Van namen van jongeren die veroordeeld zijn voor een strafbaar feit tot informatie over een verblijfsvergunning: de Justitiële Informatiedienst (Justid) beveiligt justitiële informatie uit de jeugdketen, de strafrechtketen en de migratieketen. Kelly van der Woning, chief information security officer (CISO), adviseert haar organisatie over informatiebeveiligingsmaatregelen en ziet erop toe dat deze worden gerealiseerd.
Wat doet de CISO bij Justid om gevoelige data te beschermen?
Kelly van der Woning
Chief information security officer (CISO) - Justitiële Informatiedienst
CISO streeft naar juiste informatie op juiste moment
Het Openbaar Ministerie (OM), de politie en het Centraal Justitieel Incassobureau (CJIB), maar ook gemeenten en provincies en buitenlandse instanties zijn voorbeelden van organisaties die informatie ophalen bij Justid. ‘Je wilt dat de juiste informatie op het juiste moment voor de juiste persoon beschikbaar is’, benadrukt Kelly. En niet voor personen die er niets mee te maken hebben.
Georganiseerde criminaliteit weren
Dat betekent allereerst gewapend zijn voor dreigingen van buitenaf, bijvoorbeeld via hacks. ‘Neem de georganiseerde criminaliteit: die verhardt, zoals je in het nieuws leest. Criminelen hebben meer geld, meer middelen en meer mogelijkheden om bij bepaalde informatie te komen. Wij moeten dat zien te voorkomen.’ De dreiging kan ook van binnenuit komen, vertelt Kelly. ‘Bijvoorbeeld als er iemand uit de georganiseerde misdaad binnen de organisatie komt werken. Of iemand die spioneert. Ook dat moeten we niet hebben.’ Een serieus risico, weet ze als CISO. Onlangs bleek uit onderzoek van de Rijksrecherche dat het omkopen van ambtenaren voor criminelen een verdienmodel is geworden. Tussenpersonen gaan bewust op zoek naar ambtenaren die ze kunnen overhalen om gegevens door te spelen.
‘Belangrijk is dat je verdediging in lagen aanbrengt’
Gevaren inzichtelijk maken met risicoanalyse
Hoe kunnen risico’s worden ingedamd volgens de CISO van Justid? ‘Tijdens een risicoanalyse maken we inzichtelijk welke gevaren we lopen en welke maatregelen nodig zijn. Of het nu gaat om technische, procedurele of organisatorische maatregelen.’ Denk aan de implementatie van een Intrusion Detection System (IDS), waarmee ongeautoriseerde toegang tot een informatiesysteem of netwerk wordt opgespoord. ‘Belangrijk is dat je verdediging in lagen aanbrengt. Dat je bij wijze van spreken niet één deur hebt, maar wel tien waar kwaadwillenden doorheen moeten om bij je kroonjuwelen te komen.’
Als CISO werk je met veel partijen samen
Makkelijk is dat niet. Het dreigingslandschap is veranderlijk en de technologie ontwikkelt zich razendsnel. Hackers bedenken bijvoorbeeld steeds nieuwe en slimmere manieren om data te ontfutselen. Kelly: ’Je ziet dat aanvallers altijd een stap vooruitlopen op datgene waartegen je je wilt wapenen’. Wat het werk van de CISO extra complex maakt, is de samenwerking in ketens: er zijn zoveel partijen betrokken die een onderlinge afhankelijkheid kennen en gebruikmaken van dezelfde data. De keten is zo sterk als de zwakste schakel.
je maakt als CISO de vertaalslag
Kellyen haar collega’s geven advies, maar het management neemt uiteindelijk een besluit. Het blijft altijd een spanningsveld tussen het grote belang van en de beschikbare middelen voor cyberweerbaarheid. Een portie overtuigingskracht is geen overbodige luxe. Ook moet je als CISO de vertaalslag kunnen maken van een technisch verhaal naar een Jip-en-Janneke-uitleg. ‘Kun je goed overbrengen waarom maatregelen van belang zijn? Want security kost geld. Bovendien houdt security vaak weer een extra horde in, bijvoorbeeld in het geval van multi-factor-authenticatie. Die extra horde wordt vaak als lastig ervaren. Het is zoeken naar een balans tussen hoe je informatie beschermt en hoe je het systeem werkbaar houdt. Want met die beveiliging bespaar je ook heel veel als het ooit een keer misgaat. Je moet dus technische en niet-technische belanghebbenden kunnen overtuigen, zowel schriftelijk als mondeling.’
Burgers moeten op ons kunnen vertrouwen
Dat er veel op het spel staat, geeft haar werk een extra dimensie, vindt Kelly. ‘Burgers moeten erop kunnen vertrouwen dat wij de juiste maatregelen nemen om de beschikbaarheid, integriteit en de vertrouwelijkheid van informatie te borgen. Kijk, 100 procent zekerheid is er nooit. Maar ik vind dat we als overheid er alles aan moeten doen om die zekerheid zo veel mogelijk waar te maken. Zeker omdat het gaat over justitiële informatie.’