Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.
Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.
De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).
Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.
Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.
Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.
Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.
Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.