Het te vroeg naar buiten komen van de Miljoenennota van 2011-2012 wordt bijna overal in de pers neergezet als een ict-probleem of als falen van de ict. Was dat bij Diginotar nog verdedigbaar (al kan ik ook verdedigen dat het ook daar anders is) is in dit geval op geen enkele wijze sprake van falende ict.
Het Ministerie van Financiën heeft het op internet publiceren van de Nota uitbesteed of wel geoutsourced. Er is een speciale Prinsjesdag-website en de ontwikkeling daarvan is uitbesteed aan Facetbase. Dit bedrijf krijgt nu ook de zwarte piet toegeschoven door de Minister en door Rutte die zich haast te melden dat niet een ambtenaar in de fout is gegaan.
Een medewerker van Facetbase heeft de nieuwe versie van de site 2011 willen testen en heeft dat, per ongeluk, met live-data gedaan en juist op dat moment voert een historicus de slimme actie uit die inmiddels algemeen bekend is. De link naar de nota had naar een nep-bestand moeten wijzen, maar kwam bij de echte nota uit. En zo kwam de miljoenennota zoals zo vaak eerder naar buiten dan gepland.
Met de ict (de techniek dus) is in deze situatie helemaal niets mis. Eigenlijk kan je zeggen dat het juist uitermate goed ging met de ict. Je kunt heel makkelijk zeggen dat de test uitermate goed geslaagd is. Een probleem, het was de verkeerde gebruiker die aan het testen was. Een 'normale' gebruiker van de website deed wat veel gebruikers doen, zijn gezond verstand gebruiken om de informatie te vinden die hij zocht. Er is maar een conclusie mogelijk: er is zeker geen sprake van een falende ict.
Wie zijn schuld is het dan
Het is makkelijk om de medewerker van Facetbase de schuld in de schoenen te schuiven. Dat gebeurt nu ook op grote schaal en deze man of vrouw zal de komende weken vast slecht slapen.
Aan de andere kant: vergissen is menselijk en zoiets kan gewoon gebeuren. De medewerker zal zich bewust moeten zijn van de waarde van de informatie waar hij mee aan het werk is. Je bent gewoon weg zuiniger met dure spullen. Tenminste normaal gesproken wel.
Het bewustzijn van de waarde van informatie is nog niet bij alle organisaties en/of medewerkers ingedaald. Emiel van Bockel (ceo Centraal Boekhuis) twittert: 'vroeger overvielen dieven een bank, tegenwoordig stelen ze informatie. Duidelijk bewijs dat informatie meer waard is dan geld'. Dat betekent ook dat je als eigenaar van deze informatie niet te lichtzinnig bepaalt wie je deze informatie toevertrouwt. En de rijksoverheid heeft twee keer in korte tijd laten zien fouten te maken. Daarnaast betekent het dat een organisatie bij het uitbesteden van diensten zelf de regie houdt. Dat is moeilijk, maar hoe waardevoller de informatie, hoe belangrijker dat is. En daar heeft het ministerie, met de minister als eindverantwoordelijke, opzichtig gefaald. Het is dan veel te makkelijk om de fout bij de medewerker van de partij te leggen die het verkeerde bestandje heeft gebruikt of om te roepen dat ICT wederom een probleem was.
Conclusie
In mijn beleving is de minister aansprakelijk en volledig aan te spreken op het voortijdig naar buiten komen van de Miljoenennota. Deze schuld van zich af schuiven is kwalijk. Daarnaast is het een wijze les dat informatie in onze wereld goud waard kan zijn en daarmee vergelijkbaar mee omgegaan moet worden. Dat houdt in dat in dat je als organisatie en daarmee iedere medewerker bewust moet zijn van de informatie die je in de vingers hebt. Die beheer je, beheers je en daar ga je veilig mee om. Voor je het weet is die informatie geen stuiver meer waard.
Allemaal leuk, maar hoe kan deze medewerker uberhaupt al beschikken over het orginele document? Is dat dan niet al veel te vroeg op het ‘bureau’ van deze medewerker beland?
