Datalekken, phishing, spam: ‘cybersecurity’ zorgt voor tal van uitdagingen voor bedrijven en organisaties. Het Facilitair Bedrijf is het agentschap van de Vlaamse overheid dat het gemeenschappelijke ICT-aanbod uitbouwt voor de hele Vlaamse administratie en bij uitbreiding voor de lokale en provinciale besturen.
“Informatieveiligheid is altijd al een aandachtspunt geweest binnen onze organisatie. Hoe informatieveiliger een organisatie, des te groter het onderlinge vertrouwen tussen de burger, de bedrijfswereld of de overheden”, zegt Chief Information Security Officer Johan Smekens, tevens voorzitter van de werkgroep ‘informatieveiligheid’ binnen de Vlaamse overheid. De invoering van de GDPR-verordening, toenemend gebruik van clouddiensten en de verdere ontwikkeling van gemeenschappelijke ICT-diensten doen de aandacht voor dit thema nog toenemen. Dat gebeurt meer dan vroeger vanuit een gemeenschappelijke strategie over de verschillende Vlaamse instanties heen.
Hoe informatieveiliger je organisatie, des te groter het vertrouwen van burger of partner.
Het gebruik van clouddiensten bij de Vlaamse instellingen houdt uitdagingen in. Een grote hoeveelheid gegevens beheren, met een verschillende graad van confidentialiteit, en dat nog eens voor verschillende gebruiksgroepen: eenvoudig is anders. Daarbij komt dat die gegevens steeds vaker verwerkt worden via externe dienstverleners. Dat zijn vaak globale spelers, die gebruikmaken van ICT-oplossingen in hun eigen datacenters. “Het bewustzijn van de risico’s bij informatieverwerking is momenteel misschien wel de belangrijkste ICT-uitdaging “, vertelt Johan Smekens. “Een informatiemaatschappij zoals de onze bestaat bij gratie van het uitwisselen van informatie. Maar de interpretatie van wat ‘informatieveilig’ is, verschilt soms tussen de verwerkende partners onderling en leidt occasioneel tot verschillende zienswijzen en af en toe ook tot meningsverschillen. Daar vormt de Vlaamse overheid geen uitzondering op.”
“Hoe controleer je de afnemer van de info? Hoe controleer je de systeembeheerder? Deze en andere vragen willen we steeds meer vanuit een geïntegreerde aanpak en een gemeenschappelijke doelstelling behandelen. Iedereen beseft de noodzaak van een overkoepelend informatieveiligheidsbeleid en van een efficiënte controle op de informatiebeheerprocessen. Zo leggen wij als Vlaamse overheid concreet vast welke procedures gelden voor de aanbieder van de info én voor de afnemer ervan. Dat maakt van je organisatie een goede huisvader, die toont dat hij zorg draagt voor zijn burgers of zijn partners.”
Informatieclassificatie
Om al die uitdagingen aan te pakken, ontwikkelde de Vlaamse overheid een informatieclassificatiesysteem, dat de diverse risico’s bij de verwerking van gegevens in kaart brengt. Dat raamwerk biedt de structuur om informatie te classificeren, om de aangepaste maatregelen op vlak van informatieveiligheid te bepalen per informatieklasse en om de rollen en verantwoordelijkheden bij de verwerking vast te leggen. “Onder klasse 1 en 2 valt de informatie die met elke burger gedeeld mag worden”, legt Johan Smekens uit. “Een burger die die info wil raadplegen, moet zich minimaal identificeren bij de Vlaamse overheid. Gaat het daarentegen om functionele info zoals het verwerken van persoonsinformatie, dan gebruiken we informatieklasse 3 of 4. Daarin gebruiken we sterke identificatieprocessen en technologieën om te vermijden dat de info potentieel in handen van onbevoegden valt. Als het bijvoorbeeld gaat om hoogst kritische info rond jeugdcriminaliteit, dan verwacht de informatieclassificatie dat de gebruiker sterk geïdentificeerd en geauthenticeerd zal worden, door bijvoorbeeld een identiteitskaart, een digipass of Itsme. De volledige administratieve verwerking van de toegangen tot de informatie gebeurt op basis van auditeerbare processen. Deze manier van werken, op basis van het classificatiemodel, passen we ook toe op informatie die we verwerken op basis van Microsoft Office 365. Daarbij wordt elk stukje informatie aan de hand van zijn classificatie op een gelijkaardige manier beveiligd.”
Security-bouwstenen
DXC Technology uit Mechelen helpt de Vlaamse overheid bij het aanpakken van deze complexe technische problematiek, en zorgt voor ‘security-bouwstenen’ voor toegangsbeheer, authenticatie of encryptie van informatie. Het analyseert de IT-architectuur en werkt oplossingen, dienstverlening en toolsets uit voor een resem Vlaamse instellingen en agentschappen. Johan Smekens: “Met de bouwsteen PAMaaS of Privileged Access Management as a Service kunnen we perfect controleren wat onze systeembeheerders allemaal doen op de diverse platformen. Een andere security-bouwsteen implementeert een sleutelbeheersysteem voor encryptie bij het hosten van de toepassingen op de AWS-cloud, waardoor niet Amazon Web Services maar een personeelslid van de Vlaamse overheid het sleutelbeheer doet. Via deze samenwerking met DXC ontzorgt Het Facilitair Bedrijf een 300-tal Vlaamse agentschappen en instellingen. Dat levert grote voordelen op. Elk individueel agentschap hoeft immers niet langer alle processen zélf te ontwikkelen, en kan op de meest efficiënte wijze deze technologie gebruiken. Bovendien kan elk van onze agentschappen putten uit een centrale pool van gespecialiseerde IT-specialisten, en ook dat levert grote voordelen op.”