De (on)veiligheid van het Suwinet was recentelijk weer onderwerp van gesprek. Het was niet de eerste keer dat de veiligheid van het informatieplatform voor overheidsinstellingen als UWV, SVB en gemeentelijke sociale diensten ter discussie staat. Via Suwinet kunnen deze overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en met elkaar delen. Met het doel ons Nederlanders beter te helpen zodat we niet iedere keer overal dezelfde informatie hoeven af te geven.
Het Suwinet bevat dus veel persoonlijke informatie. Logisch dat de veiligheid van dit systeem kritisch beoordeeld wordt. Zo trok de Commissie Bescherming Persoonsgegevens (CPB) enige tijd geleden al aan de bel. Staatssecretaris Klijnsma van Sociale Zaken & Werkgelegenheid riep gemeenten op de beveiliging van Suwinet nu eindelijk eens op orde te brengen. En ook de Vereniging van Nederlandse Gemeenten (VNG) maakt zich hard voor een gemeentebrede informatiebeveiliging met specifieke aandacht voor de rol van Suwinet. Menigeen schreeuwt om betere beveiliging van het systeem. De technologie. Maar dat is niet het probleem. De onveiligheid wordt niet veroorzaakt door de techniek. Ongeoorloofde toegang is het echte probleem.
BKWI
De beheerder van Suwinet, het Bureau Keteninformatisering Werk & Inkomen (BKWI) heeft veel geinvesteerd in technische maatregelen die nodig zijn voor gedegen informatiebeveiliging. Elke vorm van informatie kan afgeschermd worden. Het autorisatieniveau bepaalt welke persoon toegang krijgt tot welke informatie. Doelbinding is daarbij het motto; verzameling van en toegang tot persoonsgegevens is alleen mogelijk voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
Het BKWI is slechts beheerder van Suwinet. Per (nieuwe) groep gebruikers zoals een gemeente, UWV-instelling of Rijksdienst voor het Wegverkeer (RDW) wordt een hoofdgebruiker bepaald. Deze hoofdgebruiker krijgt een aantal rechten. Vervolgens is de hoofdgebruiker verantwoordelijk voor wie binnen zijn of haar instelling toegang krijgt tot welke informatie. Bijvoorbeeld de toegang tot Suwinet Inkijk, het onderdeel van Suwinet waar nu zoveel om te doen is.
Daar gaat het meestal mis. De hoofdgebruiker geeft gebruikers teveel rechten. Of geeft rechten aan ambtenaren die helemaal geen gebruik mogen maken van Suwinet. Zelfs ook externen zoals zorgverleners, zogezegd niet-ambtenaren, krijgen soms toegang tot Suwinet. Het komt ook voor dat het helemaal niet duidelijk is wie de hoofdgebruiker is. De ict-beheerder of een groep ict-beheerders is soms zelfs in staat rechten uit te delen. Van deze ict-beheerders mag je niet verwachten dat zij in staat zijn te beoordelen of toegang tot informatie past bij de taken en verantwoordelijkheden van desbetreffende ambtenaren.
Wie denkt na of iemand uberhaupt toegang mag hebben? Wie ziet erop toe, dat regelmatig getoetst wordt of het nog steeds nodig is dat een of meerdere ambtenaren toegang blijven houden tot bepaalde informatie? Het is tenslotte ook wel heel verleidelijk om collega’s toegang te geven tot Suwinet. Er staat immers zoveel informatie in! Allemaal waar. Maar niet alle informatie is bedoeld voor iedere ambtenaar. En zeker niet als er geen werkrelatie ligt tussen de gebruiker en de burger of ondernemer over wie hij of zij informatie opvraagt.
Gebrek aan besef
Kortom, alle tumult rondom de veiligheid van Suwinet zit vooral in het gebrek aan besef. Of anders gezegd, er is sprake van wat we met een mooi woord noemen informatiebeveiligings-bewusteloosheid. Zorg ervoor dat ambtenaren meer bewust worden van het toekennen van rechten aan de juiste personen. Leg uit, licht toe, geef voorbeelden en straf zo nodig. Neem hoe dan ook maatregelen waarmee bewusteloosheid omslaat naar bewustwording. En zorg voor regelmatige controle. Het BKWI heeft daarvoor meer dan voldoende rapportagemogelijkheden. Geen enkel technisch goed beveiligd systeem kan op tegen een slecht autorisatieproces.
Vanaf september worden alle gemeenten getoetst op zeven beveiligingsnormelementen van de Suwiwet. Of een gemeente slaagt, hangt wat mij betreft vooral af van een gedegen autorisatieproces. Anders blijft dat beperkt tot papieren compliancy. En zal het niet de laatste keer zijn dat de (on)veiligheid van Suwinet in het geding is.
Henk Meeuwisse, senior management consultant informatiebeveiliging bij Sogeti
Leuk artikel wat de vinger op de zere plek legt … je kunt alles vanuit de techniek nog zo goed beveiligen, maar als mensen niet met hun verantwoordelijkheden om weten te gaan dan blijft het lastig om grip te krijgen op je informatiestromen.
Zeker in deze tijd van het jaar, waar veel mensen op vakantie zijn, worden er nog wel eens login gegevens uitgewisseld of extra rechten toegekend aan collega’s “zodat mijn backup mijn werk over kan nemen indien nodig”.
Vervolgens wordt verzuimd dit weer terug te draaien na de vakantie en voila, het eerste lek is al weer geboren
Als ik het zo lees wordt er wel aan rechten-differentiatie gedaan (Identity and Access Management) , maar zijn deze rechten toewijzigen niet gebaseerd op Rollen en Taken. Dan krijg je dus al heel snel dat gebruikers teveel rechten krijgen. Daar komt bij, als die rechten niet periodiek ge-audit worden, dan blijven die rechten dus in stand, en wordt er niemand ingeperkt.
Een authorisatieproces invoeren is punt 1. Echter het duidelijk en cotrrect definieren van Rollen en Taken, en rechten koppelen aan een Rol of een Taak, en daarna gebruikers ‘lid’ maken van die rol of die taak voorkomt nog meer ellende. Hoe moet een authorisator (meestal een leidinggevende) weten of gebruiker XYZ wel echt recht ABC moet hebben ? Het is vaak veel eenduidiger te zeggen of ambtenaar XYZ ook rol ABC moet kunnen vervullen. Dus is Role / Task Based Access Management het sleutelwoord in deze.
Plus periodieke auditing uiteraard.
Als auteur van het artikel kan ik wel stellen dat elke vorm van Access Management geen nieuwe oplossing biedt voor de gestelde problematiek. Dat is namelijk niet het grootste probleem. In het kort: via RBAC worden rollen en via rollen rechten ingeregeld. Kan beter, maar zit technisch wel goed in elkaar. De uitdaging zit er vooral in de gehoorzaamheid, verantwoordelijkheid bij manager, medewerker en autorisator.
Technisch kan zelfs tot op het kleinste stukje informatie worden afgeschermd, (ook de adresgegevens in blijf-van-mijn-lijf-huizen….). Het “gemak dient echter de mensch” waardoor de behoefte, (lees: de wil) minder aanwezig is om kritisch naar het beperken van zichtbaar te maken informatie aanwezig is. Uiteraard generaliseer ik, er zullen streng opererende gemeenten zijn, maar uit audits blijkt niet voor niets enige onveiligheid.