Daar is meestal wel kruid tegen opgewassen!

We hebben in de afgelopen weken onze minister van “Corona zaken” horen zeggen dat de data lek bij de GGD niet te voorkomen was omdat er tegen dit soort criminelen geen kruid was opgewassen. Haastig sloot het opperhoofd GGD zich daarbij aan. Later bleek dat de basis hygiëne voor informatiebeveiliging en privacy niet op orde was. Zo’n situatie is natuurlijk wel te begrijpen als er in de haast een systeem ingezet wordt dat daar eigenlijk niet voor gemaakt is en al zeker niet met zoveel meer gebruikers die ook nog eens veelal niet voor de GGD’s zelf werken. Dus gaat er op veel gebieden iets fout. Wel is het belangrijk dat er na dit soort snelle acties goed gekeken wordt naar de effecten hiervan.

Hoe zit het met toegangsrechten, welke functie zijn voor wie beschikbaar en is dat wel nodig of verstandig, hoe zijn de servers etc. ingericht, wat is het kennisniveau van de mensen op het gebied van privacy, welke mensen hebben er eigenlijk toegang tot onze systemen en moeten we die dan alsnog niet screenen?

En daar wringt de schoen. In de tien maanden na de uitbreiding van het gebruik van dit systeem, blijkt dat aan al deze onderwerpen niets of nagenoeg niets is gebeurd. Het eindresultaat kennen we allemaal.

Nu is het natuurlijk makkelijk om met de kennis van nu hier commentaar op te hebben, maar daar gaat het mij ook niet om. Het gaat mij erom dat we ervan leren en de lessen die we hier uit kunnen trekken in de praktijk brengen.

  • Les 1: Systemen vooral moeten inzetten waar ze voor bedoeld zijn.
  • Les2: Een systeem achteraf aanpassen terwijl het al in gebruik is, is altijd lastiger
  • Les 3: Security en privacy by design is zeker te prefereren boven het achteraf proberen aan te passen van een systeem
  • Les4: Na iedere implementatie of grote wijziging is het essentieel om te controleren of alles voldoet aan de beveiligings- en privacy-eisen.

 

Dit zijn lessen die voor iedere organisatie toepasbaar zijn. Belangrijk is wel om vooraf te weten waar een systeem aan moet voldoen en waarom. De eisen rondom vertrouwelijkheid, integriteit en beschikbaarheid zijn voor iedere organisatie en zelfs voor iedere systeem binnen organisatie verschillend. Het verdient dus de aanbeveling om hierbij stil te staan. Dat kan (en moet in steeds meer gevallen) op formele wijze door middel van (D)PIA’s, risico analyses, etc. maar het helpt al enorm om even rustig na te denken wat er in een systeem voor informatie wordt verwerkt, voor wie die informatie belangrijk is of kan zijn, hoe belangrijk is het dat die informatie 100% correct is en wat het effect is als het systeem (en daarmee die informatie) niet beschikbaar is. Dit laatste kan bekeken worden door je voor te stellen wat er gebeurt als je het een uur, een halve dag, een dag of langer zonder moet doen. Wat zijn de kosten als de informatie niet beschikbaar is, niet klopt of in verkeerde handen valt? En wat zijn de andere effecten als dat gebeurt?

Bij de meeste van deze vragen heeft iedere ondernemer of manager een behoorlijk goed beeld.

Als uit dat beeld duidelijk wordt dat er reden tot zorg is wordt het tijd om eens naar de “verdedigingslinies” te kijken. Wat hebben we gedaan om kans van dit soort problemen te voorkomen? Wat hebben we gedaan om de impact op de organisatie te beperken? Hoe (snel) ontdekken we dat er sprake van een probleem is? Hoe reageren we dan? En wat hebben we voorbereid om daarna de boel weer structureel op orde te krijgen.

Veel kleinere organisaties zijn hier vaak niet echt mee bezig omdat het duur lijkt. De praktijk is echter dat het veel duurder is als je de boel moet herstellen en je niets hebt voorbereid. De kosten van adequate informatiebeveiliging hoeven helemaal niet zo groot te zijn. Niet iedere organisatie is even afhankelijk van de informatie of heeft even gevoelige informatie. De maatregelen die genomen moeten worden zijn dus ook niet altijd even zwaar. Maar niets doen is altijd duurder als later zaken hersteld moeten worden.

 

Nieuwsgierig geworden hoe dit voor uw organisatie er uit ziet? Bel of mail of link met ConanDoyle: 085-0606496, sirarthur@conandoyle.eu of stuur een berichtje via LinkedIn.