Het Utrechtse adviesbureau Berenschot en bedrijfsrecherchebureau Hoffmann uit Almere bieden gemeenten een keuring aan om te bepalen welke ict-risico's zij lopen. Tijdens deze zogeheten ict-apk kijken de twee partijen naar de beschikbaarheid, juistheid en beveiliging van informatie op de gebieden mens, organisatie en techniek. De gemeente Almere is de eerste klant die zo'n algemene periodieke keuring (apk) heeft doorlopen.
De ict-apk is een gestandaardiseerd, symptomatisch onderzoek van circa twee weken. De apk beantwoordt vier hoofdvragen: zijn gegevens voldoende beschermd, is de gemeente bestand tegen ict-verstoringen, zijn de gegevens correct, en worden ict-faciliteiten misbruikt voor strafbare feiten? De gemeente Almere heeft inmiddels zo'n apk doorlopen. Daaruit bleek dat het beveiligingsbewustzijn bij medewerkers hoog was en er goede maatregelen getroffen waren om het bewust of onbewust lekken van informatie te voorkomen.
De bureaus stellen vast dat het voor gemeenten door de toenemende digitale dienstverlening steeds belangrijker wordt om te weten of zij voldoende controle hebben over hun informatievoorziening en ict. Beveiligingsincidenten, die de laatste jaren veel aan het licht komen, kunnen bijvoorbeeld zorgen voor financiële problemen en imagoschade. Maar ook het verstrekken van verouderde of verkeerde informatie aan burgers of raadsleden moet voorkomen worden.
Volgens Berenschot en Hoffmann ligt de kracht en de zwakte van een betrouwbare informatievoorziening in de combinatie van technische, organisatorische en menselijke aspecten. De zwakste schakel van deze mix bepaalt de mate robuustheid van de informatievoorziening. Door samen de ict-keuring aan te bieden kunnen alle aspecten worden getoetst, stellen beide partijen: mens (cultuur en gedrag), organisatie (beleid, procedures, gebouwbeveiliging) en techniek (firewalls, encryptie, beveiligingscertificaten).
Slager keurt eigen vlees
De Total Specific Solutions (TSS)-onderdelen Pinkroccade Local Government en KZA bieden sinds kort gemeenten ook al zo'n beveiligingsscan aan. Pinkroccade is een belangrijke ict-leverancier op de gemeentelijke ict-markt is. Het aanbieden van een beveiligingsscan heeft daardoor iets weg van de slager die zijn eigen vlees keurt, vindt Linda van Rens, senior adviseur van Berenschot. Zij noemt het daarom een goede zaak dat ook andere partijen zich met zo'n keuringsdienst op de markt begeven. Berenschot werkt als adviesbureau al zo'n 75 jaar voor landelijke en lokale overheden. Hoffmann is inmiddels vijftig jaar actief als fraudeonderzoeker en (informatie-)beveiliger.
Heel slim. Je zou bijna denken dat de huidige I(C)T-dienstenleveranciers dat al zouden doen.
Is iedereen nu Diginotar debacle vergeten? Diginotar was door een soortgelijk adviesbureau (PWC) gecontroleerd. Dat bureau had nagegaan of alle procedures beschreven en aanwezig waren op papier, hadden wat mensen geïnterviewd en een rapport geschreven – zoals dit soort adviesbureau’s in regel werken. De daadwerkelijk software, de code, laat staan of de procedures uitgevoerd worden was niet gecontroleerd.
APK wordt in regel uitgevoerd door een goed opgeleide automonteur die daarnaast dagelijks auto’s repareert. Om de metafoor van Beerenschot te gebruiken: als ik mijn auto bij garage Beerenschot laat controleren, wordt mij gevraagd hoe vaak ik olie ververs, of ik netjes rijdt en of ik weet wat bandenspanning is. Een rapportje wordt geschreven en mijn auto is weer APK goedgekeurd.
APK zou ook nog inhouden dat de activiteiten een bepaald, toetsbaar kwaliteitsniveau zou moeten hebben. Daar is hier geen sprake van. het komt meer over als BA’tje (Betaalde Aquistitie).
@Gerbrand
Als mede-bedenker van de ICT-APK wil ik graag nog iets toevoegen aan wat je schrijft. Je hebt gelijk dat wij ons oordeel deels baseren op verklaringen uit interviews. Mensen kunnen daarin een te positief beeld neerzetten van de werkelijkheid. Daarom is ons onderzoek niet alleen gebaseerd op een enkel interview, zoals dat wellicht bij de keuring van je auto wel gebeurt.
