SUWInet: ongeoorloofde toegang tot een veilig systeem

Onveiligheid SUWInet onderwerp van gesprek – hoe veilig is dit informatieplatform eigenlijk?

Afgelopen weken was de (on)veiligheid van het SUWInet onderwerp van gesprek. Het was niet de eerste keer dat de veiligheid van het informatieplatform voor overheidsinstellingen als UWV, SVB en gemeentelijke sociale diensten ter discussie staat. Via SUWInet kunnen deze overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en met elkaar delen. Met het doel ons Nederlanders beter te helpen zodat we niet iedere keer overal dezelfde informatie hoeven af te geven.

Suwinet uitleg

Commissie Bescherming Persoonsgegevens trekt aan de bel

Dit informatieplatform bevat dus veel persoonlijke informatie. Logisch dat de veiligheid van dit systeem kritisch beoordeeld wordt. Zo trok de Commissie Bescherming Persoonsgegevens (CPB) enige tijd geleden al aan de bel. Staatssecretaris Klijnsma van Sociale Zaken & Werkgelegenheid riep gemeenten op de beveiliging van SUWInet nu eindelijk eens op orde te brengen. En ook de Vereniging van Nederlandse Gemeenten (VNG) maakt zich hard voor een gemeentebrede informatiebeveiliging met specifieke aandacht voor de rol van SUWInet. Menigeen schreeuwt om betere beveiliging van het systeem. De technologie. Maar dat is niet het probleem. De onveiligheid wordt niet veroorzaakt door de techniek. Ongeoorloofde toegang is het echte probleem.

Investeringen in technische maatregelen

De beheerder van SUWInet, het Bureau Keteninformatisering Werk & Inkomen (BKWI) heeft veel geïnvesteerd in technische maatregelen die nodig zijn voor gedegen informatiebeveiliging. Elke vorm van informatie kan afgeschermd worden. Het autorisatieniveau bepaalt welke persoon toegang krijgt tot welke informatie. Doelbinding is daarbij het motto.

Het BKWI is slechts beheerder van SUWInet. Per (nieuwe) groep gebruikers zoals een gemeente, UWV-instelling of Rijksdienst voor het Wegverkeer (RDW) wordt een hoofdgebruiker bepaald. Deze hoofdgebruiker krijgt een aantal rechten. Vervolgens is de hoofdgebruiker verantwoordelijk voor wie binnen zijn of haar instelling toegang krijgt tot welke informatie. Bijvoorbeeld de toegang tot SUWInet Inkijk, het onderdeel van SUWInet waar nu zoveel om te doen is.

Wie mag er wel en geen gebruikmaken van SUWInet

SuWInet Sogeti logoDaar gaat het meestal mis. De hoofdgebruiker geeft gebruikers teveel rechten. Of geeft rechten aan ambtenaren die helemaal geen gebruik mogen maken van SUWInet. Het komt ook voor dat het helemaal niet duidelijk is wie de hoofdgebruiker is. De ICT-beheerder of een groep ICT-beheerders is soms zelfs in staat rechten uit te delen. Van deze ICT-beheerders mag je niet verwachten dat zij in staat zijn te beoordelen of toegang tot informatie past bij de taken en verantwoordelijkheden van desbetreffende ambtenaren. Wie denkt na of iemand uberhaupt toegang mag hebben? Wie ziet erop toe, dat regelmatig getoetst wordt of het nog steeds nodig is dat een of meerdere ambtenaren toegang blijven houden tot bepaalde informatie? Het is tenslotte ook wel heel verleidelijk om collega’s toegang te geven tot SUWInet. Er staat immers zoveel informatie in! Allemaal waar. Maar niet alle informatie is bedoeld voor iedere ambtenaar. En zeker niet als er geen werkrelatie ligt tussen de gebruiker en de burger of ondernemer over wie hij of zij informatie opvraagt.

Hoe ambtenaren meer bewust te maken van de noodzaak van informatiebeveiliging

Kortom, alle tumult rondom de veiligheid van SUWInet zit vooral in het gebrek aan besef. Of anders gezegd, er is sprake van wat we met een mooi woord noemen informatiebeveiligings-bewusteloosheid. Zorg ervoor, dat ambtenaren meer bewust worden van het toekennen van rechten aan de juiste personen. Leg uit, licht toe, geef voorbeelden en straf zo nodig. Neem hoe dan ook maatregelen waarmee bewusteloosheid omslaat naar bewustwording. En zorg voor regelmatige controle. Het BKWI heeft daarvoor meer dan voldoende rapportagemogelijkheden. Geen enkel technisch goed beveiligd systeem kan op tegen een slecht autorisatieproces.

Vanaf september worden alle gemeenten getoetst op zeven beveiligingsnormelementen van de SUWIwet. Of een gemeente slaagt, hangt wat mij betreft vooral af van een gedegen autorisatieproces. Anders blijft dat beperkt tot papieren compliancy. En zal het niet de laatste keer zijn dat de (on)veiligheid van SUWInet in het geding is.

Is uw informatie beveiliging op orde?

Wilt u meer weten over informatiebeveiliging? Lees er meer over op onze Identity en Access management pagina of stel uw vraag via onderstaande contactgegevens.