Overheid heeft te weinig kennis van beveiliging

Hadden we het er gisteren nog over dat de overheid de boetes voor slechte beveiliging binnen bedrijven wil verhogen? Dan moeten ze eerst eens beginnen met het zelf goed organiseren van de beveiliging binnen die overheidsinstellingen.

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing. Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar…Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden (bron).

Niets menselijks is de overheid dus vreemd. Wat wel vreemd is, is dat er gedreigd wordt met het opleggen van hoge boetes aan bedrijven die het slecht voor elkaar hebben terwijl ze de zaken zelf niet veel beter geregeld hebben.

De overheid moet hierin een voorbeeldfunctie vervullen. Zij moeten het beter voor elkaar hebben dan het gemiddelde bedrijf en zij moeten sturing geven aan de beveiliging binnen Nederlandse bedrijven. Natuurlijk zijn er best overheidsinstanties die zich hier mee bezig houden, maar blijkbaar krijgen die nog niet voldoende draagvlak om goed te adviseren. Ze hebben te weinig mandaat, te weinig mensen, te weinig kennis, te weinig budget of welke andere reden je dan ook kunt bedenken.

Wil de overheid de beveiliging echt op orde krijgen dan moeten ze vooraan lopen. Ze moeten aantonen hoe het dan wel beveiligd kan worden. Ze moeten de normen en kaders stellen. Ze moeten de vraagbaak zijn voor bedrijven die wel willen maar nog niet kunnen. Zolang dat niet gebeurd blijft het een lastig verhaal.

We kunnen dan hard roepen dat we de boetes verhogen maar ik zie liever dat we vanuit de overheid de organisaties helpen met duidelijke richtlijnen en kaders. Voor die bedrijven die het niet zelfstandig op kunnen pakken moeten we dan zorgen dat er hulp komt vanuit de overheid.

Ook hier geldt weer oorzaak en gevolg. We kunnen wel boetes opleggen maar ik zie liever dat we met zijn allen, in publiek-private samenwerking, proberen om allemaal veiliger te worden. Misschien een mooi onderwerp voor de aankomende verkiezingen? Of is dit toch niet sexy genoeg en te moeilijk uit te leggen aan “Henk en Ingrid”?

Zonder veiligheid heb je geen privacy…

Beste mensen, we zien het volgens Chertoff al jaren verkeerd. Maken we ons enorm druk om de privacy die we in moeten leveren in het kader van de veiligheid. Volgens hem hebben we geen privacy zonder veiligheid. Ik zie een kip en ei verhaal aankomen.

Volgens Michael Chertoff, oud-minister van binnenlandse veiligheid van de Verenigde Staten, willen mensen graag maatregelen als camera’s en dataretentie. Zonder veiligheid heb je geen privacy stelt hij. Als jouw gegevens op straat komen te liggen omdat ze zijn gestolen door een hacker en de overheid heeft dat niet kunnen voorkomen, is je privacy verdwenen (bron).

Wat Chertoff dus blijkbaar bedoeld is dat we onze privacy op moeten geven richting de overheid omdat ze ons anders niet kunnen beschermen. Hij wil ons (of in dit geval de Amerikanen) blijkbaar beschermen tegen allerlei hackers. Maar omdat goed te kunnen doen moeten we wel onze privacy opgeven.

Het klinkt allemaal een beetje als de Nigeriaanse scam waarbij je eerst een bedrag moet storten om er vervolgens een berg meer voor terug te krijgen…althans dat is wat je wordt wijsgemaakt.

Volgens mij moeten we ons de vraag stellen tegen wie we onze privacy willen beschermen. Is dat tegen de overheid, tegen hackers of tegen allebei? Welk risico is groter? Dat de overheid veel van ons weet en dat tegen ons kan gebruiken of dat een hacker mij zo interessant vindt dat hij besluit mijn gegevens te hacken? Persoonlijk denk ik dat we ons tegen beide moeten beschermen. De overheid mag best veel van me weten maar het liefst niet alles en een hacker hou ik graag buiten de deur omdat ik anders helemaal niet meer weet wat er met mijn gegevens gebeurt.

Het middel (het opgeven van onze privacy aan de overheid) lijkt me hier erger dan de kwaal (de kans dat een hacker het op mij heeft voorzien). En laten we eerlijk zijn, hebben we niet legio incidenten voorbij zien komen waarbij de persoonsgegevens op straat kwamen doordat een overheidsdienst gehackt werd?

Nee, Chertoff, leuk geprobeerd, maar ik trap er even niet in. We zullen afsluiten met wederom een kip en ei verhaal: als de overheden ervoor zorgen dat onze gegevens gewaarborgd zijn dan zijn we wellicht bereid om meer van onze gegevens beschikbaar te stellen…maar daarvoor moet er eerst nog wel wat water door de Maas.

Websites overheid onveilig

De websites van de overheid bieden criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen, zo blijkt uit onderzoek van internetbeveiligingsbedrijf Networking4all. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Hoewel dit onderzoek zich specifiek heeft gericht op de zogenaamde SSL-certificaten binnen de overheid is al langer bekend dat websites in veel gevallen vatbaar zijn (bijvoorbeeld voor Cross-site scriptin: XSS). Deze onveiligheden betreffen zeker niet alleen websites van de overheid maar ook van commerciele organisaties (zoals banken, zorgverzekeraars), stichtingen, verenigingen en zorginstellingen. Niet alleen kunnen criminelen zo in het bezit komen van privacy gevoelige gegevens, ze zijn ook in staat om websites van organisaties plat te leggen. Als uw organisatie voor (een deel van) de omzet afhankelijk is van de website is het verstandig te onderzoeken voor welke kwetsbaarheden de website vatbaar is. De voordeur van uw winkel doet u op slot en een alarmsysteem hebben we inmiddels ook allemaal wel, waarom laten we de website dan zo open staan?