Steeds vaker regelen burgers en bedrijven hun zaken met de overheid digitaal. Eenvoudig, snel, betrouwbaar en veilig. Logius vervult hierin een centrale rol. Ferenc-Jan van Zijp maakt samen met Theo van Diepen het informatiebeveiligingsbeleid bij Logius. Security staat voorop.
Security bij Logius op alle niveaus
Theo van Diepen
Chief Information Security Officer - Logius
Digitale overheid
Burgers en bedrijven regelen steeds vaker hun zaken met de overheid digitaal. Eenvoudig, snel, betrouwbaar en veilig. Logius vervult hierin een centrale rol. Met producten als DigiD, Digipoort en MijnOverheid helpt Logius met name overheidsorganisaties betere diensten te leveren, tegen minder kosten en snellere resultaten. Alle burgers, bedrijven en overheden in Nederland werken met deze producten. De absolute voorwaarde is natuurlijk dat dit veilig kan gebeuren. Daarom is security zeer belangrijk bij Logius. Daar zijn op vele plekken verschillende professionals mee bezig. Wij spraken met drie van hen om een beeld te geven over wat werken met security bij Logius bijzonder maakt.
Aantoonbaar goed
‘Bij Logius willen we alles zo goed en veilig mogelijk doen. Omdat we de Rijksoverheid zijn, moeten we aan kunnen tonen waarom we de dingen doen, die we doen. Want de Tweede Kamer kijkt namens de Nederlandse bevolking over onze schouder mee. Dat maakt het soms lastig maar ook leuk’. Aldus Ferenc-Jan van Zijp, coördinator Informatiebeveiliging DigiD bij Logius. 'Samen met de collega's van de afdeling Compliance & Riskmanagement helpen we ook bij IT- audits van de Auditdienst Rijk en de onderzoeken door de Algemene Rekenkamer. Daarbij worden de kwaliteit en veiligheid van onze processen en diensten gecontroleerd en beoordeeld of het beleid effectief is geweest.’
I-bewustzijn
‘Informatiebeveiliging is niet iets van een paar collega’s bij Logius alleen, we zijn allemaal met informatiebeveiliging bezig. Bewustwording creëren is een terugkerend onderdeel in mijn werk. Informatiebeveiliging zit onder meer in techniek, processen, procedures en audits. Maar ook in de mens. We moeten alert zijn op de gevaren die internet met zich meebrengt’, vertelt Theo van Diepen, security officer bij het team Infra van Logius. Zo’n 4 keer per jaar organiseert hij een I-bewustzijnsessie. ‘De laatste ging over wifi-netwerken. Wist je dat elke mobiele telefoon continu zoekt naar de netwerken waarvan hij ooit een keer gebruik heeft gemaakt? Dus ook naar de wifi van de camping in Frankrijk. Dat is een signaal wat door de lucht vliegt. Als je daar een kastje tussen zet, maakt je telefoon automatisch verbinding met dat kastje en kan al jouw verkeer afgeluisterd worden’.
Digitale pandabeer
‘Wij leveren DigiD aan honderden overheidsorganisaties. Zij moeten vervolgens wel zelf zorgen dat de veiligheid bij hen op orde is. Daarbij zijn wij op onze beurt ook weer ‘toezichthouder’ op de partijen die op DigiD zijn aangesloten, want er is wel een bepaald niveau van compliance afgesproken voordat je DigiD mag inzetten voor je website’, legt Ferenc-Jan uit. Een voorbeeld. Bij een gemeente in Nederland was een gegevenslek geconstateerd. Groot in het nieuws en de conclusie was gelijk dat DigiD onveilig was. Het had echter te maken met een onveilig content management systeem van die gemeentewebsite die toevallig ook gebruikmaakte van DigiD. Dat had dus niks te maken met de veiligheid van DigiD, maar met de veiligheid van de partijen die daar op aansluiten. ‘Tja, soms is DigiD net een digitale pandabeer, het is altijd nieuws’ lacht Theo.
Vertalen en verbinden
De security bij Logius is op alle niveaus aanwezig, van het diepste technische niveau naar een beleidsmatig politiek bestuurlijk niveau. Theo: ‘Wij zijn een regie- organisatie, dus we ‘maken’ niks’. ‘Maar je wil wel in control zijn en de juiste vragen kunnen stellen. Dus die-hard techneuten zoeken we niet per se, je moet in staat zijn om dingen te kunnen vertalen’. Zo legde Theo vorige week nog bij de CIO-Rijk uit hoe bepaalde implementaties op een netwerk gedaan zijn. ‘Dat is het leuke aan Logius, je bent de business met IT aan het verbinden.
In de voorhoede
‘Ons bestaansrecht is niet dat wij diensten hebben waarvan iedereen afhankelijk is, maar dat wij mensen in dienst hebben die zien dat er ergens iets mist, en daarop inspringen. DigiD had nooit bestaan zonder dat soort mensen. Mijn gevoel is dat ik ook echt iets bijdraag aan Nederland’ vertelt Theo enthousiast. Logius is ook innovatief. Ferenc-Jan: ‘op identificatiediensten is altijd vernieuwing gaande, het inloggen met gebruikersnaam en wachtwoord wordt in de toekomst steeds minder. Wij zijn alternatieven daarvoor aan het bedenken. Bijvoorbeeld het gebruik van smartphones hierbij. Logius, en daarmee Nederland, staat wereldwijd in de voorhoede hiervan. Dat is toch geweldig?’
