Norea logo

Datalek in RIVM-coronasite: 3 aandachtspunten voor organisaties

'Lek in RIVM-coronasite’, meldde de NOS afgelopen zaterdag. De door de NOS ingeschakelde beveiligingsexpert liet weten dat het heel eenvoudig was om data van andere mensen uit te lezen. Het bericht ging over het online-formulier ‘Infectieradar’ (infectieradar.nl, nu tijdelijk uit de lucht). Hiermee kunnen mensen doorgeven of ze de afgelopen week coronaklachten hebben gehad. Het formulier bevat persoonlijke en medische informatie. Los van de vraag hoe erg dit datalek precies is, zo’n elementaire fout draagt niet bij aan vertrouwen in de ICT die de overheid inzet bij de bestrijding van Covid19.

'Voorzitter Irene Vettewinkel van NOREA: ‘Fouten komen nu eenmaal voor. Waar het om gaat is dat je bij incidenten niet alleen prompt reageert en de acute problemen snel oplost, maar er ook de juiste lessen uit trekt'.

Fouten zijn nooit helemaal te vermijden, belangrijker dan het constateren van een misser is daarom de vraag wat een organisatie van zo’n incident leert. Het RIVM liet via een video-interview bij het NOS-bericht weten dat ‘dit incident aangeeft hoe belangrijk het is dat er goed getest wordt, voordat iets online gaat en hoe belangrijk het is dat privacygevoelige informatie ook daadwerkelijk vertrouwelijk blijft’. Het is positief dat het RIVM dit belang onderkent, en het is inderdaad aan te bevelen elk systeem voor het live gaan te testen, maar dat is niet genoeg.

Bij alle software-ontwikkelingstrajecten waar privacygevoelige gegevens in het geding zijn, of waar andere afbreukrisico’s voor de organisatie bestaan, zien wij de volgende drie cruciale aandachtspunten:

  1. Privacy en security opnemen in requirements. De organisatie moet al vanaf het prille begin van een project alert zijn op privacy en security, namelijk al bij het opstellen van de eisen waaraan het systeem moet voldoen, de requirements. Privacy en security zijn geen ‘features’ die achteraf eenvoudig zijn toe te voegen. De praktijk leert namelijk dat het onevenredig meer tijd en geld kost om een gebouwd systeem achteraf alsnog aan aanvullende requirements te laten voldoen.
  2. Security awareness bij ontwikkelaars. Cybersecurity en privacy staan bij softwareontwikkeling niet per definitie hoog op het prioriteitenlijstje. Voor een deel is dat een kwestie van bewustzijn, maar ook is in een ontwikkelteam niet altijd de juiste kennis en/of programmeerdiscipline aanwezig. Regelmatig blijken websites letterlijk kinderlijk eenvoudig te hacken door script kiddies.
  3. Testen voor live gaan. Hoe groot de tijdsdruk ook kan zijn, systemen mogen niet live gaan zonder grondig te zijn getest. Als dit vooraf expliciet als stap in het ontwikkeltraject wordt ingepland, hoeft dit geen vertraging te veroorzaken. Dergelijke testen betreffen zowel de functionaliteit als de techniek, waaronder penetratietesten, zeker bij internet-websites.

Tot slot: De hoogste leiding in een organisatie is eindverantwoordelijk, ook voor privacy en security. Van deze hoogste leiding wordt verwacht dat zij privacy en security uitdraagt!