Rekenkamer: beveiligingsrisico's door thuiswerken bij overheid
De manier waarop ambtenaren van de Rijksoverheid thuiswerken brengt beveiligingsrisico's met zich mee. Zo worden WhatsApp en privé-e-mail tegen de regels in gebruikt voor het uitwisselen van vertrouwelijke informatie. Dat laat de Algemene Rekenkamer op basis van eigen onderzoek weten.
Voor het onderzoek werden ambtenaren bij ministeries en hoge colleges van staat via een online enquête ondervraagd. Ook vonden er interviews plaats en keek de Rekenkamer naar documenten om te onderzoeken hoe ambtenaren ict-middelen gebruiken, voor welke doelen, welke beveiligingsrisico’s dit oplevert en hoe de organisaties hun beleid hierover communiceren.
Nadat de coronamaatregelen in maart werden aangekondigd moesten zo'n 175.000 ambtenaren van ministeries en hoge colleges van staat van de ene op de andere dag thuiswerken. Volgens de Rekenkamer gaat dat over het algemeen goed, maar worden ict-middelen soms op een manier gebruikt die risico's voor de informatiebeveiliging met zich meebrengt. Ook vinden ambtenaren werkafspraken niet altijd uitvoerbaar en zijn ambtenaren niet altijd bekend met de voorschriften.
Gebruikte ict-middelen
Van de deelnemers aan het onderzoek zegt 69 procent het programma Cisco Webex voor online overleg te gebruiken. Verder worden Skype for business en Microsoft Teams het meest gebruikt. Berichtenapps worden vooral voor informele communicatie ingezet. Zeven procent van de respondenten die WhatsApp gebruikt geeft echter aan de app te hebben gebruikt voor vertrouwelijke werkinhoudelijke communicatie. Iets wat volgens de regels niet is toegestaan.
Microsoft Teams en chatapp Signal worden voor zowel vertrouwelijke als nietvertrouwelijke werkinhoudelijke informatie ingezet. De Rekenkamer meldt dat privé-e-mail in de praktijk regelmatig gebruikt wordt voor het uitwisselen van (vertrouwelijke) werkinhoudelijke informatie. Ook dit is niet toegestaan volgens de richtlijnen.
Twintig procent van de respondent vindt dat de werkafspraken niet altijd uitvoerbaar zijn. Zo blijkt dat ambtenaren aan de ene kant verplicht zijn de beveiligde thuiswerkomgeving te gebruiken (Citrix), maar aan de andere kant worden geadviseerd om in hun privé-omgeving te videobellen. "Dit videobellen in de privé-omgeving brengt risico’s met zich mee. Applicaties voor videobellen slaan soms standaard de chatberichten uit een videogesprek op in het gebruikte apparaat. Informatie uit deze berichten kan dus terecht komen op privé-ict van ambtenaren, waar de werkgever geen invloed heeft op het beveiligingsniveau", aldus de rekenkamer.
Beveiligingsrisico's
Door het onveilig gebruik van ict-middelen kan informatie in handen van onbevoegden komen, zo waarschuwt de Rekenkamer. Ook kunnen commerciële partijen inzicht krijgen in persoonlijke gegevens van gebruikers. Hierbij wordt het gebruik van berichtenapps op de mobiele telefoon als grootste risico gezien. Verder blijkt dat hogere ambtenaren en bewindspersonen vaak niet de voorgeschreven it-middelen gebruiken.
"Populaire berichtenapps, tablets en smartphones hebben bij hoge ambtenaren en bewindspersonen vaak de voorkeur boven de sterk beveiligde middelen omdat ze gemakkelijker, sneller en gebruiksvriendelijker zijn", stelt de Rekenkamer, die tot de conclusie komt dat er binnen de Rijksoverheid nog stappen gezet kunnen worden naar veiliger gebruik van berichtenapps en mobiele telefoons.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ik ben bang dat het niet specifiek voor ambtenaren geldt. Ik denk dat de gemiddelde thuiswerker hiermee zit en dat is dus een probleem ook voor bedrijven.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Gelukkig maar dat al die diensten betrouwbaar zijn en die data keurig netjes wissen.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Tja, de statistieken zijn niet zo best wat overheid en informatiebeveiliging betreft. Iedere ambtenaar hoeft niet over dezelfde kam, maar desondanks is het niet best. Kan ook niet, als je niet bereid bent om salarissen te betalen die in de commerciële markt gebruikelijk zijn krijg je ook niet de goede mensen. Al zijn er kortgeleden best aardige initiatieven opgestart om het allemaal wat veiliger te maken. Maar we zijn er nog lang niet.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Je hoort WhatsApp als ambtenaar helemaal niet te gebruikn. Punt.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Je bent naïef als je denkt dat de buitenlandse intel de systemen van de rijksoverheid niet heeft gecompromitteerd.
