Figuur 4: Grafische weergave van de mate van getroffen beheersmaatregelen per risico per organisatie.
Bijlage 2 Gespreksverslagen validatie-interviews
Interview 1
Naam De heer R.A. Kosmeijer
Functie Stafmedewerker Bedrijfsvoering (aandachtsgebied Kwaliteit-RisicoManagement) Datum 22 januari 2015
Achtergrondinformatie gesprekspartner: Ron Kosmeijer is werkzaam bij de Belastingdienst, onderdeel Toeslagen. Op concern-nivo is hij verantwoordelijk voor het bevorderen van
kwaliteitsbewustzijn en risico-gericht beheren/beheersen. Het reviewen en adviseren van proces- inrichting en –uitvoering op kwaliteitsaspecten. Hij regisseert de contacten tussen B/Toeslagen en externe toezichthouders (Auditdienst Rijk en Algemene Rekenkamer). Ron is zelf afgestudeerd EDP- Auditor met verbijzonderde interesse voor “de juiste inzet van ICT als primair middel om business-
doelstellingen te realiseren”.
Wat ziet u als belangrijkste risico’s bij datamining op het gebied van informatiebeveiliging? Ron geeft aan dat in algemene zin het uitspreken van risico’s bij datamining kan niet los worden gezien van gebruik/doel van datamining. Zo kent ‘het stand-alone draaien van een kennissysteem
welke omvangrijke gegevensverzamelingen analyseert voor “leuke doorkijkjes”’ een heel ander risico-
profiel dan ‘een risico-selectie-systeem in een productieketen, gepositioneerd in een deels openbaar
netwerk, waarvan de resultaten van analyses direct sturing geven aan vervolgacties in handhaving of productie’.
Ron geeft aan dat de beantwoording van de vraag dan ook de risico’s “in algemene zin” betreft met betrekking tot datamining. De opsomming is, in lijn met de vraagstelling, niet uitputtend maar betreft de “belangrijkste”.
Het proces volgend komt hij op de volgende risico’s:
x Ontvangen gegevens: De betrouwbaarheid van de data: is het juist, is het actueel, is het volledig, is de interpretatie van de attributen juist.
x Vulling gegevensleveringen: De volledigheid van inlezen en het ongewijzigd blijven van de data. Indien de data bij inlezen verrijkt/aangepast wordt, de betrouwbare werking van die conversie.
x Data-bestanden in de datamining-omgeving: Blijvende juistheid, volledigheid, actualiteit. x Bewerking/verwerking: De (blijvende) juiste werking van software en query’s opdat dit leidt tot
betrouwbare uitkomsten. Ander groot risico is foutieve interpretatie van informatievraag en/of uitkomst.
De Beveiligingsaspecten volgend ziet hij de volgende risico’s:
x Beschikbaarheid: Onvoldoende herstel-mogelijkheden, zowel bij kortstondig niet beschikbaar zijn, als bij een discontinuïteit.
x Exclusiviteit: Het benaderbaar/wijzigbaar zijn van data door niet-bevoegden. Het niet voldoen aan privacywetgeving.
x Integriteit: Ongeautoriseerde wijzigingen op de data, waardoor data niet meer juist, volledig en/of actueel is.
Hoe zou u de gedefinieerde risico’s op het gebied van informatiebeveiliging plotten in de risico-matrix?
Ron geeft aan dat in algemene zin zeker het plotten van risico’s in de matrix niet los kan worden gezien van gebruik/doel van datamining. Zo is de waardering van een beschikbaarheidsrisico in de door hem genoemde twee voorbeelden verschillend, zowel qua kans als impact.
Risico 1: Risico van (on)bewuste menselijke fouten door onvoldoende veiligheidsbewustzijn:
(kans: hoog, impact: hoog)
Bij de onderbouwing van de kans is het volgens Ron niet zo dat “vaak in de praktijk onvoldoende aandacht is voor veiligheid” in algemene zin. Hij denkt dat met name bij datamining die risico’s onderschat worden.
Risico 2: Risico van onbevoegde toegang tot bedrijfsgevoelige informatie:
(kans: midden/hoog, impact: midden)
Ron geeft aan dat hij het eens is met de risico-inschatting zoals die door mij is verricht:
De Belastingdienst beschikt over zeer veel informatie. Deze informatie kan voor derden van belang zijn en derhalve interessant om die informatie te verkrijgen. Daarom is dit risico qua kans op
gemiddeld tot hoog ingeschat. De impact is afhankelijk van hoe belangrijk de informatie is en wordt op gemiddeld ingeschat.
Risico 3: Risico dat gegevens fouten bevatten:
(kans: midden, impact: hoog)
Ron geeft aan dat hij het eens is met de risico-inschatting zoals die door mij is verricht:
De overheid werkt met zeer veel en zeer grote gegevensbestanden. De mogelijkheid bestaat dat de gegevens al niet accuraat zijn geweest op het moment van invoeren, dat ze tijdens de opslag onterecht zijn gemanipuleerd, of dat ze op het moment van verwerken inmiddels verouderd (achterhaald) zijn. De gevolgen voor het verwerken van foutieve gegevens kunnen hoog zijn. Niet correcte gegevens genereren foute beschikkingen voor burgers en bedrijven en gegevens kunnen na bewerking verkeerd worden geïnterpreteerd. Dat schaadt het imago van de overheid. Daarom is dit risico als gemiddeld ingeschat en de impact als hoog.
