Ophef was er laatst over de digitale inbraak bij persdienst GPD, door communicatiemedewerkers bij het ministerie van Sociale Zaken. Specifieker: door ex-GPD’ers. Deze ‘hackers’ hadden sinds juni vorig jaar toegang tot bestanden, waaronder interne agenda’s en nog ongepubliceerde artikelen. En nu laat Sociale Zaken het Openbaar Ministerie een onderzoek doen.
Op zich een goede zaak. Hopelijk komt er bij Justitie dan ook meer aandacht voor en begrip van dit soort criminaliteit. Want doe als gewone organisatie maar eens aangifte van een digitale inbraak, waarbij er waarschijnlijk niets weg is.
Maar welke ict’er was nou echt verbaasd over deze inbraak? Want dit kan zoveel organisaties overkomen, ook die waar jij werkt – of hebt gewerkt. Ga maar na: worden bij jou alle wachtwoorden gewijzigd als er iemand opstapt? Nee. Misschien wel als er een ict’er, een beheerder, weggaat. Maar worden er dan regelmatig nieuwe wachtwoorden ingevoerd, opgelegd? Misschien wel. Maar zijn dat écht andere wachtwoorden? Nee. De eindgebruiker vindt het vaak al moeilijk genoeg zo. Ik zeg: ‘bedrijfsnaam02’.
Het doet me denken aan een gezegde over de spoorwegen: de NS heeft geen enkel probleem, afgezien van die reizigers die op een bepaalde tijd ergens heen willen. Hetzelfde geldt voor de ict-afdeling; die heeft geen enkel probleem, afgezien van die eindgebruikers die dingen willen en van alles doen. Maar het zijn die eindgebruikers waarvoor je het dóet. Het is soms net als met kinderen; je moet opvoeden. En daarvoor moet je communiceren, ook uitleggen in plaats van alleen opleggen. Wees technisch te streng en je krijgt de grappige, want rake, Apple-reclame waarin de strakke beveiliging in Windows Vista op de hak wordt genomen. ‘Cancel or Allow?’
Toch hoeft het niet alleen maar soft gepraat te zijn, er valt ook wat te automatiseren. Bijvoorbeeld een koppeling met de P&O-systemen. Zodat iemands inlogcodes vervallen zodra die persoon niet meer in dienst is. Daarvoor moet er wel budget zijn, wat de eilandjes ict, afdeling én P&O overstijgt. Serieuze beveiliging moet immers organisatiebreed zijn. Alleen eh, klein detail over die GPD-inbraak: de onverlaten hebben de account gebruikt van een collega die er nog werkt. Dus je moet toch praten, met die eindgebruikers.