Marieke is adviseur informatiebeveiliging bij Joint IV Commando (JIVC): het IT-bedrijf van het ministerie van Defensie. JIVC levert een breed scala aan ICT-dienstverlening aan alle defensieonderdelen. De adviseurs informatiebeveiliging dragen eraan bij dat ICT-gedreven materieel passend beveiligd is tegen de mogelijke dreigingen die op het systeem van invloed kunnen zijn. Denk aan wapensystemen in voertuigen, simulatoren en smartphones.
Werken aan digitale informatiebeveiliging van Defensie
Marieke
Adviseur informatiebeveiliging - Ministerie van Defensie
Risico inschatten
‘JIVC werkt voor alle defensieonderdelen. Zij vragen ons om advies over informatiebeveiligingsvraagstukken. We maken risico-inschattingen voor data in missiegebieden en hoe we voorkomen dat informatie in verkeerde handen valt.’ Maar ook helpt de afdeling in aanbestedingstrajecten van nieuw materieel. ‘Momenteel loopt er bijvoorbeeld een inkooptraject voor smartwatches. Alle militairen krijgen daarmee de mogelijkheid om hun gezondheid en lifestyle te monitoren. Zo wil Defensie de fysieke inzetbaarheid beter meten en vergroten. Ik maak dan een inschatting: welke securityrisico’s zijn verbonden aan het gebruik van zo’n smartwatch? Als de gegevens die met zo’n smartwatch worden vergaard op straat komen te liggen, welk risico loopt Defensie dan? Of wat betekent het voor de persoonlijke veiligheid of bijvoorbeeld imagoschade?’
‘Het uitgangspunt is dat gegevens nooit herleidbaar mogen zijn naar een specifieke militair’
Marieke
Rubricering
Vervolgens geeft Marieke de projectleider een normenkader mee voor de inkoop: de speelruimte waarbinnen hij zich mag bewegen. ‘Om zo’n normenkader vast te stellen, moeten we eerst heel veel vragen langs. Welke data zit er in zo’n smartwatch, en om wat voor data gaat het? Waar gaat de data heen, wie heeft er toegang tot de data? Is het departementaal vertrouwelijke informatie of wellicht zelfs staatsgeheim? Als je de rubricering van data helder hebt, weet je ook hoe zwaar de beveiliging moet zijn. Voor iedere rubricering geldt een andere matrix van maatregelen.’
Hartslag en BMI
In het geval van de smartwatches gaat het vooral om privacygevoelige informatie. ‘Het uitgangspunt is dat gegevens nooit herleidbaar mogen zijn naar een specifieke militair. Met een vergaarbak aan data over bijvoorbeeld hartslag of BMI kun je niet zoveel, maar als er een koppeling is met een persoon, wordt het ineens gevoelige informatie.’ Om de privacy te waarborgen, maakt Marieke een risicoanalyse. ‘We onderzoeken dan onder meer hoe we de veiligheid van ons personeel technisch kunnen afvangen en adviseren de projectleider een maatregelenset.’
Voordeur afsluiten
In het geval van zeer geheime data geldt een lange procedure tot accreditatie plaatsvindt. Marieke: ‘Hoe gevoeliger de informatie, hoe groter de risico’s voor Defensie. Dan nemen we ook meer fysieke of personele maatregelen. Soms is de 1e maatregel dat we een systeem in een afgesloten ruimte plaatsen, of data zelfs helemaal niet digitaliseren.’ Er worden allerlei ‘schillen’ om data heen gebouwd. Marieke: ‘Als je thuis waardevolle spullen hebt, begin je met goede sloten op de voordeur. Vervolgens berg je de spullen op in een afgesloten kast. Zo doen wij dat ook.’
Kat en muis
Nu zoveel materieel op ICT draait, neemt het belang van stevige informatiebeveiliging alleen maar toe, vertelt Marieke. ‘10 jaar geleden vormden vooral verloren usb-sticks of gestolen laptops een risico. Nu zijn daar cyberaanvallen bij gekomen. We worden dagelijks geconfronteerd met hackers die systemen willen kraken. Hacking is altijd een kat-en-muis-spel, het belangrijkste is dat je kwetsbaarheden snel ontdekt en patcht. Een andere afdeling binnen JIVC monitort 24/7 welke nieuwe aanvallen er zijn en hoe we ons daartegen kunnen beschermen.’
Als burger draag ik bij aan de veiligheid van militairen op missie
Marieke
Adviseur informatiebeveiliging
Ministerie van Defensie
Security awareness
Het creëren van security awareness maakt een belangrijk deel uit van het werk van Marieke. ‘Personeel moet zich bewust zijn welke risico’s ze lopen met data. In de persoonlijke sfeer betekent dat bijvoorbeeld dat je niet zomaar een bijlage opent. Ook op het werk en in de missiegebieden zijn er gevaren. Door je wifi-netwerk te laten aanstaan, ben je gemakkelijker te lokaliseren bijvoorbeeld. Op het gebied van informatiebeveiliging is en blijft de mens altijd de zwakste schakel.’