Risico 4: Risico van niet goed beveiligen van persoonsgegevens:
(kans: midden, impact: hoog)
Ron geeft aan dat hij het eens is met de risico-inschatting zoals die door mij is verricht:
Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. De impact van dit risico is groot. De kans wordt ingeschat op midden.
Risico 5: Risico met betrekking tot virussen/malware:
(kans: midden/hoog, impact: midden)
De kans wordt als gemiddeld tot hoog ingeschat, omdat er veel virussen in omloop zijn en de kans dat een overheidsnetwerk hierdoor wordt geraakt groot is.
Ron geeft aan dat hij de impact van dit risico hoger inschat. Dat heeft te maken met mogelijk achterliggend doel van datamining-omgeving, zoals al in algemene zin toegelicht.
Risico 6: Risico van inbreken op het systeem:
(kans: midden, impact: hoog)
Ron geeft aan dat hij het eens is met de risico-inschatting zoals die door mij is verricht: Inbraakpogingen in een overheidsnetwerk zullen voorkomen. Deze kans wordt als gemiddeld ingeschat omdat informatie ook op andere ongeoorloofde manieren kan worden verkregen dan middels inbraak in het systeem. De impact is wel groot, omdat het vaak gaat om een gerichte aanval.
Risico 7: Risico van niet voldoen aan de wettelijke bewaarplicht:
(kans: laag/midden, impact: midden)
Ron geeft aan dat hij het eens is met de risico-inschatting zoals die door mij is verricht:
De kans en impact worden op gemiddeld ingeschat. Hoe overheidsorganisaties aan hun bewaar- en beheerplicht moeten voldoen is nauwkeurig beschreven in verschillende wetten en regels. Daarbij maakt het in principe niet uit of informatie digitaal is of niet.
Andere wetten en regelingen betreffen het beheer en het gebruik van informatie of
gegevensbestanden van de overheid. Daarbij gaat het bijvoorbeeld om openbaarheid van informatie, of juist om het beschermen van gevoelige informatie.
Risico 8: Risico dat de organisatie te ver gaat met het verzamelen en koppelen van gegevens:
(kans: midden/hoog, impact: hoog)
Wanneer de organisatie te ver gaat met het verzamelen en koppelen van gegevens bestaat het risico dat daarmee de privacy van burgers wordt geschonden.
Ron geeft aan dat het wellicht vreemd is, maar dat hij het lastig vindt om de impact goed in te schatten. Hij geeft aan dat het 9 van de 10 keer gebeurt, maar dat niemand ervan weet. Soms wordt het bekend en geeft het even onrust, met name op imago van Belastingdienst. En dan heb je die incidenten waar het wel een echt probleem wordt, zoals bijvoorbeeld het willen leveren van
inkomensgegevens aan verhuurders ten behoeve van gedifferentieerde huurprijsvaststelling op basis van inkomen.
Risico 9: Risico van technische verstoringen in het systeem:
(kans: laag/midden, impact: midden)
De kans is als laag gemiddeld ingeschat, omdat de kans zich kan voordoen dat er een calamiteit optreedt die invloed heeft op de beschikbaarheid.
Ron geeft aan dat hij de impact van dit risico hoger inschat. Dat heeft wederom te maken met mogelijk achterliggend doel van datamining-omgeving, zoals al in algemene zin toegelicht.
Risico 10: Risico van onvoldoende monitoring op het systeem:
(kans: hoog, impact: midden)
De kans dat onvoldoende monitoring plaatsvindt is volgens Ron hoog aanwezig. Omdat vaak op heel wisselende wijze aandacht wordt gegeven aan monitoring (en de diepgang daarvan). Hij denkt dat met name bij datamining de risico’s onderschat worden.
Als onvoldoende monitoring plaatsvindt, hoeft dat nog niet te betekenen dat dit ook gevolgen heeft voor de informatiebeveiliging.
Interview 2
Naam De heer M.K. Pikkaart Functie Business Continuity Manager Datum 22 januari 2015
Achtergrondinformatie gesprekspartner: Macko Pikkaart is werkzaam bij het Directoraat-Generaal Belastingdienst van het Ministerie van Financiën en adviseur op het gebied van Beveiliging voor de Chief Security Officer. Beveiliging is bij de Belastingdienst het paraplubegrip voor
Informatiebeveiliging, Personele Beveiliging, Persoonlijke Veiligheid en Integriteit, Fysieke beveiliging en Business Continuity Management (BCM).
Als BCI Certified Business Continuity Manager is met name BCM zijn specialiteit en
verantwoordelijkheid. Samen met twee collega’s stelt hij het beleid voor Beveiliging voor de Belastingdienst op (Handboek Beveiliging Belastingdienst).
