Binnen Nederland is er een groeiend probleem met het delen van informatie en het verdelen van wie nieuwe cryptografische producten maakt. Of beter gezegd, er is een gebrek aan ecosystemen binnen het Nederlandse cryptografische landschap. Frans van Dorsselaer, Principal Architect bij Fox Crypto en met meer dan dertig jaar ervaring in cybersecurity, heeft met eigen ogen gezien voor welke uitdagingen Nederlandse overheidsinstellingen staan bij het beveiligen van gevoelige informatie. "Er is behoefte aan een gecoördineerde aanpak van informatiebeveiliging over de ministeries heen", zegt Frans.
"Het is zonde wanneer elk ministerie afzonderlijk hetzelfde probleem probeert op te lossen, vooral wanneer de middelen beperkt zijn en er veel op het spel staat," stelt Frans. Zijn inzichten werpen een licht op de inefficiënties en potentiële risico's die aanwezig zijn in de huidige gefragmenteerde aanpak van het omgaan met geheime informatie binnen de Nederlandse overheid.
Gemeenschappelijke uitdagingen voor alle ministeries
Nederlandse ministeries en aanverwante organisaties, waaronder het Ministerie van Defensie, de Belastingdienst, het Nederlands Forensisch Instituut (NFI) en zelfs de politie, verwerken allemaal zeer vertrouwelijke informatie zoals staatsgeheimen. Ondanks hun uiteenlopende functies hebben ze gemeenschappelijke beveiligingsuitdagingen:
- Veilige opslag: Ervoor zorgen dat gevoelige gegevens veilig worden opgeslagen om onbevoegde toegang of lekken te voorkomen.
- Juiste autorisatie: Mechanismen implementeren om te bepalen wie toegang heeft tot specifieke informatie.
- Veilig transport: Gegevens veilig verzenden tussen partijen zonder risico op onderschepping.
- Veilig delen en ontvangen: Informatie op een veilige manier uitwisselen met externe entiteiten.
Frans benadrukt: "Al deze ministeries hebben te maken met dezelfde problemen met gevoelige informatie - opslag, autorisatie, transport, delen - maar ze realiseren zich dat niet of denken dat ze er individueel mee om moeten gaan. Daarom werken deze ministeries vaak in silo's, zich niet bewust van het feit dat hun tegenhangers met vergelijkbare problemen te maken hebben. Ze weten het niet van elkaar of hebben het gevoel dat ze het zelf moeten organiseren omdat het om hoogwaardige geclassificeerde informatie gaat."
De gefragmenteerde aanpak heeft geleid tot dubbel werk, vooral bij de ontwikkeling van beveiligingsoplossingen. Ondanks een beperkte groep leveranciers die producten met een hoge veiligheid kunnen maken, voeren ministeries onafhankelijk van elkaar soortgelijke projecten uit. Frans legt uit: "We hebben in Nederland een zeer beperkt aanbod van partijen die dergelijke producten kunnen maken en leveren. De vraag is te groot voor het aanbod. We worden allemaal overvraagd."
De behoefte aan een gecoördineerde aanpak
Frans pleit voor een uniforme strategie waarbij ministeries samenwerken om gemeenschappelijke behoeften vast te stellen en verschillende leveranciers de opdracht geven om parallel oplossingen te ontwikkelen. "Stel je voor dat alle aanvragende partijen bij elkaar komen zitten en voor elk probleem de grootste gemene deler definiëren. Je zou bijvoorbeeld kunnen zeggen: 'Leverancier 1, jullie maken een VPN-verbinding; leverancier 2, jullie maken een gateway waar gegevens kunnen worden geautoriseerd en geëxporteerd; leverancier 3, jullie kunnen virusscanners samenstellen om een goede scrubber te maken.' Door de werklast te verdelen, kunnen meerdere problemen tegelijkertijd worden aangepakt zonder een enkele leverancier te overbelasten. Je zou drie problemen parallel hebben opgelost."
Een belangrijk obstakel voor deze gecoördineerde aanpak is de neiging van ministeries om op zoek te gaan naar allesomvattende oplossingen die in elke behoefte voorzien. Frans waarschuwt voor deze mentaliteit: "Ze moeten wennen aan het feit dat het beter is om 80% van je problemen nu op te lossen dan een niet-bestaande stip aan de horizon te zetten die ooit 100% van je problemen zal oplossen, maar nooit werkelijkheid wordt. Het is beter om goed gedefinieerde, beheersbare problemen één voor één aan te pakken. Je kunt ze later altijd nog verbeteren, maar dan heb je tenminste functionele oplossingen."
Voorgestelde oplossing
Het implementeren van het vierogenprincipe, waarbij ten minste twee personen nodig zijn om gevoelige acties te autoriseren, helpt enorm om informatie van de ene naar de andere kant te krijgen. Dit principe voegt een extra laag van toezicht toe en vermindert het risico op ongeautoriseerde openbaarmaking. Maar er zijn meer manieren om ervoor te zorgen dat informatie veilig wordt overgedragen:
- Gateways: dienen als selectie- en autorisatiepunt voor te delen gegevens. "De delende partij moet de te delen informatie selecteren. Iemand selecteert de informatie en een ander keurt het goed - dat is weer het vierogenprincipe."
- DataDiodes: hardwareapparaten die zorgen voor een eenrichtingsgegevensstroom, waardoor datalekken en ongeautoriseerde toegang worden voorkomen. "Achter gateways implementeer je een DataDiode. DataDiodes beschermen de vertrouwelijkheid en integriteit van het netwerk door aanvallen van buitenaf te voorkomen."
- VPN-boxen: bieden veilige communicatiekanalen over het internet. "Dan heb je een VPN-box, die de informatie moet versleutelen zodat je het over het internet kunt versturen. Deze VPN-box is van jou en wordt beheerd door een centrale overheidsinstantie, zoals een shared service center ICT of DICTU."
- Scrubbers: reinigen inkomende gegevens om potentiële malware of ongeautoriseerde code te verwijderen. "Je moet scrubben wat je hebt ontvangen achter je DataDiode. Hierbij kun je denken aan het scannen op virussen of het verwijderen van macro's uit Word-documenten om ervoor te zorgen dat er geen malware binnenkomt."
Conclusie
Frans' inzichten maken duidelijk dat er een kritieke behoefte is aan gecoördineerde actie bij het beveiligen van gevoelige informatie bij alle Nederlandse overheidsinstellingen. Door samen te werken, middelen te delen en gespecialiseerde taken toe te wijzen aan verschillende leveranciers, kunnen ministeries dubbel werk voorkomen en de algehele beveiliging verbeteren. Een belangrijk obstakel bij het implementeren van deze gecoördineerde aanpak is het gebrek aan gecentraliseerd leiderschap. Hij gelooft dat sterk leiderschap cruciaal is voor het overwinnen van bureaucratische hindernissen en politieke barrières. "Als je kloven in het ICT-overheidslandschap kunt overbruggen, maak je die punten. Dus als je die macht hebt als minister, staatssecretaris of aangestelde CISO, dan zou jij degene moeten zijn die deze kwesties verduidelijkt."
De oproep tot actie is duidelijk: het is tijd voor leiders binnen de overheid om in actie te komen, silo's te doorbreken en samen te werken om de meest gevoelige informatie van het land te beveiligen.