Op de website Basisbeveiliging.nl kunnen professionals zien of organisaties hun digitale basisveiligheid op orde hebben. Op kaarten zie je per doelgroep met stoplichtkleuren hoe het ervoor staat. Initiatiefnemer Elger Jonker en Geert-Jan van de Ven, directeur van Centrum Informatiebeveiliging en Privacybescherming (CIP), gaan in op hun gezamenlijke doel en de ontwikkelingen. Dit artikel is een bewerking van een interview op de website van CIP, dat Basisbeveiliging.nl financieel steunt.
Zowel Basisbeveiliging.nl als CIP zijn niet in het leven geroepen om verplichtingen op te leggen of overheidsorganisaties de les te lezen. Beide partijen zijn een voorstander van transparantie en willen organisaties verleiden om snel te handelen op onvolkomenheden. Jonker: “Natuurlijk is het een mooi streven om als organisatie groen te kleuren op Basisbeveiliging.nl. Maar een terugval naar oranje of zelfs rood is goed mogelijk. Vooral als er een upgrade heeft plaatsgevonden of er een nieuw project is gestart. Dit voorkomen is duur, onrealistisch en helemaal niet nodig. Van belang is dat je te allen tijde in control blijft, zodat terugval tijdelijk is.” Van de Ven: “Eigenlijk is het ultieme doel dat alle overheidsorganisaties de digitale veiligheid zodanig op orde hebben dat Basisbeveiliging.nl overbodig is. Maar zo’n vaart zal dat niet lopen; de signaalfunctie en aandacht voor de werkelijke stand van zaken blijft altijd nodig.”
Inmiddels brengt Basisbeveiliging.nl zo’n 10.000 organisaties in kaart. Al deze informatie is afkomstig uit openbare bronnen. Als een kaart bijna volledig groen kleurt, worden er risico’s toegevoegd. Niet om te pesten, maar om de lat hoger te leggen. Wel houdt Basisbeveiliging.nl rekening met geplande beveiligingsupdates van grote leveranciers als Microsoft. Omdat overheidsorganisaties hier geen invloed op hebben, worden zij er niet negatief op beoordeeld. Jonker: “Afgelopen jaar hebben we aan 100 organisaties een ‘baseline cybersecurity certificaat’ uitgereikt: zij stonden tijdens de testperiode minstens een dag lang op groen. Komend jaar gaan we de ontwikkelingen die organisaties doormaken visualiseren. Soms hebben zij veel werk verzet zonder nog van kleur te veranderen en dat willen we inzichtelijk maken.”
De doelgroep van Basisbeveiliging.nl is juist niet alleen informatiebeveiligingsspecialisten. Ook bestuurders kunnen erop nagaan of de werkelijkheid overeenkomt met de interne rapportages die zij ontvangen. Een inkoper ziet of de dienstverlener up-to-date is. Leveranciers kunnen checken of zij nog steeds aan de gestelde (basis)eisen voldoen. Voor burgers is het interessant om te zien of een overheidsorganisatie goed en zorgvuldig omgaat met online veiligheid en privacy, zoals de plaatsing van volgcookies. Van de Ven: “Regelmatig zit er een verschil tussen de managementrapportage, waar filters overheen zijn gegaan, en de daadwerkelijke digitale veiligheid. Ik raad bestuurders aan om de resultaten op Basisbeveiliging.nl als hulpmiddel te gebruiken in gesprek met de CISO. Deze input geeft andere voeding en bovendien geeft het een beeld dat openbaar is en iedereen dus kan inzien.”
Jonker: “Wat we kunnen leren van goed presterende organisaties, bijvoorbeeld de 3 grootste banken, is dat het opruimen van (oude) domeinen een enorm verschil maakt. Veel organisaties hebben tientallen, soms meer dan 100 domeinen actief staan waarvan een groot deel niet meer relevant is en niemand weet wie de producteigenaar is of was.” Van de Ven: “Leg binnen jouw organisatie de focus op weerbaarheid in plaats van op de perfecte score en maak bewuste keuzes als het gaat om informatiebeveiliging. Een grote overheidsorganisatie die bijzondere persoonsgegevens verwerkt, dient anders om te gaan met digitale beveiligingsrisico’s dan de basisschool bij jou in de buurt. Als je de gestelde prioriteiten maar kunt toelichten.”
