of 59221 LinkedIn

SUWInet: ongeoorloofde toegang tot een veilig systeem

Henk Meeuwisse Reageer

Afgelopen weken was de (on)veiligheid van SUWInet onderwerp van gesprek. Het was niet de eerste keer dat de veiligheid van het informatieplatform voor overheidsinstellingen ter discussie staat. Via SUWInet kunnen gemeenten, UWV-bedrijven of sociale diensten gegevens van burgers en bedrijven digitaal bij elkaar opvragen en met elkaar delen. Met het doel het volk beter te helpen zodat we niet iedere keer overal dezelfde informatie hoeven af te geven.

Dit informatieplatform bevat dus veel persoonlijke informatie. Logisch dat de veiligheid van SUWInet kritisch beoordeeld wordt. Zo hebben de Commissie Bescherming Persoonsgegevens (CPB), Staatssecretaris Klijnsma en de VNG al eerder aan de bel getrokken. Menigeen schreeuwt om betere beveiliging van het systeem. De technologie. Maar dat is niet het probleem. De onveiligheid wordt niet veroorzaakt door techniek. Ongeoorloofde toegang is het echte probleem.


De beheerder van SUWInet, het Bureau Keteninformatisering Werk & Inkomen (BKWI) heeft veel geïnvesteerd in technische maatregelen nodig voor gedegen informatiebeveiliging. Elke vorm van informatie kan afgeschermd worden. Het autorisatieniveau bepaalt welke persoon toegang krijgt tot welke informatie. Het BKWI is slechts beheerder van SUWInet. Per (nieuwe) groep gebruikers zoals een gemeente of UWV-instelling wordt een hoofdgebruiker bepaald. Deze hoofdgebruiker krijgt een aantal rechten. Vervolgens is de hoofdgebruiker verantwoordelijk voor wie binnen zijn of haar instelling toegang krijgt tot welke informatie.
 

Daar gaat het meestal mis. De hoofdgebruiker geeft gebruikers te veel rechten. Of geeft rechten aan ambtenaren die geen gebruik mogen maken van SUWInet. Zelfs externen zoals zorgverleners krijgen soms toegang tot SUWInet. Het komt ook voor dat het helemaal niet duidelijk is wie de hoofdgebruiker is. De ICT-beheerders zijn zelfs in staat rechten uit te delen. Wie denkt na of iemand uberhaupt toegang mag hebben? Wie ziet erop toe, dat regelmatig getoetst wordt of het nog steeds nodig is dat een of meerdere ambtenaren toegang blijven houden tot bepaalde informatie? Het is tenslotte ook wel heel verleidelijk collega’s toegang te geven tot SUWInet. Er staat immers zoveel informatie in! Maar niet alle informatie is bedoeld voor iedere ambtenaar. En zeker niet als er geen werkrelatie ligt tussen de gebruiker en de burger of ondernemer over wie hij of zij informatie opvraagt.


Kortom, alle tumult rondom de veiligheid van SUWInet zit vooral in het gebrek aan besef. Zorg ervoor, dat ambtenaren meer bewust worden van het toekennen van rechten aan de juiste personen. Leg uit, licht toe, geef voorbeelden en straf zo nodig. Neem hoe dan ook maatregelen voor meer bewustwording. En zorg voor regelmatige controle. Het BKWI heeft daarvoor voldoende rapportagemogelijkheden. Geen enkel technisch goed beveiligd systeem kan op tegen een slecht autorisatieproces.
 

Vanaf september worden gemeenten getoetst op beveiligingsnormelementen van de SUWIwet. Of een gemeente slaagt, hangt wat mij betreft vooral af van een gedegen autorisatieproces. Anders blijft dat beperkt tot papieren compliancy. En zal het niet de laatste keer zijn dat de (on)veiligheid van SUWInet in het geding is.


Henk Meeuwisse
Auteur is Senior Management Consultant informatiebeveiliging bij Sogeti


Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.