een thuiswerkPC of netwerkje moet gewoon via een VPN (liefst m.b.v. een door de ICT-afdeling voorgeconfigureerd betrouwbaar VPN-routertje) via internet worden verbonden met het beveiligde bedrijfssysteem.
Kan je thuis veilig alles doen wat op kantoor ook kan.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.
Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.
Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.
Zeker zelf een ambtenaar?
Als zeker 7% van die ambtenaren zich niet aan de voorschriften houdt, dan moeten zij weg. Het gaat niet om een roodlichtje of een richtingaanwijzer.... als je dat wil vergelijken met verkeersovertredingkjes dan zit er iets niet goed in je verwantwoordelijkheidsbesef.
Daarnaast: de ambtenarij wordt voordturend beschermd: kijk eens bij de belastingdienst.
Het geeft wel weer aan hoe het 'bewustzijn' mbt. informatiebeveiliging bij de ambtenaren is.
Maar ondertussen wel hard doordrammen dat we meer digitaal moeten!
Ih heb, als ambtenaar, een Nokia-dumb phone. Geen last van, dus. Vrij generaliserende opmerking overigens over 175.000 mensen.
Elke ambtenaar die Whatsapp of Prive-email gebruikt om vertrouwelijke informatie uit te wisselen, zou moeten worden ontslagen. Is niet immers de overheid er als de kippen bij om 'gewone mensen' aan te pakken als die iets onoirbaars doen?
De Overheid moet eens ophouden met meten met twee maten.
Precies! En iedereen die een keer door rood rijdt of zijn richtingaanwijzer onterecht niet aan zet moet zijn/ haar rijbewijs en auto inleveren. Enig idee wat jouw ideetje voor effect zou hebben op Nederlandse huishoudens, het aantal aangevraagde uitkeringen en de gedachte om ooit nog voor wat voor overheidsdienst dan ook te werken? Papa verzendt een keer een C3-geclassificeerd document en de familie kan de komende jaren op een houtje bijten.
Ja, ik zie ook wel dat bij de overheid veel zaken verbeterd kunnen worden op gebied van informatiebeveiliging en beveiligingsbewustzijn (net zoals in het bedrijfsleven), maar bedenk ook bij jezelf: hij die zonder zonde is werpe de eerste steen. Het wordt een ander verhaal bij structurele Hillary Clinton-achtige privé mailserveractiviteiten, maar de straffen die jij voorstaat tarten alles.
Zeker zelf een ambtenaar?
Als zeker 7% van die ambtenaren zich niet aan de voorschriften houdt, dan moeten zij weg. Het gaat niet om een roodlichtje of een richtingaanwijzer.... als je dat wil vergelijken met verkeersovertredingkjes dan zit er iets niet goed in je verwantwoordelijkheidsbesef.
Daarnaast: de ambtenarij wordt voordturend beschermd: kijk eens bij de belastingdienst.
zo zo zo
als je met een vinger naar een ander wijst, dan wijzen er hoeveel naar je zelf?
je bent naief om te denken dat hardere straffen de oplossing zullen zijn. ze strelen enkel en alleen maar je oermens onderbuik gevoelens.
Er zijn hier toch centrale organen SSC-ICT, Logius, AIVD die hierin kunnen adviseren en op de hoogte zijn.
Momenteel lopen we achter de feiten aan. Hier kan op geanticipeerd worden.
zo zo zo
als je met een vinger naar een ander wijst, dan wijzen er hoeveel naar je zelf?
je bent naief om te denken dat hardere straffen de oplossing zullen zijn. ze strelen enkel en alleen maar je oermens onderbuik gevoelens.
Ik ken veel mensen, die nooit een fout maken, maar ik ken veel meer mensen, die gewoon werken!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.