Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft samen met ketenpartners het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgezet. Doel van dit kenniscentrum is door bundeling van expertise het weerbaarheids-, herstel- en leervermogen van zelfstandige bestuursorganen (zbo's) te versterken. Vooralsnog doen naast het UWV de Sociale Verzekeringsbank, de Belastingdienst en de Dienst Uitvoering Onderwijs mee.
De aftrap van het CIP is inmiddels geweest. Ict-beveiligingsspecialisten van de aangesloten organisaties zullen in dit 'competence center' gaan samenwerken. Daarbij wordt ook de hulp van de leverancierswereld ingeroepen. De komende tijd wil het CIP met diverse leveranciers convenanten sluiten waarbij die partijen als kennispartners 'om niet' om advies kan worden gevraagd. 'Leveranciers hebben er ook belang bij dat overheidsinstanties niet lam worden gelegd door securityproblemen', zegt Frans Haverkamp, chief information officer van het UWV en mede-initiatiefnemer van het CIP. 'Sommige beveiligingspecialisten zullen we wel inhuren om bijvoorbeeld penetratietesten te doen.'
Specifieke beveiligingshulpmiddelen regelen
Het centrum moet in het vierde kwartaal van 2012 voldoende bezet zijn om de vastgestelde taken te kunnen uitvoeren. Zo gaat het CIP alle beveiligingsincidenten monitoren die zich bij de aangesloten organisaties voordoen. Ook dient het centrum noodscenario's klaar te hebben liggen om bij een incident over te schakelen op een andere ict-oplossing, zodat de dienstverlening kan worden gecontinueerd. Indien nodig moet het CIP rijksbreed kunnen opschalen. Ook krijgt het CIP de taak om na een calamiteit met een herstelplan te komen. Verder zal het centrum specifieke beveiligingshulpmiddelen regelen, zoals de overheidsdropbox, de federatieve single sign-on en de werkgever-DigiD, en organiseert het workshops en bewustzijnsverhogende trainingen op het vlak van ict-beveiliging.
'De toenemende aandacht voor beveiligingsincidenten bij overheden was voor ons een wake-up call', zegt Haverkamp. 'We doen steeds meer met internet en dan is veiligheid van informatie cruciaal. Hier kun je het vertrouwen van burgers niet verspelen en dus heeft informatiebeveiliging en privacybescherming absolute urgentie.' Het einddoel is volgens de UWV-cio in dit licht een veilige en betrouwbare overheid als het gaat om gegevensopslag- en verwerking en internetdienstverlening.
Compacte Rijksdienst
In het kader van de het uitvoeringsprogramma Compacte Rijksdienst, waarbij overheidsorganisaties veel meer met elkaar moeten samenwerken en kennis en oplossingen waar mogelijk hergebruiken, kwam bij het UWV het idee op om de krachten te bundelen en het CIP op te zetten. Dat idee is door de stuurgroep Compacte Overheid omarmd. In eerste instantie doen de grote inkomensondersteunende uitvoeringsorganisaties mee, UWV, SVB, BD en DUO, maar het CIP staat ook open voor andere geïnteresseerde overheidsorganisaties.
De overheid richt zich op het leveren van diensten die ook kunnen worden ingekocht.
Wij van de overheid controleren de overheid. De kosten nemen toe en het is geen kerncompetentie van UVW om in ICT beveiligingen te gaan, toch?
Vreemde gang van zaken, wie keurt dit soort initiatieven goed? Wat is de business case?
Heel goed. De commerciele beveiligings maffia neemts steeds extremere vormen aan. Gezond verstand is niet meer de norm, maar allerlei onzin producten met dure namen en loze kreten.
Ik krijg wel eens van die geprintte briefjes in de bus van een of ander professor Mr.Safir, med. helpt bij alle probl. Rel. terugk. partner, zaken, geluk, exam. werk., ziekte, fin, alc/drugs.100% res. binnen 48 u.
enzo.
en toch, toch …
heb ik meer vertrouwen in meneer Safir dan aan UWV die het weer eens helemaal anders en nu nog beter gaat doen 😉
Klinkt op zich als een goed initiatief, alleen ben ik bang dat dit overlappend en/of concurrerend is met andere initiatieven zoals het Nationaal Cyber Security Centrum (NCSC) of het European Network for Cyber Security (ENCS). Volgens mij veroorzaken wij het “911-Probleem” met als gevolg dat de informatie bij verschillende partijen wel aanwezig is, maar niet wordt gedeeld, vanwege een gebrekkige samenwerking en/of coördinatie. De “Centres of Excellence” op het gebied van Cyber Security schieten als paddenstoelen uit de grond zonder enige coördinatie vanuit hogerhand. Ik denk dat hier een goede taak ligt voor het Ministerie van Veiligheid & Justitie (NCTV?).
Met mijn ‘bescheiden’ professionele kennis van het UWV als opdrachtgever ben ik bang dat dit wederom een ‘leuk’ initiatief is die uiteindelijk ter ziele zal gaan. Je kunt een dergelijk initiatief alleen lanceren wanneer je zelf al een bepaald niveau van competence hebt bereikt en deze wil uitbouwen.
Vanuit dat perspectief bezien zou het een ‘gouden’ zet zijn om met vakgenoten een dergelijk initiatief te lanceren. Edoch, binnen het UWV, als eerste, bestaat een dergelijke kennis en ervaring center niet. In tweede wordt hier in het artikel gesteld dat UWV dit wil doen op basis van ‘om niet’. Immers, het is ook in het belang van de leverancier dat het UWV of de overheid zou kampen met security problemen???
Ik constateer hier twee eenvoudige zaken. UWV wil voor een dubbeltje op de eerste rang zitten. Op deze wijze snijd zij namelijk de business analist uit de keten. In tweede heeft het UWV geen enkele expertise op dit vlak in huis die een dergelijke stap zou rechtvaardigen.
Blijft een bijzonder Essentiële vraag….. Hoe denkt het UWV dan de kennis en kwaliteit van de aangeleverde expertise te kunnen toetsen en borgen? Immers, we hebben het hier wel over zeer gevoelige systemen die tal van zeer persoonlijke informatie bevatten van personen.
Is dit overigens niet het terrein van een andere overheids instantie?
Zomaar even een vrije gedachte uiteraard….