De 'ongelooflijke stommiteit' van officier van justitie Joost Tonino bewijst dat gebruikers geen idee hebben wat er op hun pc gebeurt. Dat stelt Norea, de beroepsorganisatie van it-auditors.
De waarde van de gegevens op de pc van de officier van justitie is hoog. Minimaal vereist zijn een wachtwoord voor aanloggen, encryptie van data op de pc en het werken achter een firewall, vindt Norea. Tonino had daarnaast moeten werken met een beveiligde verbinding op de computer op kantoor in plaats van op zijn persoonlijke computer thuis, zodat op de pc geen gegevens staan of achterblijven. “Of het OM dit soort regels niet heeft, of er niet op toeziet dat ze worden nageleefd, weet ik niet”, aldus Adri de Bruijn, voorzitter van Norea.
Het OM wil niet echt reageren. “Voor sommige medewerkers is er een beveiligde thuiswerkplek”, aldus een woordvoerder. De vraag of Tonino zo'n vpn-verbinding tot zijn beschikking had (maar niet gebruikte) en of het ministerie controleert of de ict-regels worden nageleefd wil de voorlichter niet beantwoorden.
Justitie kwam vandaag weer in opspraak nu bleek dat enkele weken geleden de laptop van een Officier van Justitie in Haarlem is gestolen. Ook op deze laptop zou gevoelige informatie staan. Volgens Justitie zijn de daders inmiddels aangehouden en de laptop teruggevonden. Men weet echter niet of er iets met de opgeslagen gegevens is gebeurd.
ICT gebruikers onwetend over gegevens op PC dekt niet de lading van dit artikel. Iedere PC gebruiker is er doordrongen van welke gegevens er op zijn of haar computer staan. Er is eerder sprake van nonchalant gedrag.
Met meer dan 12 jaar ervaring als projectmanager ICT bij een landelijk accountantskantoor te hebben gewerkt is er een behoorlijk inzicht ontstaan over waar het fout gaat. De beste VPN verbindingen met behulp van Vasco, Vakman of Cisco worden teniet gedaan als de gebruiker zich niet houd aan de richtlijnen en procedures. Momenteel werk ik als zelfstandig adviseur en bespreek dergelijke oplossingen op directie niveau bij accountants, advocaten en de bovenkant van het MKB.
Voor vele bedrijven worden de investeringen in een gedegen infrastructuur nog als bezwaarlijk gezien. Mijn advies is dan de overstap naar thuiswerken uit te stellen. Los van de technische oplossingen zijn documenten op een informatiedrager buiten het bedrijf of departement sowieso een verhoogt risico. Ook hier zijn encrypty technieken toe te passen, maar het blijft slimheid tegen slimheid.
John Breedveld
Breecom Automatisering B.V.
Breecom ICT Management
Breecom Accountancy Service
Het is jammer dat de heer Tonino geacht wordt een systeembeheerder op niveau te zijn die alles van pc’s en veiligheid weet. Het is namelijk onzin om dit van een normale gebruiker te verlangen.
Justitie is de grote boosdoener. Justitie had moeten zorgen voor de juiste werkomgeving, de juiste beveiligingen, de juiste randvoorwaarden. Het is achterlijk dat deze problematiek aan een gebruiker wordt overgelaten.
De Nederlandse overheid heeft mij qua (ICT-)veiligheid nog nooit kunnen imponeren. Tonino is helaas slachtoffer van een ontstellend onbenullige baas. Ik vind dat Justitie haar zaken beter moet organiseren en dat Tonino gewoon zijn werk moet kunnen doen op door Justitie beschikbaar gestelde, veilige ICT-oplossingen. Een Officier van Justitie is nu eenmaal geen ICT-beveiligingsexpert. Dat hoeft van geen enkele gebruiker verwacht te worden. Justitie voldoet gewoon niet aan de meest elementaire randvoorwaarden waarbinnen een Officier van Justitie moet kunnen opereren. Tonino moet de zwarte piet niet toegespeeld krijgen, maar juist zijn verantwoordelijke bazen! Geef die man onmiddellijk zijn baan terug!
Dhr. Tonino is zich naar alle waarschijnlijkheid als geen ander bewust van de gevoeligheid van de informatie waarmee hij werkt. Ook dus dat die informatie vertrouwlijk is. Die informatie heeft hij bewust van het justitienetwerk afgehaald en vervolgens op zijn prive computer geplaats. Deze is zonder het verwijderen van informatie bij de vuilnis gezet…
1- Informatie van een beveiligd justitie netwerk is bewust door dhr. Tonino op een prive computer geplaats!
2- Vervolgens is zeer onzorgvuldig omgesprongen met die informatie
Een medewerker van een bank bewaard ook het geld niet thuis in een oude sok, en gooit vervolgens de sok weg zonder zeker te weten dat deze leeg is…
Waarschijnlijk gooit Dhr. Tonino niet zijn bankpas met pincode bij de vuilnis…
Eigenlijk heeft het niks te maken met systeembeheerder te zijn of niet. Misschien had Dhr. Tonino beter even aan de systeembeheerder kunnen vragen of het verstandig was om deze informatie op zijn prive computer te zetten (al weet half nederland het antwoord hierop al)
Niet elke PC-gebruker hoeft te weten wat er met de data gebeurd. Echter als er gewerkt wordt met vertrouwelijk of hoger gekwalificeerd materiaal, ligt dit anders.
Dhr Tonino weet als geen ander dat hij met gekwalificeerd materiaal werkt. Hiervoor ondertekend hij verklaringen waarbij hij zorg dient te dragen dat hij deze informatie niet voortijdig naar buiten mag laten uitlekken (en is daar ook zelf verantwoordelijk voor). Dat hij hiermee thuis werkt is een kwestie van beleid bij Justitie. Als zij hierin voorziet om bijv. via het netwerk aan te loggen, dan moeten de risico’s hierin onderkend zijn. Vermoedelijk zal de PC ook eigendom zijn van Justitie. Des te verbazingwekkender is het feit dat deze dan niet wordt ingeleverd bij de afdeling systeembeheer.
Anderzijds als met een eigen PC kan worden aangelogd, mag je ernstige vraagtekens zetten bij het ICT beveiligingsbeleid. In dat geval mag je er vanuit gaan dat hierbij regels zijn overtreden.
Ik denk dat dhr Tonino zich bij een identieke gebeurtenis, dat zich echter bij een strafrechtelijk onderzoek betrokken persoon zou voordoen, grijnzend en handenwrijvend in de data zal verdiepen.
dhr Tonino is derhalve wel heel erg naief geweest. Tenslotte ga je ook niet met lucifers op zoek naar een gaslek…..