Klassieke reflex op beveiligingslek

De GGD reageert op het datalek in de bron- en contactonderzoek applicatie door het systeem de schuld te geven. Nu lijkt het zo te zijn dat de security van de gebruikte systemen beter kan. Maar daar zit niet het fundamentele probleem.

Onderliggend probleem

Het grote probleem is echter niet zo zeer het systeem of de security daarvan, maar de snelle groei van het aantal gebruikers en de ondoordachte manier waarop dat is gebeurd. Op zich is een export- of printfunctie in een dergelijk systeem niet apart. Wel apart is dat deze functie voor iedereen, voor alle gegevens beschikbaar is. Zeker als je dan ook nog eens heel snel moet opschalen in het aantal medewerkers (vaak niet feitelijk werkzaam voor de GGD) en dus ook niet in de gelegenheid bent om deze mensen goed te screenen.

Implementatie

De situatie is dus meer een resultaat van de implementatie dan wat anders. Als men eerst even rustig had gekeken naar de mogelijkheden van het systeem (welke beperkingen zijn er met betrekking tot toegangsrechten, etc.) had men de gelegenheid gehad om de boel of anders in te richten of de toegang voor de grote groep nieuwe gebruikers indirect via een nieuw te bouwen portal met beperkte functies te regelen. Een snelle uitvraag in de markt had zeker enkele goede oplossingen hiervoor kunnen bieden. Het bovenstaande bewijst dat informatiebeveiliging een multidisciplinair vakgebied is en bij iedere wijziging van een systeem, het gebruik ervan of van de organisatie opnieuw van alle kanten bekeken dient te worden. En dan hebben we hebben we het nog niet eens aan de constant wijzigende omgevingsdreigingen waardoor zelfs bij een ongewijzigde situatie alle facetten van informatiebeveiliging steeds weer beoordeeld dienen te worden. Good old Deming blijft ook hier van kracht. En het toont aan dat zowel de technische kant van informatiebeveiliging, als de menselijke en organisatorische factoren even zwaar wegen.