Het is de nachtmerrie van elk bedrijf: gegevens die in de verkeerde handen vallen na een datalek. De Belastingdienst doet er alles aan om dit zoveel mogelijk uit te sluiten. Of de oorzaak nu technisch is of een menselijke vergissing. Beheerders en gebruikers van systemen duidelijk maken wat de dreigingen kunnen zijn, speelt daarin een belangrijke rol.
Bewustzijn over beveiliging creëren
Patrick Borsoi
Adviseur informatiebeveiliging - Belastingdienst
Veilig opslaan van gegevens
‘Burgers en bedrijven zijn verplicht om gegevens af te staan aan de Belastingdienst. Mijn belangrijkste drijfveer is ervoor te zorgen dat die gegevens veilig worden opgeslagen’, vertelt Patrick Borsoi. Hij is adviseur informatiebeveiliging bij de Belastingdienst. ‘Dat er geen data op straat liggen. En dat mensen die er niets mee te maken hebben ook geen inzage krijgen. Dat is zó ontzettend belangrijk.’
Techniek en mens
Risico’s zijn er voortdurend, weet hij. Hackers die op de loer liggen, besmette software, onveilige verbindingen, medewerkers die per ongeluk op een phishing-link klikken. ‘Het liefst wil je 100% veiligheid bieden, maar dat bestaat niet. Maar we zetten wel in op optimale beveiliging. We focussen daarbij op de techniek én op de mens.’
Wereldwijd kijken
Het grootste deel van zijn werkdag is Patrick bezig met het uitvoeren van grondige risico-analyses. Van mainframe hosting, netwerken, tot Open Source Repository's. Hij houdt nauwlettend in de gaten wat er wereldwijd aan de hand is op het gebied van cybersecurity. ‘We lopen allerlei bedreigingen na en onderzoeken hoe kwetsbaar we ervoor zijn.' Dat doet Patricks team samen met de technische beheerteams, want daar zit de inhoudelijke kennis en daar worden eventuele lacunes verholpen.
Veilig met systemen omgaan
De analyses richten zich vooral op de techniek, maar daarmee kun je niet alle risico’s in de kiem smoren. ‘Er blijft altijd een deel over dat je niet in de techniek kunt regelen. Daarom zetten we in op beveiligingsbewustzijn, oftewel: awareness bij onze gebruikers. Mensen spelen een belangrijke rol in het beveiligen van informatie. Dat geldt zowel voor beheerders als voor gebruikers. Je moet aan de mensen achter de techniek duidelijk maken wat de dreiging voor hen betekent, voor hun team en hun systemen. En gebruikers moet je leren hoe ze veilig met de systemen omgaan.’
Nieuwe medewerkers
Voor alle nieuwe Belastingdienstmedewerkers is er daarom een introductieprogramma waarin ook verschillende aspecten van informatiebeveiliging worden besproken. ‘Neem een onderwerp als phishing. Je wilt dat medewerkers weten hoe ze daarmee moeten omgaan.’ Alle nieuwe collega’s volgen dit programma, en nieuwe medewerkers van de Directie Informatievoorziening doorlopen nog een extra introductiedag waar het team van Patrick een presentatie geeft over dit onderwerp.
Pluim
Sturen op gedrag is dus een belangrijke taak van Patrick en zijn team. Dat vraagt om het creëren van een veilig klimaat waarin medewerkers durven te vertellen dat ze een fout hebben gemaakt. ‘We maken de medewerkers duidelijk dat als ze zelf een fout maken, bijvoorbeeld als ze wél op een link hebben geklikt wat ze beter niet hadden kunnen doen, ze het niet moeten verzwijgen. Een fout maken kan gewoon gebeuren. We willen vooral bewerkstelligen dat mensen niet bang zijn om dat te melden. Een uitbrander krijgen ze niet, eerder een pluim. We zijn juist blij als mensen laten weten als er iets is misgegaan. Want dan kunnen we maatregelen treffen.’
Tech event @Rijksoverheid
Patrick heeft een presentatie over het zorgen voor het creëren van bewustzijn bij gebruikers gehouden tijdens het Tech event @Rijksoverheid #securityspecialisten #055 op 7 februari 2020. Op deze webpagina vind je een terugblik op deze middag.