiliging met specifieke aandacht voor de rol van SUWInet. V BETERE BEVEILIGING Kortom, menigeen schreeuwt om betere beveiliging van het systeem. Om betere technologie. Maar dat is niet het probleem. De onveiligheid wordt niet veroorzaakt door de techniek. Ongeoorloofde toegang is het echte probleem. De beheerder van SUWInet, het Bureau Keteninformatisering Werk & Inkomen (BKWI), heeft veel geïnvesteerd in technische maatregelen die nodig zijn voor gedegen informatiebeveiliging. Elke vorm van informatie kan worden afgeschermd. Het autorisatieniveau bepaalt welke persoon toegang krijgt tot welke informatie. Doelbinding is daarbij het motto; verzameling van en toegang tot persoonsgegevens is alleen mogelijk voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. HOOFDGEBRUIKER Het BKWI is slechts beheerder van SUWInet. Per (nieuwe) groep gebruikers zoals een gemeente, UWV-instelling of Rijksdienst voor het Wegverkeer (RDW) wordt een hoofdgebruiker bepaald. Deze hoofdgebruiker krijgt een aantal rechten. Vervolgens is de hoofdgebruiker verantwoordelijk voor wie binnen zijn of haar instelling toegang krijgt tot welke informatie. Daar gaat het meestal mis. De hoofdgebruiker geeft gebruikers te veel rechten. Of geeft rechten aan ambtenaren die helemaal geen gebruik mogen maken van SUWInet. Zelfs externen zoals zorgverleners krijgen soms toegang. Het komt ook voor dat het helemaal niet duidelijk is wie de hoofdgebruiker is. Soms is zelfs de ICT-beheerder of een groep ICT-beheerders in staat rechten uit te delen. Van deze ICT-beheerders mag je niet verwachten dat zij in staat zijn te beoordelen of toegang tot informatie past bij de taken en verantwoordelijkheden van desbetreffende ambtenaren. Wie denkt na of iemand überhaupt toegang mag hebben? BEWUSTWORDING Er is sprake van wat we met een mooi woord informatiebeveiligings-bewusteloosheid noemen. Zorg ervoor, dat ambtenaren meer bewust worden van het toekennen van rechten aan de juiste personen. Leg uit, licht toe, geef voorbeelden en straf zo nodig. Neem hoe dan ook maatregelen waarmee bewusteloosheid omslaat naar bewustwording. En zorg voor regelmatige controle. Het BKWI heeft daarvoor meer dan voldoende rapportagemogelijkheden. Geen enkel technisch goed beveiligd systeem kan op tegen een slecht autorisatieproces. Vanaf september worden alle gemeenten getoetst op zeven beveiligingsnormelementen van de SUWIwet. Of een gemeente slaagt, hangt wat mij betreft vooral af van een gedegen autorisatieproces. Anders blijft dat beperkt tot papieren compliancy. En zal het niet de laatste keer zijn dat de (on)veiligheid van SUWInet in het geding is.
38 Online Touch Home