image

Rekenkamer: beveiligingsrisico's door thuiswerken bij overheid

maandag 2 november 2020, 09:40 door Redactie, 16 reacties

De manier waarop ambtenaren van de Rijksoverheid thuiswerken brengt beveiligingsrisico's met zich mee. Zo worden WhatsApp en privé-e-mail tegen de regels in gebruikt voor het uitwisselen van vertrouwelijke informatie. Dat laat de Algemene Rekenkamer op basis van eigen onderzoek weten.

Voor het onderzoek werden ambtenaren bij ministeries en hoge colleges van staat via een online enquête ondervraagd. Ook vonden er interviews plaats en keek de Rekenkamer naar documenten om te onderzoeken hoe ambtenaren ict-middelen gebruiken, voor welke doelen, welke beveiligingsrisico’s dit oplevert en hoe de organisaties hun beleid hierover communiceren.

Nadat de coronamaatregelen in maart werden aangekondigd moesten zo'n 175.000 ambtenaren van ministeries en hoge colleges van staat van de ene op de andere dag thuiswerken. Volgens de Rekenkamer gaat dat over het algemeen goed, maar worden ict-middelen soms op een manier gebruikt die risico's voor de informatiebeveiliging met zich meebrengt. Ook vinden ambtenaren werkafspraken niet altijd uitvoerbaar en zijn ambtenaren niet altijd bekend met de voorschriften.

Gebruikte ict-middelen

Van de deelnemers aan het onderzoek zegt 69 procent het programma Cisco Webex voor online overleg te gebruiken. Verder worden Skype for business en Microsoft Teams het meest gebruikt. Berichtenapps worden vooral voor informele communicatie ingezet. Zeven procent van de respondenten die WhatsApp gebruikt geeft echter aan de app te hebben gebruikt voor vertrouwelijke werkinhoudelijke communicatie. Iets wat volgens de regels niet is toegestaan.

Microsoft Teams en chatapp Signal worden voor zowel vertrouwelijke als nietvertrouwelijke werkinhoudelijke informatie ingezet. De Rekenkamer meldt dat privé-e-mail in de praktijk regelmatig gebruikt wordt voor het uitwisselen van (vertrouwelijke) werkinhoudelijke informatie. Ook dit is niet toegestaan volgens de richtlijnen.

Twintig procent van de respondent vindt dat de werkafspraken niet altijd uitvoerbaar zijn. Zo blijkt dat ambtenaren aan de ene kant verplicht zijn de beveiligde thuiswerkomgeving te gebruiken (Citrix), maar aan de andere kant worden geadviseerd om in hun privé-omgeving te videobellen. "Dit videobellen in de privé-omgeving brengt risico’s met zich mee. Applicaties voor videobellen slaan soms standaard de chatberichten uit een videogesprek op in het gebruikte apparaat. Informatie uit deze berichten kan dus terecht komen op privé-ict van ambtenaren, waar de werkgever geen invloed heeft op het beveiligingsniveau", aldus de rekenkamer.

Beveiligingsrisico's

Door het onveilig gebruik van ict-middelen kan informatie in handen van onbevoegden komen, zo waarschuwt de Rekenkamer. Ook kunnen commerciële partijen inzicht krijgen in persoonlijke gegevens van gebruikers. Hierbij wordt het gebruik van berichtenapps op de mobiele telefoon als grootste risico gezien. Verder blijkt dat hogere ambtenaren en bewindspersonen vaak niet de voorgeschreven it-middelen gebruiken.

"Populaire berichtenapps, tablets en smartphones hebben bij hoge ambtenaren en bewindspersonen vaak de voorkeur boven de sterk beveiligde middelen omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn", stelt de Rekenkamer, die tot de conclusie komt dat er binnen de Rijksoverheid nog stappen gezet kunnen worden naar veiliger gebruik van berichtenapps en mobiele telefoons.

Image

Reacties (16)
02-11-2020, 09:47 door Anoniem
Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
02-11-2020, 10:21 door Anoniem
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
02-11-2020, 10:36 door Anoniem
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Want niet-ambtenaren zijn zooo beveiligingsbewust...
02-11-2020, 10:42 door Anoniem
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ik ben bang dat het niet specifiek voor ambtenaren geldt. Ik denk dat de gemiddelde thuiswerker hiermee zit en dat is dus een probleem ook voor bedrijven.
02-11-2020, 11:14 door Anoniem
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.
02-11-2020, 12:27 door Anoniem
Met dank aan de sleepwet kan die data zomaar in handen vallen (lees: vrijwillig en gratis afgestaan door onze overheid) van buitenlandse veiligheidsdiensten. Dit omdat eventueel vier straten verderop iemand zich bezig houdt met criminele praktijken.

