We hameren er steeds op: gebruik de open standaarden
Content
Overheidsorganisaties zijn verplicht om een aantal open standaarden toe te passen in hun ICT-systemen. Maar wat leveren deze standaarden eigenlijk op voor burgers? En hoe zorg je ervoor dat ze ook daadwerkelijk toegepast worden in je organisatie? Harry Roumen, senior strategisch adviseur bij Financiën, vertelt hoe zij dit aanpakken.
Een mailtje van de Belastingdienst.
‘U heeft te veel toeslagen ontvangen over het jaar 2021.’ De deurwaarder is zelfs al ingeschakeld, staat verderop in het bericht. Maar geen zorgen, het kan gelukkig nog worden opgelost. Via de link in de mail kan het terug te betalen bedrag direct overgemaakt worden.
‘Gelukkig had mijn dochter direct door dat ze opgelicht werd’, vertelt Harry Roumen, senior strategisch adviseur bij het ministerie van Financiën. ‘Ze ontvangt namelijk helemaal geen toeslagen.’
Cybercriminaliteit
Phishing heet het. Het misbruiken van de naam van een organisatie door hackers om toegang te kunnen krijgen tot gevoelige informatie. Niet iedereen komt er zo genadig vanaf als de dochter van Harry. Zo is niet iedereen bekend met de regel dat organisaties als de Belastingdienst nóóit mails, appjes of sms’jes versturen met links naar websites. En dat je dus ook nooit op zo’n link moet klikken.
‘We kunnen niet voorkomen dat de naam van onze organisaties op deze manier wordt misbruikt’, stelt Harry.
Maar als iedereen voldoet aan de verplichte beveiligingsstandaarden, maken we het wel een stuk moeilijker voor fraudeurs.
Binnen Financiën werkt Harry voor het bureau van de departementale CIO, samen met de verschillende onderdelen (zoals de Belastingdienst, Toeslagen, de Douane en het beleidsdepartement). Hij ziet er onder andere op toe dat het ministerie en aangesloten organisaties zich houden aan de gestelde kaders en afspraken. En hij controleert dus ook de toepassing van de algemeen geldende open standaarden van Forum Standaardisatie. Dat zijn universeel bruikbare afspraken die de gegevensuitwisseling tussen ICT-systemen verbeteren en deze systemen beter beveiligen.
Waardering voor standaarden
Zo is er een standaard voor de uitwisseling van administratieve overheidsgegevens. Voor elektronisch factureren. Voor domeinnaambeveiliging. Én voor bescherming tegen e-mailphishing. ‘Deze lijst aan verplichte standaarden helpen ons als overheid om efficiënter te werken’, legt Harry uit.
Én ze zorgen ervoor dat we veel beter beveiligd zijn tegen cybercriminaliteit. Door gebruik te maken van de standaarden van Forum Standaardisatie, zijn onze ICT-systemen veel moeilijker te misbruiken.
Het probleem is: lang niet iedereen in de organisatie (onder)kent de waarde van standaarden. ‘Het is een relatief beperkt clubje mensen dat er écht in gelooft en mee bezig is. Vaak zijn dat ICT-architecten en mensen die met innovatie bezig zijn. Mensen die in theorie veel invloed hebben. Maar bij uitzonderingen op de regel vaak niet op hun strepen kunnen staan.’
Bovendien zijn de standaarden niet bij iedereen bekend, vertelt Harry. ‘Bij het inkopen van nieuwe ICT-producten bijvoorbeeld, wordt het CIO-office niet altijd ingeschakeld. En dan vergeten ze soms een product uit te vragen met de verplichte standaarden. Maar over het algemeen doen we het, denk ik, best wel goed.’
De trukendoos van Financiën
Binnen Financiën is een systeem opgezet om het gebruik van open standaarden zoveel mogelijk te stimuleren. Dat begint met achterhalen welke systemen nog niet gebruikmaken van (alle) open standaarden. Het periodieke overzicht van Forum Standaardisatie is hierbij een cruciaal hulpmiddel. Op deze manier ontdekken we ook of standaarden niet of niet goed worden toegepast.
Specifiek voor informatiebeveiliging is er jaarlijks ook nog een red teaming. ‘Bij een red teaming vragen we om 1 cent uit de schatkist over te maken naar een derde persoon. En monitoren vervolgens of deze ongewenste transactie gesignaleerd wordt.’
In het maandelijkse overleg met de CIO’s van alle onderdelen worden maatregelen afgesproken om de geconstateerde tekortkomingen te verhelpen. Worden de afspraken niet nagekomen? ‘Dan hebben we de mogelijkheid om te escaleren. Dan gaan we erachteraan jagen.’
Blijven hameren
Liever laat Harry het natuurlijk niet zover komen. Door te informeren en enthousiasmeren probeert hij, de CISO’s en de IT-architecten het gebruik van open standaarden tijdig te promoten bij collega’s. Bijvoorbeeld door het op de agenda van bestuurlijke overleggen te zetten. ‘In het architectuurboard zijn gelukkig alle architecten van de verschillende organisatieonderdelen verenigd. Komen er in deze overleggen nieuwe projecten ter sprake, dan hameren we er elke keer weer op: maak gebruik van de standaarden. Op een enkel geval bij inkoop na zijn we daardoor goed voorbereid.’
En dat kan zomaar een vervelend mailtje uit naam van de Belastingdienst voorkomen.
Lees ook:
- Alle verplichte internetveiligheidstandaarden
- Streefbeeldafspraken informatieveiligheid
- Meting Internetveiligheidstandaarden
- Zelf meten hoe je er voor staat