Mens is zwakste schakel bij databeveiliging =========================================== NRC Handelsblad 28/11/07, p.2. In Groot-Brittanni.ANk lekten onlans de persoonlijke gegevens van miljoenen burgers uit. Hoe veilig zijn dergelijke privegegevens in Nederland? "Er is nog weinig bewustzijn over de risico's van identiteitsdiefstal" Door Marie-Jose Klaver ROTTERDAM, 28 NOV. Groot nieuws in Groot-BrittanniNk, vorige week. De Britse belastingdienst raakte de voor- en achternamen, namen van kinderen, adressen, geboortedata en sofinummers van 25 miljoen ouders die kinderbijslag krijgen kwijt bij de post. Ook in Nederland beheert een aantal instanties miljoenen persoonsgegevens. "Wij sturen gegevens zoveel mogelijk via beveiligde verbindingen", zegt woordvoerder Gwennie Bosma van de Sociale Verzekeringsbank (SVB), de instantie die in Nederland de kinderbijslag uitkeert. De SVB beheert de gegevens van ongeveer 4,7 miljoen mensen. "Wij willen dat er zo min mogelijk gegevens over straat gaan", aldus Bosma. De SVB, naast de kinderbijslag verantwoordelijk voor onder meer de AOW en het persoonsgebonden budget, versleutelt volgens Bosma alle vertrouwelijke gegevens. Versleuteling, ook wel encryptie genoemd, is een beveiligingsmethode waarbij informatie onleesbaar gemaakt wordt voor derden. Alleen degene die over de juiste sleutel beschikt, kan de gegevens weer leesbaar maken. Bosma zegt dat de SVB ondanks alle beveiligingsmaatregelen "niet voor 100 procent kan uitsluiten" dat er gegevens uitlekken zoals in Groot-BrittanniNk gebeurde. "Het blijft mensenwerk." Omdat de SVB gebruik maakt van versleuteling zal de schade minder groot zijn dan in Groot-BrittanniNk, meent Bosma. "Je kunt niet direct bij de gegevens." Versleuteling wordt nog niet op alle niveaus bij de overheid toegepast. Onlangs lekten 340 pagina's met enkele duizenden namen en functiebeschrijvingen uit van werknemers van het ministerie van Defensie. De namen en functies van onder meer mariniers en inlichtingenmedewerkers die op de Nederlandse Antillen werken waren voor iedereen leesbaar. Ook de informatie op de USB-sticks van Defensie die dit jaar werden gestolen of verloren door medewerkers was niet versleuteld. . "Hoewel het in beginsel niet is toegestaan om gerubriceerde informatie onversleuteld op een informatiedrager mee te nemen, zijn er geen maatregelen te treffen waarmee dit volledig is af te dwingen", zei minister Van Middelkoop van Defensie in een reactie op Kamervragen. Pas in het voorjaar van 2008 komen er volgens de minister "waarschijnlijk" beveiligde USB-sticks beschikbaar voor Defensie-personeel. Informatiebeveiliging is een complexe aangelegenheid. Naast allerlei wettelijke en technische aspecten spelen ook mensen een belangrijke rol. Uit onderzoeken blijkt dat mensen vaak de zwakste schakel zijn. Mensen kunnen eigenwijs, slordig, behulpzaam, naNoef en te spraakzaam zijn. Bij de GPD-affaire, waarbij voorlichters van het ministerie van Sociale Zaken toegang hadden tot het computersysteem met artikelen en plannen van het persbureau voor de regionale dagbladen, bleek een redactielid zijn inloggegevens aan twee ex-werknemers verstrekt te hebben. De journalist wilde zijn oud-collega's, die inmiddels als voorlichter voor Sociale Zaken werken, een dienst bewijzen. Bart Jacobs, hoogleraar computerbeveiligingen aan de Radboud Universiteit in Nijmegen en de Technische Universiteit in Eindhoven, is ervan overtuigd dat zich ook in Nederland een groot dataschandaal kan voordoen. "Er is nog weinig bewustzijn over beveiliging en de risico's van identiteitsdiefstal. Je bent er niet met techniek alleen. Er is een goede mix nodig van technische en organisatorische beveiliging. Mensen moeten ook weten wat ze met gegevens mogen en niet." Bij de Universiteit van Amsterdam worden medewerkers en studenten uitgebreid voorgelicht over het veilig gebruik van het UvA-netwerk, zegt communicatiemedewerker Laura Erdtsieck. "Ga vertrouwelijk met je toegangscodes om, leen ze niet uit", luidt de eerste regels van de ICT-gedragsregels waaraan alle gebruikers van het universitaire netwerk zich moeten houden. "Verander je wachtwoord regelmatig", is er ook een. De Uva raadt gebruikers aan om voor een wachtwoord de eerste letters van een makkelijk te onthouden zin te gebruiken en NiNin of twee letters in tekens te veranderen. "Spruitjes eet ik echt niet meer hoor" wordt dan bijvoorbeeld Se!enmh. Ook bij het Uitvoeringsinstituut Werknemersverzekeringen (UWV), verantwoordelijk voor de gegevens van 7,5 miljoen mensen, wordt naast de technische beveiligingsvoorzieningen gebruik gemaakt van 'awareness-programma's' om mensen bewust te maken van gevaren en risico's, vertelt woordvoerder Jan Stalman van het UWV. "Het bewustwordingsniveau wordt periodiek getoetst door audits, aldus Stalman. Toch zijn gedragsregels en bewustwordingsprogramma's ook geen panacee tegen beveiligingsproblemen. De bekende lekken bij Defensie vonden plaats na 2005, het jaar waarin het rapport Cultuur ondersteund door Structuur: Het Wapen tegen het lekken van vertrouwelijke informatie verscheen. Dit rapport, geschreven op verzoek van oud-minister van Defensie Henk Kamp naar aanleiding van eerdere lekken van geheime Defensie-informatie, bevat voorstellen voor een voorlichtingscampagne over documentbeveiliging en scholing van medewerkers in beveiligingsbewustzijn. Het rapport gaat uitgebreid in op de negative gevolgen van lekken voor de organisatie en voor directe collega's. Kader 1 Gevolgen Brits rel * Directeur van de Belastingdienst neemt ontslag. * De introductie van Elektronisch Kinddossier is vijf maanden uitgesteld omdat de minister van Jeugdzaken eerst de databeveiliging wil onderzoeken. * De invoering van de nationale ID-kaart staat op losse schroeven omdat de overheid niet kan garanderen dat privNigegevens van burgers beschermd worden. * Ook aan de digitalisering van medische dossiers binnen het Britse gezondheidssysteem NHS wordt getwijfeld. De digitale dossiers zijn mogelijk niet waterdicht, waarschuwde de IT-chef van het ministerie van Gezondheid. Kader 2 Beveiliging is verplicht Overheidsinstanties en bedrijven in Nederland zijn wettelijk verplicht om persoonsgegevens te beveiligen. De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat bedrijven en overheidsinstanties passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Naast de wet bestaat er een aantal beveiligingsstandaarden en protocollen zoals de Code voor Informatiebeveiliging (een ISO-norm) en het Voorschrift Informatiebeveiliging Rijksoverheid (VIR).