Digitale beveiliging

De topambtenaar die hackers moet weren is geen cyberheld

Een datacenter in Amsterdam. Hoe beveilig je informatie die hoogst vertrouwelijk is?  Beeld ANP
Een datacenter in Amsterdam. Hoe beveilig je informatie die hoogst vertrouwelijk is?Beeld ANP

De topambtenaren die over informatiebeveiliging gaan, weten niet altijd hoe ze informatie moeten beveiligen.

Topambtenaren die vertrouwelijke informatie moeten beveiligen tegen hackers en buitenlandse staten, weten niet altijd welke maatregelen ze daarvoor moeten nemen. Dat blijkt uit onderzoek van de onafhankelijke Auditdienst Rijk waarvoor gesprekken zijn gevoerd met zulke functionarissen.

Het ontbreekt aan een duidelijke lijst met voorschriften: doe dit wel, doe dat niet. Uit de bestaande regels kunnen de verantwoordelijke ambtenaren niet afleiden welke extra maatregelen zij moeten treffen als informatie beter beveiligd moet worden. De regels bieden te weinig aanknopingspunten. “Hier zou nog eens kritisch naar gekeken moeten worden”, schrijft de auditdienst in het onderzoeksrapport over de positie van de ciso.

Ciso staat voor chief information security officer. Het is een titel waarachter je een cyberheld verwacht. Het is een belangrijke functie, want ciso’s moeten ervoor zorgen dat de informatiebeveiliging op orde komt. Sinds vorig jaar heeft het Rijk er één. Ook allerlei gemeenten en overheidsdiensten hebben al ciso’s. Zij moeten ervoor zorgen dat andere managers veilige keuzes maken.

Overlegjes ‘met verwarrende overlegnamen’

Maar dat gaat regelmatig mis. Woensdag meldde deze krant dat tientallen websites van overheidsorganisaties hun cyberrisico’s vergroten door basale veiligheidsprincipes te negeren. Zo is de inlogpagina voor de websitebeheerder door de hele wereld te vinden.

Dit gebeurt ook bij organisaties met een ciso in dienst. Dat komt mede doordat ze niet altijd betrokken worden bij een nieuw computersysteem of een website, schrijft de auditdienst. In de praktijk worden ze dan gepasseerd. “De ciso’s komen dan veelal voor voldongen feiten te staan”, schrijft de auditdienst. Ondertussen wordt er wel veel vergaderd in overlegjes ‘met verwarrende overlegnamen’ waarvan niet altijd duidelijk is welk doel die dienen.

Hoewel de regels al jaren bestaan, is de uitvoering bij veel organisaties nog ‘in ontwikkeling’. Oftewel: ze voldoen er niet aan. In het onderzoek van de auditdienst gaat het bijvoorbeeld over FMHaaglanden (FMH), een ondersteunende organisatie met vijfhonderd medewerkers die rondom de werkplekken van 30.000 rijksambtenaren werken. Ze leveren 98 diensten aan elf ministeries in 26 rijksgebouwen, zoals beveiliging, vervoer, gebouwbeheer, de inrichting van de werkplekken en postkamers.

Gevoelig

Waarom is de informatie van FMH gevoelig? Werkroosters voor de beveiliging en plattegronden van overheidsgebouwen zijn interessant voor terroristen. Net als de indeling van de werkplekken: wie zit waar precies. Maar de maandelijkse rapportage over informatiebeveiliging is bij FMH nog ‘in ontwikkeling’ en wordt ook niet in de directie besproken. De ciso moet werknemers bewust maken van informatiebeveiliging, maar bij FMH blijft dat beperkt tot het plaatsen van berichten op intranet.

“De ciso is de wesp die om ieders hoofd zoemt”, zegt Bibi van den Berg, hoogleraar cyber security governance aan de Universiteit Leiden. “Hij moet de regels kennen, advies geven en ook de strenge toezichthouder zijn. Hij moet informatiebeveiliging op de agenda houden en collega’s bewust maken, maar ook rekening houden met de wensen van het management. Het is een ingewikkelde combinatie van rollen.”

De ciso heeft niet het laatste woord, en ook wisselt het kennisniveau nogal. Als adviseur weten zij niet altijd hoe ze informatie goed kunnen beveiligen. En als de chief information security officer dat niet weet, dan houdt het wel een beetje op.

Het lijkt erop dat er veel beleidsdocumenten worden geproduceerd, maar dat sommige organisaties de basale veiligheidsprincipes nog op orde moeten brengen. Klopt dat beeld? Hoogleraar Van den Berg: “Dat klopt.”

Lees ook:

De overheid kiest voor makkelijke websites, niet voor veilige

Je zou verwachten dat gemeenten of de nationale overheid digitaal goed beveiligd zijn.Toch vertonen tientallen overheidswebsites zwakke plekken die eenvoudig te vermijden zijn. Dat vraagt om aandacht van kwaadwillenden.

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden