Online beveiliging is een hot issue. Zowel vanwege de cookiewet, als de persoonsgegevens die geregeld door hackers ontvreemd worden. Podiumauteur Wim van Campen geeft zijn visie over cybersecurity en de rol van de overheid.
De overheid heeft een merkwaardige rol als het gaat om cybersecurity. Enerzijds is de overheid wet- en regelgever en belast met de bestrijding van cybercriminaliteit, anderzijds is het een grote ict-gebruiker die gegevens van ons, burgers en bedrijven, beheert en verwerkt.
Wet- en regelgeving is niet populair, zeker niet bij bedrijven die geacht worden zich daaraan te houden en niet zitten te wachten op de extra lasten die dat met zich meebrengt. Ervaringen in het buitenland bewijzen dat als organisaties forse boetes boven het hoofd hangen de beveiliging serieuzer wordt aangepakt. Dat geldt uiteraard ook voor de overheid zelf, die daarom ook een voorbeeldfunctie heeft.
Persoonsgegevens beveiligen
Burgers mogen verwachten dat organisaties hun gegevens goed beveiligen en de belangrijkste reden om van de overheid regelgeving op het gebied van ict-beveiliging te verwachten is dat de overheid dat als enige kan afdwingen. Een Nederlandse ict-beveiligingsautoriteit zou moeten controleren of persoonsgegevens veilig zijn op websites. Daarbij moeten natuurlijk ook de overheidssites worden meegenomen.
Het is evident dat overheidsgegevens niet ontvreemd mogen worden en dat ze ook niet op straat moeten komen te liggen. Dat vergt een solide beveiliging, bij de rijksoverheid en bij de provinciale en gemeentelijke overheden. Afgaande op wat er de afgelopen maanden in het nieuws is gekomen lijkt het met de beveiliging bij rijksoverheidsinstellingen wel goed te zitten. Maar op gemeentelijk niveau ligt dat helaas anders. Denk maar aan het Dorifel-virus dat enkele Nederlandse gemeenten heeft platgelegd.
Cookiewet overtreden
In de aanloop naar de verkiezingen heeft de Cyber Security Raad de overheid opgeroepen om meer te doen op het gebied van cybersecurity. Die oproep is goed ontvangen want in het regeerakkoord belooft het kabinet cybercrime harder aan te pakken. Ook moet privacy op internet beter worden beschermd. Op haar beurt heeft de Nederlandse overheid weer bedrijven en instellingen opgeroepen om meer aandacht te hebben voor het beveiligen van gevoelige gegevens.
Aan goede voornemens en oproepen om in actie komen dus geen gebrek. Hoe moeilijk het is daadwerkelijk hieraan gevolg te geven, blijkt uit het feit dat een groot deel van de overheidssites gebruik maakt van cookies of volgtechnologie. Nu blijkt dat dit In veel gevallen niet alleen strijdig is met de cookiewet (door de overheid zelf uitgevaardigd), maar bezoekers lopen ook privacy- en beveiligingsrisico’s. Hier geeft de overheid geen goed voorbeeld.
Onbekende risico's
De vraag is echter: zijn het acceptabele risico’s? Het is immers niet meer haalbaar om alles met alle middelen te beveiligen. Dat is te ingewikkeld en te duur. De risico’s zijn groot als privacygevoelige overheidsgegevens en gegevens die onze veiligheid raken in verkeerde handen vallen. Maar de risico’s zijn niet voor alle overheidsgegevens even groot en de beveiliging zou hier rekening mee moeten houden. McAfee heeft eind vorig jaar onderzoek laten doen naar ict-beveiliging van bedrijfsrisico’s onder grote Nederlandse (overheids)organisaties. Daaruit kwam naar voren dat veel van deze organisaties niet weten welke risico’s ze lopen.
De juiste beveiligingsstrategie
Uit recent onderzoek van Deloitte blijkt dat voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging voor technologie-, media- en telecombedrijven vorig jaar nog hun grootste zorg was. Maar voor dit jaar noemen deze bedrijven het implementeren van een beveiligingsstrategie als topprioriteit. Verder blijkt dat de bedrijven gaan inzien dat informatiebeveiliging fundamenteel is voor de business en dat zij zich steeds meer richten op het weerbaar maken van de eigen organisatie tegen cyberrisico's, in plaats van puur en alleen op de informatiebeveiliging zelf.
Met het overnemen van deze strategische aanpak van ict-beveiliging kan de overheid het goede voorbeeld geven. Richt de beveiligingsinspanningen op de gegevens van burgers en bedrijven die de grootste riscio’s opleveren. Tijdens een rondetafeldiscussie naar aanleiding van ons onderzoek stelde een van de deelnemers dat het niet erg is wanneer iemand inbreekt als je zeker weet dat hij geen kwaad kan, maar dat je dan wel de risico’s helder moet hebben.
Eerdere bijdragen:
Over de auteur:
Dit Podiumartikel is geschreven door Wim van Campen, Vice President Northern Europe at McAfee.
Over het Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.