Rijksoverheid loopt risico’s door thuiswerken

ISM-05-2020-afbeelding-pb.jpg

Covid-19 heeft ook bij de Rijksoverheid geleid tot een forse stijging van het aantal thuiswerkers. Daarbij worden echter tools gebruikt die niet altijd veilig zijn. Dat concludeert de Algemene Rekenkamer in een recent verschenen rapport.

Zo gebruiken sommige ambtenaren WhatsApp en privé mail voor het uitwisselen van vertrouwelijke informatie. Daarmee houden zij zich niet aan de veiligheidsrichtlijnen van hun organisaties.

De corona-crisis bracht ook bij de rijksoverheid digitaal werken in een stroomversnelling. Vrijwel alle circa 175.000 ambtenaren van ministeries en Hoge Colleges van Staat werken sinds maart 2020 zoveel mogelijk vanuit huis. Dat vergde een enorm aanpassingsvermogen van ICT-medewerkers en ondersteunende diensten. De Algemene Rekenkamer geeft een compliment voor de manier waarop ministeries, CIO-Rijk, individuele ambtenaren en dienstverleners als SSC-ICT hebben gereageerd op de corona-crisis.

Wel of niet?

Uit een enquête die de Rekenkamer blijkt dat er behoefte is aan meer eenduidige en begrijpelijke communicatie over welke tools voor samenwerking zij kunnen gebruiken. Een vijfde van de respondenten zegt niet op de hoogte te zijn van de afspraken voor het gebruik van samenwerkings-ICT. 22% is niet tevreden over de communicatie van de afspraken. De meeste onduidelijkheid is er over het gebruik van berichten-apps zoals WhatsApp en online samenwerkingsplatforms zoals Microsoft Teams, Sharepoint of Dropbox.

Van de respondenten gebruikt 7% WhatsApp en 16% privé mail voor vertrouwelijke communicatie terwijl dit niet is toegestaan. Een oorzaak daarvan is dat ambtenaren soms niet weten welke applicaties ze wel of niet mogen gebruiken. Zo staat op de interne website van de rijksoverheid dat WhatsApp onder voorwaarden voor werk gebruikt mag worden. Maar bij meerdere ministeries is die berichtenapp nadrukkelijk niet toegestaan.

Voorbeeldfunctie

Onvrede over de mogelijkheden van aangeboden IT-applicaties is een belangrijke reden om tegen de afspraken in toch van niet-aanbevolen applicaties gebruik te maken. Ook bewindspersonen en hogere ambtenaren gebruiken niet altijd de voorgeschreven en beschikbare veilige IT-middelen. Dit terwijl hun voorbeeldfunctie van belang is voor het gebruik van veilige IT-applicaties in de rest van de organisatie. Bewindspersonen en topambtenaren geven soms de voorkeur aan populaire berichtenapps zoals WhatsApp, minder veilige tablets en smartphones omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn dan de sterk beveiligde faciliteiten.

Een voorbeeld hiervan kwam ook tijdens dit onderzoek aan het licht. Een van de ministeries richtte in het voorjaar van 2020 op verzoek van de Chief Information Officer van het Rijk (CIO-Rijk) een extra beveiligde omgeving voor videovergaderingen in. Deze omgeving werd aangeboden voor vertrouwelijke communicatie tussen bewindspersonen, maar van dit aanbod werd geen gebruik gemaakt.

Het onderzoek van de Algemene Rekenkamer toont aan dat binnen de rijksoverheid nog stappen gezet kunnen worden naar veiliger gebruik van berichtenapps en mobiele telefoons. Het gebruik daarvan wordt gezien als het grootste risico voor informatiebeveiliging en privacy. Door verkeerd of geen gebruik van aanbevolen ICT-voorzieningen kan informatie in handen van onbevoegden komen.

Meer over
Lees ook
Arctic Wolf wil Revelstoke overnemen om security operations te verbeteren

Arctic Wolf wil Revelstoke overnemen om security operations te verbeteren

Arctic Wolf wil Revelstoke overnemen, de maker van het eerste SOAR-platform (Security Orchestration, Automation and Response) dat is gebouwd op een Unified Data Layer (UDL). Het SOAR-platform van Revelstoke dient als verbindingselement tussen security en IT-oplossingen, waarbij ongelijksoortige data en -systemen met elkaar worden geïntegreerd.

DTC: Ernstige kwetsbaarheid in Cisco IOS XE image

DTC: Ernstige kwetsbaarheid in Cisco IOS XE image

Er is een ernstige kwetsbaarheid gevonden in Cisco IOS XE. De kwetsbaarheid is bekend onder het kenmerk CVE-2023-20198. Deze Cisco-kwetsbaarheid krijgt een CVSS score van 10.0 en het Nationaal Cyber Security Centrum (NCSC) beoordeelt de kwetsbaarheid als ‘High/High’. Dit betekent dat dit een zeer kritieke kwetsbaarheid is waarbij zowel de kans op1

Wireshark / SharkFest Europe november 2023 Brussel

Wireshark / SharkFest Europe november 2023 Brussel

SharkFest, Wireshark Developer and User Conference gelanceerd in 2008, is een reeks jaarlijkse educatieve conferenties georganiseerd in verschillende delen van de wereld en gericht op het delen van kennis, ervaring en best practices tussen de ontwikkelaars en gebruikersgemeenschappen van Wireshark.