Het Utrechtse adviesbureau Berenschot en bedrijfsrecherchebureau Hoffmann uit Almere bieden gemeenten een keuring aan om te bepalen welke ict-risico's zij lopen. Tijdens deze zogeheten ict-apk kijken de twee partijen naar de beschikbaarheid, juistheid en beveiliging van informatie op de gebieden mens, organisatie en techniek. De gemeente Almere is de eerste klant die zo'n algemene periodieke keuring (apk) heeft doorlopen.
De ict-apk is een gestandaardiseerd, symptomatisch onderzoek van circa twee weken. De apk beantwoordt vier hoofdvragen: zijn gegevens voldoende beschermd, is de gemeente bestand tegen ict-verstoringen, zijn de gegevens correct, en worden ict-faciliteiten misbruikt voor strafbare feiten? De gemeente Almere heeft inmiddels zo'n apk doorlopen. Daaruit bleek dat het beveiligingsbewustzijn bij medewerkers hoog was en er goede maatregelen getroffen waren om het bewust of onbewust lekken van informatie te voorkomen.
De bureaus stellen vast dat het voor gemeenten door de toenemende digitale dienstverlening steeds belangrijker wordt om te weten of zij voldoende controle hebben over hun informatievoorziening en ict. Beveiligingsincidenten, die de laatste jaren veel aan het licht komen, kunnen bijvoorbeeld zorgen voor financiële problemen en imagoschade. Maar ook het verstrekken van verouderde of verkeerde informatie aan burgers of raadsleden moet voorkomen worden.
Volgens Berenschot en Hoffmann ligt de kracht en de zwakte van een betrouwbare informatievoorziening in de combinatie van technische, organisatorische en menselijke aspecten. De zwakste schakel van deze mix bepaalt de mate robuustheid van de informatievoorziening. Door samen de ict-keuring aan te bieden kunnen alle aspecten worden getoetst, stellen beide partijen: mens (cultuur en gedrag), organisatie (beleid, procedures, gebouwbeveiliging) en techniek (firewalls, encryptie, beveiligingscertificaten).
Slager keurt eigen vlees
De Total Specific Solutions (TSS)-onderdelen Pinkroccade Local Government en KZA bieden sinds kort gemeenten ook al zo'n beveiligingsscan aan. Pinkroccade is een belangrijke ict-leverancier op de gemeentelijke ict-markt is. Het aanbieden van een beveiligingsscan heeft daardoor iets weg van de slager die zijn eigen vlees keurt, vindt Linda van Rens, senior adviseur van Berenschot. Zij noemt het daarom een goede zaak dat ook andere partijen zich met zo'n keuringsdienst op de markt begeven. Berenschot werkt als adviesbureau al zo'n 75 jaar voor landelijke en lokale overheden. Hoffmann is inmiddels vijftig jaar actief als fraudeonderzoeker en (informatie-)beveiliger.
Aanvulling2: Is bij het blijken van ernstige gebreken ook sprake van gedeeltelijke aansprakelijkheid bij de personen die de controles hebben uitgevoerd?
APK is idd misleidend. Je kan het zelfs geen keuring noemen. Controle zou wel een juiste benaming zijn.
En zelfs al na een controle is gebleken dat er goed over veiligheid is nagedacht en daar ook naar gehandeld wordt is een gebruikersfout of software update al mogelijk aanleiding voor een datalek. Dus in die zin is het relatief naïef om te denken dat deze controle je vrijwaart van wat dan ook.
De vergelijking met de APK gaat idd zoals Henri zei al mank. Een auditor wil graag bewijzen op tafel zien die daadwerkelijk laten zien (omdat het als zodanig is vastgelegd in het verleden) hoe er met een regel/middel/instelling/ etc. is omgesprongen.
De APK is een voorbereiding op wat komen gaat voor de gemeente: de (wettelijk) vereiste beoordeling van de beveiliging door een register IT-auditor die een adequate scope hanteert. Daaronder vallen zowel beleids- als technische zaken, min of meer conform bovengenoemd door itk_12754 en Linda. Ik neem aan dat Berenschot en Hoffmann conform de Logius’ normen hebben gehandeld?
De scope is erg belangrijk, zo blijkt ook uit de Diginotar-situatie. Zonder op de hoogte van details van dat specifieke geval wordt er in de Big5 auditpraktijk meestal vrij oppervlakkig gekeken op verzoek van de opdrachtgever (!) naar procedures en beleidszaken, zodat de opdrachtgever er goede sier mee kan maken. Een diepgaandere beoordeling lukt de Big5 wel, maar is veelal zo kostbaar dat de opdrachtgever afhaakt, omdat er (volgens de opdrachtgever) toch geen klant is die er naar vraagt. Hier ligt een taak voor klanten, die uiteraard ook niet gek zijn en zich realiseren dat het voor hen daardoor duurder wordt.
Hiermee een korte schets van het krachtenveld. Dat leidt tot organisatie-politieke standpunten die afhankelijk zijn van de persoon, het (afdelings)doel en het moment. En om dan te zeggen dat overheidsfunctionarissen bij voorbaat al verdacht zijn, getuigt van een complexere situatie dan alleen op grond van de vraagstelling kan worden vermoed.
Zet alle ict-mislukkingen eens op een rij en zoek de oorzaken van al deze mislukkingen. Open een aantal doofpotten en constateer de realiteit. Op elk ict-project of implementatie daarvan zit een projectmanager van de overheid, of door overheid aangesteld, het is wel hun project en dat gaan ze zelf niet afbranden. Dus luister vaker naar mensen die kritiek hebben, alle mensen die alleen maar hoera roepen, hebben vaak dubbele petten op, of kunnen niet meer terug. En of Berenschot/Hoffmann het nu wel of niet een APK mogen noemen doet niet ter zake, er moet iemand zijn die een einde maakt aan alle mislukkingen en dit lijkt mij een goed begin, mits goed uitgevoerd.
@ Linda van Rens: De TSS bedrijven KZA en Pinkroccade keuren niet de hun eigen vlees. Wat zij wel doen is in de keuken van het restaurant kijken of de maaltijd veilig bereid wordt. Waarbij de maaltijd niet alleen het vlees van de leverancier PinkRoccade is maar ook de aardappelen en de groente die bij de groenteboer gekocht zijn.
Samen met de klant bekijken we hoe ze hun producten veilig kunnen implementeren en gebruiken. We beoordelen in onze scan het gebruik van zowel onze eigen producten als die van andere dienstverleners. Daarnaast controleren we of de gebruikte systemen voldoen aan de wet- en regelgeving op het gebied van infomatiebeveiliging. We testen dan ook niet of de leverancier van de frontoffice, midoffice of backoffice veilige producten levert, maar of het gebruik op locatie bij de klant veilig en solide geïmplementeerd is.
Denk hierbij aan zaken als patchmanagement, releasemanagement, certificatenbeheer, accountbeheer. Deze (en andere) aspecten worden bij onze beveiligingsscan onderzocht. De uitkomsten van onze scan geven gemeenten aanknopingspunten om hun processen en beveiligingsprocedures waar nodig aan te scherpen en vergroten het beveiligingsbewustzijn van het management en beheerders.
Het keuren van ons eigen vlees (onze eigen softwareproducten)laten we uiteraard periodiek door andere (onafhankelijke) partijen uitvoeren.
Het geschetste beeld van de uitkomst herken ik niet. Wellicht zijn de afgenomen interviews niet representatief voor de organisatie.