Lessen over datalekken

De afgelopen weken hebben we ons keer op keer verbaasd over de aard en omvang van de datalekken bij de GGD’s. Inmiddels hebben de eerste arrestaties plaatsgevonden.

Ook zijn inmiddels maatregelen getroffen om het risico van datalekken in de toekomst te beperken. Er worden nu volop VoG’s opgevraagd, autorisaties zijn ingeperkt, de export-knop en de print-knop zijn uitgeschakeld. Maar dit is natuurlijk vooral achterstallig onderhoud. Natuurlijk moeten we niet uit het oog verliezen dat CoronIT en HPZone Lite door de GGD’s met stoom en kokend water voor het corona-testproces werden ingezet. En de plotselinge massaliteit maakte het blijkbaar moeilijk om alles netjes in te richten. Maar dan nog, het is achterstallig onderhoud, want wat nu fout bleek, was dus al langer fout.

Historisch besef

“Focus was steeds op wat er allemaal mogelijk is met data, niet op wat er niet zou moeten kunnen. Dat is wel belangrijk”, aldus een politicus tijdens het GGD Tweede Kamerdebat op 3 februari.

En dat is een interessante constatering. Deze politicus heeft wel begrepen dat wat ooit kon, nu misschien eigenlijk niet zou moeten mogen. Misschien had wel nooit gemogen…

Laten we voorop stellen dat inderdaad niet alles perfect kan of hoeft te lopen. Voor ons als buitenstaanders is het niet makkelijk om vast te stellen wat er in de informatievoorziening is fout gegaan. Wij kunnen niet bepalen hoe autorisaties eruit moeten zien.

Voorbeeld:
Het is volstrekt valide dat het voor bron- en contactonderzoek goed is als een onderzoeker in bestanden kan rondkijken. Maar dan wordt het spannend. Dat rondkijken moet wel mogen. Het moet noodzakelijk zijn. Er moet ook een grondslag voor zijn. En dat betekent al dat er nagedacht moet zijn over de manier om het proces uit te voeren. Iemand moet hebben nagedacht over het proces en de regels bepaald hebben voor het proces. En dat is de Governance vraag. Wie mag wat en waarom is dat zo?

Moeilijk

En dan deze:

“Het moet toch niet zo moeilijk zijn één systeem te maken dat regelt dat alleen bevoegden toegang hebben tot data?”, aldus een politicus in het GGD debat….

Tsja, eigenlijk verklaart dit zoveel: Hier heerst een volkomen onbegrip over wat er kan, wat er mag en wat we willen. ‘Het is niet zo moeilijk om’  is de kern van het probleem waarom het nu juist zo vaak fout gaat. In de praktijk merken we namelijk dat ‘Het is niet zo moeilijk’ in feite neerkomt op Organizational Change. En daar zijn weinig organisaties klaar voor.

In mijn optiek moeten we werken aan Access Governance. We moeten op een fatsoenlijke manier beheersen, besturen en verantwoording afleggen over wie nu wat mag met systemen en gegevens, en vooral waaróm iemand dat zou moeten mogen. Die waarom-vraag is cruciaal om het vraagstuk van toegang te kunnen beoordelen. Maar dat probleem wordt vaak niet onderkend en dan komt het knelpunt vaak terecht bij de ICT-afdeling. Die het vervolgens niet alleen kan oplossen..

Hoe nu verder

Overigens is het wel mogelijk om één systeem te maken dat regelt dat alleen bevoegden toegang hebben tot data. Dat is qua concept echt wel te doen, die techniek bouwen we zelfs al, we bieden de techniek zelfs als een clouddienst en helpen ook om die architectuur te integreren!

Maar inrichting van Access Governance is niet eenvoudig. Zoals ik in mijn vorige blog schreef, is het een business verantwoordelijkheid. En die los je met alleen techniek niet op. Daarom hebben wij businessconsultants die ook daarbij kunnen helpen.

PS: Ik zal een volgende keer dat concept wel even uit de doeken doen. Dat is niet zo moeilijk.

Over de auteur

André Koot
CCSO

andre.koot@sonicbee.nl

André Koot is principal IAM consultant en mede-oprichter van SonicBee. Hij heeft 20 jaar ervaring in het Cyber Security domein, waarvan hij de laatste 10 jaar specifiek gericht is op Identity en Access Management. Hij is een absolute topexpert op dit gebied, internationaal erkend. André levert een actieve bijdrage aan het IAM domein, onder meer in zijn rollen als: Bestuurslid Cloud security alliantie NL chapter, Lid IDPro commissie en lid adviesraad Identity.Next. 

Over SonicBee

SonicBee is hét Identity and Access management (IAM) bedrijf dat innovatieve en intelligente management services en business consultancy biedt, waardoor bedrijven slimmer, sneller en veiliger worden. Wij zorgen ervoor dat alles en iedereen binnen uw omgeving op een veilige, compliant en slimme manier toegang heeft tot informatie.

We dagen de bestaande markt uit door op een nieuwe manier naar identiteiten en data te kijken. SonicBee biedt intelligente toegangsoplossingen, advies en implementaties, gericht op het vergroten van de cybersecurity van onze samenleving en het creëren van bedrijfswaarde.