Informatiebeveiliging bij banken en overheid: meer overeenkomsten dan verschillen!

Toen ik een jaar geleden begon bij een grote Nederlandse bank, was ik onder de indruk van de beveiligingsmaatregelen die daar getroffen zijn. Ik had daarvoor vooral opdrachten in de publieke sector uitgevoerd en daar waren veel van de bij de bank gebruikelijke maatregelen zo goed als afwezig. Eén reactie op mijn verbazing is me bijgebleven: “Dat is toch logisch, wij zijn een bank, notabene!” Maar wijkt een bank dan zo volledig af van een overheidsorgaan dat dit verschil in maatregelen volkomen logisch is? Ik geef drie redenen waarom dat naar mijn mening niet zo is.

Vuurtoren

1. Publiek vertrouwen is voor de overheid net zo belangrijk als voor een bank

Dat publiek vertrouwen voor banken van elementair belang is, betwijfelt niemand. Dit is rondom de economische crisis uitgebreid besproken in vele artikelen en nieuwsprogramma’s. Mijn opvatting is dat overheden minimaal in dezelfde mate naar publiek vertrouwen moeten streven. Het is helemaal niet nodig dat men op feestjes over overheden sneert alsof het minderwaardige organisaties zijn; het is voor een stabiele toekomst zelfs noodzakelijk dat de burger vertrouwen houdt in de overheid. Zonder overheidsvertrouwen krijg je op de lange termijn chaos en wanorde, al dan niet aangewakkerd door mensen die daarop inspelen.

2. Banken beschikken net zo als overheden over grote hoeveelheden gevoelige informatie en dienstverlening

De financiële gegevens van personen en bedrijven (inclusief daarbij behorende bestedingspatronen of investeringsposities) vormen bij banken de meest bekende gevoelige informatie. Maar er is meer: denk aan beveiligingssleutels voor het betaalverkeer en PIN-passen of hoe de mobiele apps met de bank communiceren. Het zou voor banken zeer schadelijk zijn als dergelijke informatie in verkeerde handen valt, ongewenst gewijzigd wordt of klantdiensten niet beschikbaar zijn. Voor overheden is dit echter niet veel anders.

Allereerst is er natuurlijk de Basisregistratie Personen, de meest bekende verzameling persoonsgegevens. Ook de meer maatschappelijke kant van gemeenten, zoals informatie over suitkeringen vanuit de bijstand of Wmo*, wordt bij voorkeur vertrouwelijk gehouden. Minder bekend, maar zeker zo belangrijk, zijn vertrouwelijke voornemens over bestemmingswijzigingen of grote ontwikkelingsplannen. Deze worden vertrouwelijk gehouden om oneerlijke investeringen of handel met voorkennis te voorkomen. Dan zijn er ook nog de toenemende hoeveelheid uitwisselingen, die beveiligd (vertrouwelijk en integer) moeten verlopen. Ook bij de overheid accepteert de burger steeds minder het niet beschikbaar zijn van diensten. Kortom, wederom genoeg overeenkomsten op dit vlak.

3. Informatiebeveiliging is sectoroverstijgend

Elke sector heeft sectorspecifieke uitdagingen en kenmerken. Dit is niet anders voor banken en overheden. Informatiebeveiliging moet altijd op passende wijze inspelen op de relevante risico’s. Dit neemt echter niet weg dat de basis van informatiebeveiliging voor alle sectoren hetzelfde is. Voor je voornaamste risico’s moet je dus maximaal in control zijn op je processen en systemen. Standaard aanpakken als ‘dual control’ (het ‘4 ogen principe’) en ‘split knowledge’ (spreiding van de meest gevoelige kennis over meerdere personen) behoren tot de basishulpmiddelen. Risicoanalyses horen uitgevoerd en herhaald te worden, om steeds zaken bij te stellen. Aan awareness moet je werken, het komt je niet aanwaaien. En zo kan ik nog even doorgaan. Al deze zaken gelden overigens voor alle sectoren.

Conclusie: sectoren kunnen leren van elkaar

Mijn conclusie is duidelijk: banken en overheden zijn helemaal niet zo verschillend als sommige mensen op het eerste gezicht (willen?) denken. Daarom zouden veel overheden op informatiebeveiligingsgebied kunnen leren van banken. Niet om een één-op-één kopie te worden qua zware beveiligingsmaatregelen, maar op zijn minst om inspiratie op te doen en de zaken waar nodig en mogelijk beter te kunnen regelen. De positie van de overheid en de informatie waarover zij beschikt, verdient het!

Naast het kunnen leren, moet je ook wíllen leren van andere sectoren. Mochten de genoemde argumenten nog niet voldoende aanleiding zijn, dan heb ik een interessant filmpje gevonden ter bevordering van die wens om te leren van anderen. Want goede ideeën ontstaan waar denkwijzen elkaar ontmoeten.

Ik ga graag het gesprek aan om te zoeken naar bruikbare inzichten en kruisbestuiving te bevorderen. U ook?

---

* Wmo = Wet maatschappelijke ondersteuning.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten