‘Ambtenaar makkelijk slachtoffer voor hackers’
Tijdens een speciaal Famo-congres in het WTC te Arnhem blijkt veel ambtenaren nog een slag te maken hebben. In een live hackdemonstratie van KPN door Wouter Zijlstra en Tom Rensink wordt de kwetsbaarheid van de ambtenaren genadeloos blootgelegd.
Gemeenten krijgen met de decentralisatie er steeds meer taken bij en daardoor ook meer persoonlijke informatie om te beschermen. Veel ambtenaren worden moeiteloos gehackt.
Hindernissen bij privacymaatregelen
Tijdens een speciaal FAMO-congres in het WTC te Arnhem blijkt veel ambtenaren nog een slag te maken hebben. In een live hackdemonstratie van KPN door Wouter Zijlstra en Tom Rensink wordt de kwetsbaarheid van de ambtenaren genadeloos blootgelegd. ‘Tijdens dit congres zijn er zo’n 450 verschillende Wifi-verbindingen te vinden en een groot gedeelte daarvan is niet helemaal waterdicht’, lichten Zijlstra en Rensink toe. ‘Wie van jullie heeft er net bijvoorbeeld naar deze foto van babykleding gekeken? Alvast gefeliciteerd, wellicht! Wie woont er trouwens op de Jagerlaan? En er heeft iemand net ook een uitnodiging voor het bezoeken van een schaapskooi gekregen.’
Te goed van vertrouwen
De deelnemers wordt uitgelegd dat ze te maken hebben met een zogeheten Man-in-the-Middle-aanval, waarbij er een open Wifi-verbinding wordt nagemaakt en de hacker inzicht krijgt in de ontvangen bestanden. Typerend dat dit bij ambtenaren gebeurt, want volgens de ‘ethical hackers’ zijn deze nog veel te goed van vertrouwen. ‘Ambtenaren zijn vaak weerloos en een makkelijk slachtoffer. Je kan bij ambtenaren vaak letterlijk en figuurlijk naar binnen lopen. Ook bij het gemeentelijk apparaat komt het vaak nog voor dat wachtwoorden opgeslagen zijn in dropbox, of dat ze voor meerdere websites hetzelfde zijn. Je kan nog zoveel barrières opwerpen, maar hackers kijken alleen naar de zwakste en als ze die voorbij zijn ligt alles vaak open.’
Fatsoen en zorgvuldigheid
Volgens Koen Wortman van de Vereniging van Nederlandse Gemeenten (VNG) is de koepelorganisatie druk bezig met de informatiebeveiliging rondom de decentralisaties. 'Het is voor gemeenten interessant om informatie te koppelen van burgers. Daar kun je je voordeel mee doen, maar je moet altijd in verband met privacy kunnen uitleggen waarom je dat zo doet en hoe je te werk gaat. Er zijn min of meer twee soorten ‘privacy’. Bij het in acht nemen van persoonlijk privacy letten we op persoonlijke informatie. Daarbij stellen we de vraag: is het wel fatsoenlijk om deze gegevens bij te houden? Bij informatiebeveiliging is het weer de vraag of we wel zorgvuldig genoeg te werk gaan.’ Volgens Wortman is het wenselijk dat er een privacy specialist ‘vanaf de rand van de gemeente’ bekijkt waar de zaken goed en fout gaan. ‘Eén functionaris die de gegevens beheert en één die actief op zoek gaat naar fouten is ideaal.’
Efficiënt beveiligen
Maar hoeveel functionarissen er precies rond moeten lopen in een grote gemeente en of kleine gemeenten niet beter samen één privacyfunctionaris kunnen aanstellen, is lastig te bepalen en deels afhankelijk van financiën, dat ondervindt VNG zelf ook. Wortman benadrukt dat wetgeving zo uitvoerbaar mogelijk moet worden voor zoveel mogelijk gemeenten. ‘Daarnaast moet de VNG goed kijken naar schaalvoordelen, zodat gegevens beschermen qua kosten efficiënter wordt. Op dat terrein valt veel te winnen. We proberen zoveel mogelijk collectieve voorzieningen te realiseren. Ook kijken we in het buitenland naar hoe gemeenten daar met privacy omgaan.’
Kijkje in de keuken
Jeroen van der Vlies, chief information security officer van gemeente Vlaardingen geeft een kijkje in de keuken van het beleid met informatiebeveiliging van zijn gemeente. Gevraagd naar hoe de wijkteams omgaan met privacy wijst hij op de deskundigheid van de medewerkers. ‘Je moet goed oppassen, zeker met gegevens van kinderen. Dat ligt erg gevoelig. De mensen die dat bij ons doen zijn ervaren en weten goed hoe zij daar mee om moeten gaan. Dat zijn geen ambtenaren, maar medewerkers van stichtingen als MEE. Iedereen tekent daarnaast een verklaring waarin staat dat er vertrouwelijk moet worden omgegaan met gegevens. Het is zaak dat iedereen het privacybeleid goed kent.’ Daarom ziet van der Vlies in awareness campagnes een goed middel.
Menselijke fouten
Het grootste gevaar van informatie lekken zit hem in menselijk handelen. ‘Daar heb je gelukkig de handtekeningen voor’, zo merkt Van der Vlies op. ‘Het kan altijd zijn dat iemand beveiligde informatie print en dan alsnog onbeveiligd wegbrengt naar bijvoorbeeld de pers. Dat blijft uiteindelijk zelfs met de meest drastische maatregelen lastig tegen te houden. Uiteindelijk komt het toch ook aan op een stukje vertrouwen.’
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.