Collega’s moeten hun verantwoordelijkheden kennen

Content

""

Wat betekent het om een ‘online presence’ te hebben? Te weinig mensen binnen het ministerie van VWS hebben daar een realistisch beeld bij. Dat merkte Oscar Koeroo, de overkoepelend CISO van dit departement. En dat is een bedreiging voor de cybersecurity. Samen met vijf stagiairs en online adviseurs pakte Oscar dit probleem aan.

‘Waarschijnlijk ken je het wel. Een grote campagne binnen je organisatie, compleet met op maat gemaakte website. Het team koppelt ook meteen een e-mailfunctie aan het domein, want dat is toch net even praktischer. En als de campagne een jaar later is beëindigd, wordt de website uit de lucht gehaald. Klaar is Kees. Niks meer aan doen, toch?

Fout.

De kans is groot dat burgers na het offline halen van de pagina tóch nog even een mailtje sturen, misschien zelfs wel met heel persoonlijke informatie. Een mailtje dat in handen zou kunnen komen van een criminele partij. Want criminelen kopen maar al te graag de domeinnamen van voormalige overheidssites op, om te gebruiken voor hun eigen gewin. Daarom is het verstandiger om geen mailcontact te hebben via tijdelijke domeinen. En als je dat toch doet, mag je dat domein nooit meer vrijgeven.

""

Kaders en wetten

Wat betekent het om een ‘online presence’ te hebben? Wat moet je doen als je een website wil maken, als de site in operatie is en als je er vanaf wil? Het zijn vragen waar té veel mensen binnen de overheid die een website beheren of willen bouwen, niet het antwoord op weten. Zeker gezien alle kaders en wetten waar we rekening mee moeten houden – voor veiligheid, toegankelijkheid en archivering bijvoorbeeld – is het van groot belang dat zij het wél weten. Dat ze precies begrijpen wat er van ze verwacht wordt.

Bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn we nu een proces gestart om dat verhaal te vertellen. Om iedereen die het moet weten, ervan te doordringen wat hun online verantwoordelijkheden zijn. Dat een domein meer dan slechts een communicatiekanaal is.

Samen met vijf stagiairs en online adviseurs van Directie Communicatie heb ik in een maand tijd de basis van dit proces ontwikkeld. We hebben uitgewerkt wat er moet gebeuren in die 3 verschillende fasen van de website: het opstarten, het online zijn en het afbouwen. En dat raamwerk hebben we inmiddels verwerkt tot kant en klare  checklists voor collega’s, die we door middel van een campagne onder de aandacht gaan brengen binnen de organisatie. Met geautomatiseerde 'tooling' willen we tot slot controleren of de websites in beheer bij VWS ook daadwerkelijk aan alle regels voldoen.

""

Tijdbesparing

Het is even een investering. Maar die gaat er, verwacht ik, wel voor zorgen dat we straks juist veel mínder tijd kwijt zijn om collega’s achter de broek te zitten die een website beheren. Om ze 1 voor 1 uit te leggen hoe het precies zit met de verschillende kaders en wetten waar we rekening mee moeten houden.

We hoeven toch niet altijd te vergaderen om iets uit te leggen. Door bij vragen meteen te kunnen verwijzen naar checklists, verlichten we het werk voor collega's als online adviseurs en CISO teams aanzienlijk.

Daarbij is het zeker niet de bedoeling dat we nu alleen nog maar via documenten willen communiceren. De checklists zijn behoorlijk pittig, want het is nu eenmaal ingewikkelde materie. We sporen er collega’s juíst ook op aan om contact op te nemen met onze online adviseurs. Maar dan wel met de juiste vragen.  De vragen waar een online adviseur voor bedoeld is.

Deze club online adviseurs is ondergebracht bij de directie Communicatie. Zij ondersteunen collega’s die een website beheren, of een website willen laten bouwen. Ze kunnen bijvoorbeeld vertellen waar een website aan moet voldoen en hoe de site daaraan kán voldoen. En ze kunnen helpen te voorspellen welke gevolgen een keuze heeft. Wat het bijvoorbeeld betekent om de website door een externe partij te laten bouwen.

In mijn security-keten spelen deze online adviseurs daarmee een cruciale rol. De checklists leggen in de basis uit wat de ‘online presence’ omvat, de adviseurs zetten de puntjes op de i.

Cybercriminelen afschrikken

Onze ambitie is dat we over 3 jaar 90% van onze pagina’s op orde hebben. En dat cybercriminelen tegen die tijd, als ze onze domeinen onder de loep nemen, meteen begrijpen dat ze beter verder kunnen kijken. Want als we maar genoeg sloten op onze sites hebben, schrikken we criminele organisaties af. Het zou mooi zijn als dat straks voor de gehele overheid geldt. Dat criminelen zich gaan realiseren dat er bij overheidssites niets te halen valt.

En om dat te doen, moeten we vooral niet allemaal zelf het wiel uitvinden. De checklists van VWS en zelfs de geautomatiseerde controletools die we nu ontwikkelen, zijn zonder veel gedoe ook voor andere overheden herbruikbaar. Zo kan de technische 'tooling' van het project OpenKAT gevolgd worden.

Laten we gebruik maken van elkaars werkwijzen en inspanningen.


Tip 1: toegankelijkheid is óók veiligheid

Oscar Koeroo: ‘Als overheid zijn we aan onze stand verplicht om onze sites zo toegankelijk en eenduidig mogelijk aan te bieden. Oók om onze burgers te beschermen. Als we onze informatie slecht aanbieden, of niet duidelijk maken wat een overheidssite is, vergroten we de kans dat burgers de weg kwijt raken. Dat ze op andere sites hun informatie gaan zoeken. En zo creëren we ruimte voor criminele partijen om daar misbruik van te maken.’


Tip 2: laat collega’s en leveranciers nadenken over incidentmanagement

Oscar Koeroo: ‘Een belangrijk onderdeel van een veilige website is incidentmanagement. Wat doen we als de infrastructuur stuk is? Wat als er een kwetsbaarheid wordt gevonden? Wie bel je dan, om 1 uur ’s nachts uit zijn of haar bed. Voor de beheerders van PRO-sites zijn daar op zich duidelijke afspraken over. Daar is altijd iemand beschikbaar. Zowel binnen onze directies, als bij onze leveranciers is dit vaak niet geregeld. Vooral bij zulke externe partijen is het belangrijk dat er scherpe wat-als-vragen worden gesteld.’


Tip 3: Benut de mogelijkheden van de platforms van de overheid

Oscar Koeroo: ‘Het is niet altijd verstandig om een externe partij in te huren voor de bouw en het beheer van een website. Deze leveranciers hebben lang niet altijd kaas gegeten van de specifieke regels die voor de overheid gelden. En een platform als PRO van DPC heeft een heel team beschikbaar dat precies weet wat er aan regels gevraagd wordt.’ 


Oscar Koeroo is overkoepelend Chief Information Security Officer (CISO) van Ministerie van Volksgezondheid, Welzijn en Sport.

Lees ook:

Documentatie-type