Externe partijen en informatiebeveiliging – een lastige combinatie?

In een wereld waarin we met zijn allen, uiteraard ‘geholpen’ door corona, steeds meer digitaal werken is er (gelukkig) meer en meer aandacht voor privacy en informatiebeveiliging. Iedereen weet – of zou moeten weten? – dat Welkom123 geen sterk wachtwoord is, wat een phishingmail is en hoe je deze kunt herkennen, en dat het niet de bedoeling is om papieren met gevoelige gegevens op kantoor rond te laten slingeren. Waar echter nog niet genoeg aandacht voor is, in ieder geval in mijn optiek, is hoe met privacy en informatiebeveiliging om te gaan als het gaat om externe leveranciers, dienstverleners en/of inhuur.

Waar gaat het mis?

De meeste organisaties hebben inmiddels ingezien dat het nemen van maatregelen op het gebied van privacy en informatiebeveiliging onvermijdelijk is. De focus ligt hierbij echter vaak op de organisatie zelf, zonder verder te kijken naar externe leveranciers, dienstverleners, of inhuur. Om te duiden waarom dit een kwalijke zaak is zou ik een heel technisch verhaal af kunnen steken. Ik wil het echter vergelijken met iets wat meer tot de verbeelding spreekt: de beveiliging van je eigen huis.

Stel je voor dat je net flink geïnvesteerd hebt: een nieuw state of the art alarm, nieuwe sloten, camera’s en zelfs een rookgordijn (geen grapje, dit kan relatief goedkoop tegenwoordig!). Je denkt alle risico’s te hebben gemitigeerd, en met een veilig gevoel op pad te kunnen gaan. Echter heb je de sleutels en alarmcode uitgedeeld aan de monteur van de Cv-ketel, de schoonmaakster en de krantenbezorger. In principe niks mis mee, maar moet je dan niet wat afspraken maken met deze personen hoe hier veilig mee om te gaan? Lijkt mij wel.

Zo vaak zal dit niet foutgaan, toch?

Wel dus! Een aantal voorbeelden uit de praktijk zijn:

  • Gemeente Hof van Twente: Een externe systeembeheerder paste het wachtwoord van een beheerdersaccount aan naar Welkom2020; geen verstandige keuze. Nadat een maand later ook de firewall werd aangepast, was de beveiliging dermate aangetast dat hackers zijn ingebroken en 90 virtuele servers en alle back-ups hebben vernietigd. De dienstverlening van de gemeente heeft maanden nodig gehad om weer op gang te komen, en de schade is in de miljoenen gelopen.
  • Ticketmaster: Via een chatbot van een externe leverancier heeft kwaadaardige software (Magecart-walmare) het netwerk van Ticketmaster geïnfiltreerd. Daarbij zijn naar schatting gegevens van meer dan 9 miljoen Europese gebruikers buitgemaakt, waaronder creditcardgegevens inclusief cvv-codes. Ticketmaster heeft als gevolg een boete van ongeveer 1,4 miljoen euro opgelegd gekregen van de Britse privacytoezichthouder ICO.
  • Gemeente De Bilt: Beelden afkomstig van verkeerscamera’s waren zonder autorisaties toegankelijk via een webserver. Op de server stonden duizenden unieke beelden met kentekens, locaties en tijdstippen, die tevens te lang bewaard werden.

Wat kunnen we hiertegen doen?

De lijst mogelijke maatregelen is, bij wijze van spreken, eindeloos. Maar de naar mijn mening drie belangrijkste zijn:

  1. Maak schriftelijke afspraken: Leg vast welke taken en verantwoordelijkheden bij welke partij horen, en welk niveau van beveiliging je van elkaar verwacht. Denk hierbij aan 2-factor authenticatie, sterke wachtwoorden, logging op beheerdersaccounts, et cetera. De gangbare vorm om dergelijke afspraken vast te leggen is de zogeheten verwerkersovereenkomst.
  2. Vraag door!: “Ja, mijn IT-leverancier verzorgt de back-ups” is een uitspraak die ik ontelbaar vaak gehoord heb. Maar als je even doorvraagt blijkt bijna niemand te weten hoe de back-ups dan daadwerkelijk geregeld zijn. Hoe vaak draait de back-up? Hoe ver kan je terug in de tijd? Is de back-up versleuteld? En mocht het onverhoopt foutgaan, wordt er periodiek een test gedraaid om te zien of de back-up daadwerkelijk teruggezet kan worden? Als je enkel uitgaat van de leverancier en zelf niet doorvraagt, heb je nooit echt inzicht in hoe het er qua privacy en beveiliging voorstaat.
  3. Controleer autorisaties: Externen krijgen vaak (tijdelijk) toegang tot het netwerk en applicaties, omdat dit simpelweg nodig is om te kunnen werken. Niks mis mee natuurlijk, tot blijkt dat de account maanden nadat het werk is afgerond nog openstaat. Dergelijke ‘vergeten’ accounts zijn een makkelijke prooi voor criminelen om in het netwerk in te breken. Controleer daarom periodiek de autorisaties van alle systemen en applicaties.

En nu zijn we 100% veilig, toch?

Nee, helaas niet. Allereerst omdat 100% veilig (helaas) niet bestaat. Ten tweede, omdat ook na het maken van afspraken het nog steeds fout kan gaan. Zo had de gemeente De Bilt, welke we eerder hebben besproken, namelijk gewoon afspraken gemaakt en vastgelegd met de beheerder van de camera’s, bijvoorbeeld dat de beveiliging conform ISO 27001 zou zijn ingericht. Helaas bleek zoals wel vaker dat de papieren en de echte werkelijkheid niet overeenkwamen.

Dit is een waardevolle les, zowel voor de gemeente De Bilt als voor elke andere organisatie: enkel het maken van afspraken is niet voldoende. Laat je periodiek actief informeren door de externe partij over nieuwe ontwikkelingen, kwetsbaarheden en genomen en nog te nemen maatregelen. Je blijft immers als organisatie verantwoordelijk voor de beveiliging, ook als je een externe partij inschakelt. Maak daarnaast gebruik van je controlemaatregelen, die in de meeste verwerkersovereenkomsten zijn opgenomen, zoals een informatiebeveiligings-audit. Maar bovenal, blijf zelf scherp en oplettend!

Natuurlijk zijn er nog meer zaken om rekening mee te houden. Dit is immers een blog en geen compleet boek.
Wil je daarom meer weten, heb je vragen of zit je met een concreet probleem?
Neem dan gerust contact met ons op!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Dit is een verplicht veld
Dit is een verplicht veld
Geef een geldig e-mailadres op.