@DM Helemaal mee eens.
Het is natuurlijk vrij stom om het document al in een vroeg stadium aan een buitenstaander ter beschiking te stellen.
Er zijn toch simpelweg TWEE fouten gemaakt?? Lijkt mij overduidelijk. Natuurlijk, de één had niet plaats kunnen vinden zonder de ander. Dat doet er verder niks aan af dat er twéé fouten zijn gemaakt.
Alle mogelijk gebeurtenissen (in het algemeel) zijn mede afhankelijk van eerdere gebeurtenissen. Dat praat een fout in een later stadium echt niet goed. Uiteraard kan je wel flink discussiëren over waar de grootste fout zit. Maar dat blijft toch altijd erg objectief.
De fout (van het vroegtijdig plaatsen van een vetrouwelijk document) is gemaakt door een ICT’er. Als je dat geen ICT-fout mag noemen, dan worden er NOOIT ICT-fouten gemaakt. Immers, ALLES wat computers wel of niet doen, vloeit voort uit wat de mens er mee doet / in stopt. Er bestaat geen computer ter wereld die in zijn eentje beslist ‘Mooi, nu zal ik eens lekker een fout maken’. Een computer KAN helemaal niet denken! Laat staat dat een computer zelfstandig iets zou zijn die zelfstandig een fout kan maken. Als een computer een verkeerd antwoord geeft op de vraag hoeveel 4234234*34534345 is, dan is de computer stuk of zit er een fout in de software. Beide menselijke fouten: iedereen weet dat elk apparaat stuk kan gaan. Dus ook een computer.
Een schuldige is natuurlijk de ICT-medewerker, maar dit moet niet te zwaar aangerekend worden – lijkt mij deels een kwestie van openbaarheid van bestuur: als iets in dezen al bekend is / vast staat, waarom mag het dan niet al gepubliceerd worden?
Daarnaast is er inderdaad de andere fout: het te vroeg sturen van de miljoenennota aan de ICT-dienst.
Ook dat zou ik niet een zware fout willen noemen. Moet de minister dan precies 5 minuten vantevoren het bestand sturen? Met de kans dat er DAN iets mis gaat? Een haperende mailserver, een kapotte USB-stick?
Het moet gewoon iets eerder kunnen. Waarom niet een dag vantevoren, vlak voordat de minister zijn werkplek verlaat en naar huis gaat?
Enfin… Lijken mij duidelijk TWEE foutjes (als je keihard wilt vasthouden aan een specifiek moment (vrijdag) waarop het publiek erbij mag). Waar verder bijna niemand zich druk over maakt. Vlieg / olifant enzo…
De term ‘ICT’ wordt in dit artikel wel erg nauw beschreven. Onderdeel van ICT is het ICT-beleid en de daarbij behorende procedures. Het betreft hier procedures ten aanzien van de veiligheid en t.a.v. testen.
M.b.t. testen is het vrij algemeen bekend om hiervoor een OTAP-omgeving of een afgeleide hiervan in te richten. Hierdoor kunnen verschillende testsoorten op verschillende omgevingen worden getest waaronder juist niet op de P: de productieomgeving. Daarnaast is het een algemeen bekende procedure om gevoelige data te anonimiseren dan wel te maskeren voordat je deze als testdata gaat gebruiken. De originele data wordt daardoor niet tijdens de uitvoer van een testgebruikt.
Nu is het nog eventueel voor te stellen dat een beheerder even wilde kijken of alles wel werkt. Immers, een hele OTAP-procedure volgen om te kijken of je een pdf op de site kunt plaatsen is wel erg veel van het goede. Niet correct maar wel menselijk. Maar ook dat ‘even’ is hier niet gebeurt. De pdf heeft al die tijd gewoon op de site gestaan. Weer een algemene procedure: Na het afronden van een succesvolle test dien je de omgeving op te schonen.
