Veiligheid en privacy: een illusie
Digitale veiligheid en privacy hebben om de zoveel tijd weer hun hype. We kennen allemaal de paspoortaffaire, de OV-Chipkaart en het EPD (Elektronisch Patiënten Dossier). Het spreekt voor zich dat onze gegevens netjes beheerd dienen te worden. Mijn buurman hoeft niet te weten wat ik allemaal mankeer. Maar we moeten ook wel realistisch zijn, want Big Brother Google heeft grote ogen.
Door: Hans van Rooij
Stel, je hebt last van aambeien en je Googlet naar een passende medicijn. Je surfgedrag wordt vastgelegd en verkocht aan de hoogste bieder. We zijn ons er niet van bewust, maar strooien op deze manier zélf met privacygevoelige informatie.
Papiertje
Veiligheid en beveiliging is een ongrijpbaar iets. ’s Avonds gaan de rolluiken van onze villa’s naar beneden en het alarm erop. Op de oprit brandt het licht de hele nacht en een bewegingsmelder activeert de camera die we hoog tegen de gevel gemonteerd hebben voor het geval iemand het in zijn hoofd haalt de auto even te lenen. Dat is de normaalste zaak van de wereld. Maar pasjes met pincodes vinden we wel lastig. En als ik elke week van mijn Security Officer mijn wachtwoord op het werk moet wijzigen, dan schrijf ik dat liever op een papiertje dat ik onder mijn toetsenbord leg, dat vindt toch niemand…?
Veiligheid, privacy en Verzuimsystemen
Maar wat heeft dat eigenlijk allemaal met verzuimsystemen te maken? Wat mij betreft heel erg veel. Want geen beveiligingscertificaat, autorisatieprocedure, verzuimaudit of CBP-handboek is opgewassen tegen een gebrek aan discipline, onwetende gebruikers, loslippige medewerkers of openstaande deuren. Om het niet al te ingewikkeld te maken, zo maar een paar voorbeelden:
Voorbeeld 1
Elk professioneel verzuimsysteem heeft een aparte module voor de bedrijfsarts waarin hij medische gegevens kan opslaan. Door het protocolleren van autorisaties kan alleen een persoon die bedrijfsarts is deze medische gegevens zien.
Maar de hamvraag is natuurlijk wie deze autorisaties uitdeelt? De bedrijfsarts doet dat echt niet zelf. In het meest gunstige geval heeft de leverancier van het systeem een procedure waardoor het op locatie niet mogelijk is om deze rol toe te bedelen, maar vaak is dit niet het geval.
Als diegene, die de autorisaties beheert, bij de organisatie zelf werkt en van zijn leidinggevende de opdracht krijgt om een overzicht van de zieke medewerkers te maken met de reden van ziekte en de interventieverslagen, dan is het maar de vraag of de functioneel beheerder dit kan weigeren.
Voorbeeld 2
De leverancier heeft een sluitende procedure voor de beveiliging van de medische gegevens in zijn systeem gebouwd en levert het systeem vol trots aan een verzuimbureau. Het verzuimbureau richt het systeem in en gaat aan de slag. Casemanagers registreren in de schermen bedoeld voor de gespreksverslagen netjes wat wordt besproken en volgen de gesprekken keurig op.
Helaas blijken deze casemanagers wel eens over de ‘privacyschreef’ te gaan: ze stellen medische vragen of registreren medische antwoorden in de vrije velden. En daar gaat het natuurlijk mis: een computersysteem kan niet lezen. Dus wat je ook opschrijft, de computer slaat de gegevens op en verspreidt zo medische informatie onder alle non-medische gebruikers zoals bijvoorbeeld leidinggevenden.
In deze twee voorbeelden treft de leverancier geen blaam. Tenminste, ik heb nog niet gehoord dat Ferrari een bon heeft gekregen omdat een klant 250 kilometer per uur reed terwijl 100 kilometer per uur was toegestaan.
Elke week gratis de beste HR-tips?
Meld je aan voor onze wekelijkse tip en ontvang:
✓ Handige tips waarmee je je werk 5 x sneller kunt doen
✓ Best practises van de afgelopen 10 jaar
✓ Handige video’s over alles wat met personeel te maken heeft
✓ Onmisbare informatie en actuele ontwikkelingen
✓ Als eerste toegang tot onze workshops
Hackerswalhalla
Weer terug naar veiligheid: applicaties worden gemaakt in programmeertalen als .Net, Java en php Daarbij maakt men veelvuldig gebruik van beschikbare templates. Zo hoeft men niet steeds opnieuw het wiel uit te vinden. Dat houdt de ontwikkeling van nieuwe systemen betaalbaar en kost minder tijd.
Maar… dit zijn bij uitstek bronnen die gevoelig zijn voor hackers. En heb je als hacker eenmaal een template gehacked, dan kun je meteen bij het merendeel van de toepassingen die op dit template gebaseerd zijn, ‘binnenwandelen’. Een waar hackerswalhalla!
De afgelopen maanden werden we opgeschrikt door berichten dat onze gegevens massaal op straat lagen. De illusie van digitale veiligheid lag volledig aan diggelen. Het begon met de DigiNotar crisis, notabene een veiligheidscertificaat dat zelf zo lek bleek als een mandje. Corporate reus KPN was niet in staat om eenvoudige klantgegevens te beveiligen en zelfs het protectionistische Apple kreeg te maken met de wereldwijde besmetting van 600.000 computers. Beide partijen ontkenden ook nog eens in eerste instantie. En wat dacht u van Microsoft Browser Internet Explorer, dat nooit helemaal waterdicht is geweest, maar waar wel 90 procent van de BV Nederland gebruik van maakt!
Geen garanties
Als bedrijven met tientallen miljarden in kas al niet kunnen garanderen dat u veilig kunt werken of dat de privacy gegarandeerd is, tja… wat mag u dan verwachten van een gemiddeld MKB-bedrijf? Garanties op het waarborgen van privacy en 100 procent veilig? Dat is echt een illusie. Ik vind het zelfs arrogant om dit soort garanties te claimen onder het mom van “maar wij zijn gecertificeerd, dus bij ons zit het wel goed”. Of: “We hebben een verzuimaudit gedaan en we voldoen aan de eisen.”
Hoe hard is die claim? Ik speel even advocaat van de duivel: een audit is een momentopname en zegt vooral iets over of je je processen op orde hebt, niet of de mensen zich in de praktijk aan deze processen houden of hoe de praktijk er na de audit uitziet.
Ik lees geweldige specificaties van hard- en softwarebeveiligingsprotocollen, van de meest strikte autorisatieprocedures en atoomkelders waar servers staan te ratelen die met elkaar verbonden zijn met de snelheid van het licht. Waar je zonder irisscan en bewijs van goed gedrag niet eens op de bel mag drukken. Toch moet ik steeds denken aan die man die zijn wachtwoord onder zijn toetsenbord heeft liggen…
Maar wat dan wel? Als organisatie moet je zo goed mogelijk in kaart brengen welk beveiligingsniveau je wenst. Hierop kun je de aanbieders selecteren en vervolgens richt je de interne organisatie goed in. Daarna ga je de discipline van alle gebruikers flink opschroeven en dan… jezelf wapenen voor als het toch niet goed is gegaan…
