Mens is zwakste schakel bij databeveiliging /2 reacties

Mens is zwakste schakel bij databeveiliging

In Groot-Brittannië lekten onlangs de persoonlijke gegevens van miljoenen burgers uit. Hoe veilig zijn dergelijke privégegevens in Nederland? “Er is nog weinig bewustzijn over de risico’s van identiteitsdiefstal.”

Beveiligde verbindingen

Groot nieuws in Groot-Brittannië, vorige week. De Britse belastingdienst raakte de voor- en achternamen, namen van kinderen, adressen, geboortedata en fiscale nummers van 25 miljoen ouders die kinderbijslag krijgen kwijt bij de post. Ook in Nederland beheert een aantal instanties miljoenen persoonsgegevens. “Wij sturen gegevens zoveel mogelijk via beveiligde verbindingen”, zegt woordvoerder Gwennie Bosma van de Sociale Verzekeringsbank (SVB), de instantie die in Nederland de kinderbijslag uitkeert.

De wet

Overheidsinstanties en bedrijven in Nederland zijn wettelijk verplicht om persoonsgegevens te beveiligen.

  • De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat bedrijven en overheidsinstanties passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
  • Naast de wet kent Nederland een aantal beveiligingsstandaarden en protocollen zoals de Code voor Informatiebeveiliging (een ISO-norm) en het Voorschrift Informatiebeveiliging Rijksoverheid (VIR).

De SVB beheert de gegevens van ongeveer 4,7 miljoen mensen. “Wij willen dat er zo min mogelijk gegevens over straat gaan”, aldus Bosma. De SVB, naast de kinderbijslag verantwoordelijk voor onder meer de AOW en het persoonsgebonden budget, versleutelt volgens Bosma alle vertrouwelijke gegevens. Versleuteling, ook wel encryptie genoemd, is een beveiligingsmethode waarbij informatie onleesbaar gemaakt wordt voor derden. Alleen degene die over de juiste sleutel beschikt, kan de gegevens weer leesbaar maken.
Bosma zegt dat de SVB ondanks alle beveiligingsmaatregelen “niet voor 100 procent kan uitsluiten” dat er gegevens uitlekken zoals in Groot-Brittannië gebeurde. “Het blijft mensenwerk.” Omdat de SVB gebruik maakt van versleuteling zal de schade minder groot zijn dan in Groot-Brittannië, meent Bosma. “Je kunt niet direct bij de gegevens.”

Encryptie

Versleuteling wordt nog niet op alle niveaus bij de overheid toegepast. Onlangs lekten 340 pagina’s met enkele duizenden namen en functiebeschrijvingen uit van werknemers van het ministerie van Defensie. De namen en functies van onder meer mariniers en inlichtingenmedewerkers die op de Nederlandse Antillen werken waren voor iedereen leesbaar. Ook de informatie op de USBsticks van Defensie die dit jaar werden gestolen of verloren door medewerkers was niet versleuteld. “Hoewel het in beginsel niet is toegestaan om gerubriceerde informatie onversleuteld op een informatiedrager mee te nemen, zijn er geen maatregelen te treffen waarmee dit volledig is af te dwingen”, zei minister Van Middelkoop van Defensie in een reactie op Kamervragen. Pas in het voorjaar van 2008 komen er volgens de minister “waarschijnlijk” beveiligde USB-sticks beschikbaar voor Defensie-personeel.

Menselijke factor

Lekken bij Defensie

  • Tussen 25 en 27 oktober 2007 heeft een vertrouwelijke lijst van 340 pagina’s op de website van het Commando Dienstencentra (CDC) gestaan met duizenden namen, functies en contractgegevens van o.a. marinemedewerkers en inlichtingenmedewerkers. Via zoekmachines is de lijst nog steeds te vinden.
  • Dit jaar raakten er volgens minister Van Middelkoop 15 onversleutelde USB-sticks weg waarvan vier met geheime informatie.
  • In 2006 raken militairen minstens twee USB-sticks met vertrouwelijke informatie kwijt.

Informatiebeveiliging is een complexe aangelegenheid. Naast de wettelijke en technische aspecten spelen ook mensen een belangrijke rol. Uit onderzoeken blijkt dat mensen vaak de zwakste schakel zijn. Mensen kunnen eigenwijs, slordig, behulpzaam, naïef en te spraakzaam zijn. Bij de GPD-affaire, waarbij voorlichters van het ministerie van Sociale Zaken toegang hadden tot het computersysteem met artikelen en plannen van het persbureau voor de regionale dagbladen, bleek een redactielid zijn inloggegevens aan twee ex-werknemers verstrekt te hebben. De journalist wilde zijn oudcollega’s, die inmiddels als voorlichter voor Sociale Zaken werken, een dienst bewijzen.
Bart Jacobs, hoogleraar computerbeveiligingen aan de Radboud Universiteit in Nijmegen en de Technische Universiteit in Eindhoven, is ervan overtuigd dat zich ook in Nederland een groot dataschandaal kan voordoen. “Er is nog weinig bewustzijn over de risico’s van identiteitsdiefstal. Je bent er niet met techniek alleen. Er is een goede mix nodig van technische en organisatorische beveiliging. Mensen moeten ook weten wat ze met gegevens mogen en niet.”