Wat we doen is:
1. We interviewen meerdere personen, zowel afkomstig uit de IT-kolom als uit de gebruikerskolom. Dat tezamen levert een zo compleet mogelijk beeld op. We vragen daarbij niet alleen naar goede intenties. We vragen ook door naar zaken waar die goede intenties uit blijken.
2. Het mooie van de ICT-APK is dat het een combinatie is van interviews en technische tests. Samen met onze partner Hoffmann nemen we na de interviews de proef op de som. We kijken wat we zoal aantreffen op de infrastructuur van de gemeente. Daarbij wordt er onder meer gezocht naar sporen van hacking of virussen, en naar zwakke plekken in de beveiliging. En natuurlijk wordt er ook geprobeerd hoe goed de beveiling daadwerkelijk is en kijken de cybercrimespecialisten of ze erin slagen om de beveiliging te breken.
Het zou te ver voeren om alle regels code van de gemeentelijke systemen te bekijken. In plaats daarvan kijken we dus naar de robuustheid van deze systemen en het samenspel van de systemen in de praktijk.
@itk
1. hoort bij het navragen ook de evaluatie van een global en detailed design en
2. de beheerprocedures en
3. de toegangscontrole, fysiek en logisch tot de infrastructuur.
wat dan betreft zijn documenten een meer stabiele basis dan personen, mits dit goed geborgd is en vooral blijft in de bedrijfsprocessen.
Zo ja dan klinkt dat veel beter dan de apk, want een apk zegt nauwelijks iets over de echte veiligheid (van een auto in een apk situatie)
ik ben benieuwd!
@Maarten
1: We gaan na in hoeverre informatiebeveiligingsoverwegingen een rol spelen bij het ontwikkelen of aankopen van software. We evalueren niet de ontwerpdocumenten van de software.
2: ja
3: ja
@Linda
Voor mijn interesse, gaan jullie ook in op de onderliggende communicatietoepassingen en de gebruikte communicatie-infrastructuur met de kwetsbaarheden die daar in zitten? De meeste zaken die fout gaan worden namelijk veroorzaakt doordat een netwerk of een communicatietoepassing een IT-systeem ongewenst toegankelijk maakt.
Het idee vind ik geweldig, maar de uitvoering ben ik zeer ongerust over.
Vooral deze zin “We vragen daarbij niet alleen naar goede intenties. We vragen ook door naar zaken waar die goede intenties uit blijken.” Weer terug naar hoe een monteur bij een APK te werk gaat. Hij kijkt niet naar wat er goed is, hij zoekt alleen maar naar wat er fout is. Diginotar is daar een goed voorbeeld van, maar zo zijn er legio mislukte projecten. Een door de overheid aangestelde projectmanager, is bij voorbaat al verdacht. Projecten worden vaak tegen beter weten in overeind gehouden, door ontstane belangen en belangenverstrengeling en de projectmanager wil zijn project dus zijn baan niet kwijt. In de taxibranche speelt thans een mooi voorbeeld, daar is men al 8 jaar bezig een Boord Computer Taxi in te voeren, een zeer verouderd systeem. En de Minister en andere verantwoordelijken weigeren te kijken naar zeer moderne ict-oplossingen die de branche in de afgelopen jaren zelf heeft ontwikkeld. De ambtenaar weet het immer altijd beter. Maar in samenwerking met Hoffmann geloof ik wel dat Berenschot een goede APK zou kunnen uitvoeren.
Algemene Periodieke Keuring, ofwel APK word nu als naam voor een dienst gebruikt omdat iedereen de term kent en omdat het lekker “bekt”. Toch vind ik het een beetje misleidend om een dienst een APK-keuring te noemen omdat de vergelijking mank gaat.
APK is een verplichte periodieke keuring, de essentie is dat als een object niet goedgekeurd wordt, dat het object NIET meer gebruikt mag worden en een sanctie.
Wat zijn de gevolgen als een klant niet door de APK keuring komt?
Het idee is niet nieuw om iets APK te noemen, maar ik vind er ook wel een ruw randje aanzitten om de term te gebruiken voor een dienst.
Aanvulling: Sanctie is uiteraard alleen als je niet door de APK komt en het object toch gebruikt op de openbare weg.