Kortom, allerhande algemene, basale en niet moeilijk te begrijpen ICT-procedures zijn hier geschonden. Daarom zou ik dit het ministerie niet meteen aanrekenen. Het ministerie mag er vanuit gaan dat deze procedures worden gevolgd zonder hierover weer expliciet procedures te moeten afspreken. Juridisch gezien zal het echter wel een ander verhaal worden…
natuurlijk stom van zon ambtenaar om dit document al een week van tevoren vrij te geven. toch vind ik het ook een enorme blunder van een IT-bedrijf dat zich nota bene specialiseert in het publiceren van jaarverslagen. Timing bij het publiceren van dit soort belangrijke informatie lijkt me geen exotische requirement voor dit bedrijf.
Stef Liethoff, u doet net alsof een ICT-er een potentiële sufferd is, waar een veiligheidsschil om gebouwd moet worden. In de praktijk moet elke ICT-er met vertrouwelijke gegevens om kunnen gaan, net al heel veel mensen in heel veel andere beroepen.
Bovendien zijn de medewerkers van Facetbase er in gespecialiseerd om op het juiste moment, de juiste gegevens, in de juiste vorm, op de juiste wijze te publiceren.
Veel reageerders menen dat de miljoenennota te vroeg vrij is gegeven. Dat is een grote denkfout. Stelt u zich eens voor dat de nog geheime tekst pas op de 3e dinsdag vrijgegeven wordt. Dan kan er bijvoorbeeld ook nog geen gedrukte versie zijn, want het bestand mag pas die dag naar de drukkerij.
Nee, een intern embargo werkt heel anders. Vele honderden mensen werken direct aan zo’n nota, waarvan een deel de hele nota moet kennen om tegenstrijdigheden tegen te gaan. En diverse externen krijgen enige tijd voor de vrijgave een kopie. Er zijn veel procedures en wat technische foefjes, die er voor zorgen dat de uiteindelijke tekst niet zo snel per ongeluk of expres voortijdig uitlekt. Dat jaarlijkse ritueel is heel goed te beheren.
Er worden veel vingers allerlei kanten op gewezen naar wie hier mogelijk schuld aan kan hebben. Bekijk het eens vanuit een ander perspectief, wat nu als het de bedoeling was om dit document openbaar te maken?
Met het openbaren van de inhoud en de bezuinigingsplannen zal er dus gespreid gereageerd worden voor Prinsjesdag. Het vrijgeven van deze nota zorgt er voor dat de “druk” een beetje van Prinsjesdag af is.
Alle genoemde fouten binnen Facebase zijn natuurlijk beginners fouten, die zou een stagiair misschien maken.
Veel is hier al gezegd, ik ben overigens ook van mening dat dit geen falen van ICT is, maar wat ik me zo vreselijk afvraag, iets wat me gewoon niet los laat:
Zou dat document nu gewoon als onversleuteld PDF over de e-mail gegaan zijn?
Het zou me namelijk niets verbazen 🙂
Bij defensie heb je een aantal classificeringen voor wie een document mag lezen en daar zijn regels omheen gebouwd. Als dit document een werkelijke classificatie had (wat ik niet vermoed), dan is er een wettelijke overtreding begaan door het ministerie en anders is het gewoon een gevalletje pech of dom, maar niet meer dan dat.
Of misschien gingen ze wel uit van Security by Obscurity en ging het mis in het stukje obscuur…
Natuurlijk was dit een falen van de ICT. De opdracht was duidelijk: publiceer dit op vrijdag en hou het voor die tijd geheim. Die opdracht is niet goed uitgevoerd. Zo simpel is het. Informatiebeveiliging is onlosmakelijk met ICT verbonden. ICT is meer dan techniek alleen; het is het toepassen van techniek en dat ging fout.
En natuurlijk is daar de minister verantwoordelijk voor.
Hoe kun je spreken van een “verkeerde gebruiker”? Dat is een uitspraak uit de categorie van de NS: “Dat treinen vertraagd zijn komt door de reiziger.”