Gelukkig maar dat al die diensten betrouwbaar zijn en die data keurig netjes wissen.
02-11-2020, 12:54 door Anoniem
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Tja, de statistieken zijn niet zo best wat overheid en informatiebeveiliging betreft. Iedere ambtenaar hoeft niet over dezelfde kam, maar desondanks is het niet best. Kan ook niet, als je niet bereid bent om salarissen te betalen die in de commerciële markt gebruikelijk zijn krijg je ook niet de goede mensen. Al zijn er kortgeleden best aardige initiatieven opgestart om het allemaal wat veiliger te maken. Maar we zijn er nog lang niet.
02-11-2020, 13:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.

Je hoort WhatsApp als ambtenaar helemaal niet te gebruikn. Punt.
02-11-2020, 13:27 door Erik van Straten
Ik weet sowieso van 1 medische organisatie die recentelijk OWA (Outlook Web Access) voor het hele personeel heeft opengezet. Zonder 2FA, en zonder het personeel erop te wijzen dat hun interne wachtwoord (zoals "12345") wellicht intern net acceptabel is, maar ondeugdelijk is voor internettoegang.
02-11-2020, 13:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.

Je bent naïef als je denkt dat de buitenlandse intel de systemen van de rijksoverheid niet heeft gecompromitteerd.
02-11-2020, 13:50 door Anoniem
Het is zo simpel:
een thuiswerkPC of netwerkje moet gewoon via een VPN (liefst m.b.v. een door de ICT-afdeling voorgeconfigureerd betrouwbaar VPN-routertje) via internet worden verbonden met het beveiligde bedrijfssysteem.
Kan je thuis veilig alles doen wat op kantoor ook kan.
02-11-2020, 14:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.

Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.

Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.
02-11-2020, 17:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.

Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.

Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.

Zeker zelf een ambtenaar?
Als zeker 7% van die ambtenaren zich niet aan de voorschriften houdt, dan moeten zij weg. Het gaat niet om een roodlichtje of een richtingaanwijzer.... als je dat wil vergelijken met verkeersovertredingkjes dan zit er iets niet goed in je verwantwoordelijkheidsbesef.

Daarnaast: de ambtenarij wordt voordturend beschermd: kijk eens bij de belastingdienst.
03-11-2020, 09:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Tsja... zelfs voor openbare gegevens is watshap niet geschikt, dus... tsja...
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!

Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.

Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?

De Overheid moet eens ophouden met meten met twee maten.

Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.

Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.

Zeker zelf een ambtenaar?
Als zeker 7% van die ambtenaren zich niet aan de voorschriften houdt, dan moeten zij weg. Het gaat niet om een roodlichtje of een richtingaanwijzer.... als je dat wil vergelijken met verkeersovertredingkjes dan zit er iets niet goed in je verwantwoordelijkheidsbesef.

Daarnaast: de ambtenarij wordt voordturend beschermd: kijk eens bij de belastingdienst.

zo zo zo

als je met een vinger naar een ander wijst, dan wijzen er hoeveel naar je zelf?

je bent naief om te denken dat hardere straffen de oplossing zullen zijn. ze strelen enkel en alleen maar je oermens onderbuik gevoelens.
03-11-2020, 15:35 door Anoniem
Los van de redelijk emotioneel wordende discussie t.a.v. de motivaties van ambtenaren, zeer interessante rapport van de rekenkamer. Puik werk! Ik vraag me af waarom de overheid niet al in Maart heeft gekozen voor één unforme, alomvattende tool, zoals Wickr, Wire, Signal etc.

Er zijn hier toch centrale organen SSC-ICT, Logius, AIVD die hierin kunnen adviseren en op de hoogte zijn.

Momenteel lopen we achter de feiten aan. Hier kan op geanticipeerd worden.
04-11-2020, 11:50 door Anoniem
Door Anoniem:

zo zo zo

als je met een vinger naar een ander wijst, dan wijzen er hoeveel naar je zelf?

je bent naief om te denken dat hardere straffen de oplossing zullen zijn. ze strelen enkel en alleen maar je oermens onderbuik gevoelens.
Klopt helemaal!
Ik ken veel mensen, die nooit een fout maken, maar ik ken veel meer mensen, die gewoon werken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.