Wat ziet u als belangrijkste risico’s bij datamining op het gebied van informatiebeveiliging? De heer Pikkaart geeft aan dat hij op het gebied van informatiebeveiliging geen risico’s ziet die specifiek zien op datamining. Hij is van mening dat datamining een vorm van data-analyse is waarbij de risico’s op het gebied van informatiebeveiliging niet anders zijn dan bij andere analysetechnieken. Hoe zou u de gedefinieerde risico’s op het gebied van informatiebeveiliging plotten in de risico-matrix?
De heer Pikkaart geeft aan dat hij de gedefinieerde risico’s op vergelijkbare wijze plot in de matrix.
Risico 1: Risico van (on)bewuste menselijke fouten door onvoldoende veiligheidsbewustzijn:
(kans: hoog, impact: hoog)
Dit risico wordt zowel qua kans als qua impact hoog ingeschat omdat het veiligheidsbewustzijn vaak in de praktijk onvoldoende aandacht lijkt te krijgen. Als men zich niet van de risico’s bewust is, kan dit grote impact hebben.
Risico 2: Risico van onbevoegde toegang tot bedrijfsgevoelige informatie:
(kans: midden/hoog, impact: midden)
De Belastingdienst beschikt over zeer veel informatie. Deze informatie kan voor derden van belang zijn en derhalve interessant om die informatie te verkrijgen. Daarom is dit risico qua kans op
gemiddeld tot hoog ingeschat. De impact is afhankelijk van hoe belangrijk de informatie is en wordt op gemiddeld ingeschat.
Risico 3: Risico dat gegevens fouten bevatten:
(kans: midden, impact: hoog)
De overheid werkt met zeer veel en zeer grote gegevensbestanden. De mogelijkheid bestaat dat de gegevens al niet accuraat zijn geweest op het moment van invoeren, dat ze tijdens de opslag onterecht zijn gemanipuleerd, of dat ze op het moment van verwerken inmiddels verouderd (achterhaald) zijn. De gevolgen voor het verwerken van foutieve gegevens kunnen hoog zijn. Niet correcte gegevens genereren foute beschikkingen voor burgers en bedrijven en gegevens kunnen na bewerking verkeerd worden geïnterpreteerd. Dat schaadt het imago van de overheid. Daarom is dit risico als gemiddeld ingeschat en de impact als hoog.
Risico 4: Risico van niet goed beveiligen van persoonsgegevens:
(kans: midden, impact: hoog)
Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. De impact van dit risico is groot. De kans wordt ingeschat op midden.
Risico 5: Risico met betrekking tot virussen/malware:
(kans: midden/hoog, impact: laag)
De kans wordt als gemiddeld tot hoog ingeschat, omdat er veel virussen in omloop zijn en de kans dat een overheidsnetwerk hierdoor wordt geraakt groot is. De impact van een enkel virus is echter vaak beperkt en kan vaak eenvoudig worden hersteld.
Risico 6: Risico van inbreken op het systeem:
(kans: midden, impact: hoog)
Inbraakpogingen in een overheidsnetwerk zullen voorkomen. Deze kans wordt als gemiddeld ingeschat omdat informatie ook op andere ongeoorloofde manieren kan worden verkregen dan middels inbraak in het systeem. De impact is wel groot, omdat het vaak gaat om een gerichte aanval.
Risico 7: Risico van niet voldoen aan de wettelijke bewaarplicht:
(kans: laag/midden, impact: midden)
De kans en impact worden op gemiddeld ingeschat. Hoe overheidsorganisaties aan hun bewaar- en beheerplicht moeten voldoen is nauwkeurig beschreven in verschillende wetten en regels. Daarbij maakt het in principe niet uit of informatie digitaal is of niet.
Andere wetten en regelingen betreffen het beheer en het gebruik van informatie of
gegevensbestanden van de overheid. Daarbij gaat het bijvoorbeeld om openbaarheid van informatie, of juist om het beschermen van gevoelige informatie.
Risico 8: Risico dat de organisatie te ver gaat met het verzamelen en koppelen van gegevens:
(kans: midden/hoog, impact: hoog)
Wanneer de organisatie te ver gaat met het verzamelen en koppelen van gegevens bestaat het risico dat daarmee de privacy van burgers wordt geschonden. De impact van dit risico is daarmee groot. De kans van dit risico wordt ingeschat op midden/hoog.
Risico 9: Risico van technische verstoringen in het systeem:
(kans: laag/midden, impact: laag)
De kans is als laag gemiddeld ingeschat, omdat de kans zich kan voordoen dat er een calamiteit optreedt die invloed heeft op de beschikbaarheid. De impact op het dataminingproces wordt als beperkt ingeschat omdat bij datamining wordt gewerkt met extracties van geselecteerde gegevens uit verschillende gegevensbestanden. Deze gegevensbestanden blijven in oorspronkelijke vorm
Risico 10: Risico van onvoldoende monitoring op het systeem:
(kans: midden, impact: midden)
De kans dat onvoldoende monitoring plaatsvindt is gemiddeld aanwezig, omdat vaak op heel
wisselende wijze aandacht wordt gegeven aan monitoring (en de diepgang daarvan). Als onvoldoende monitoring plaatsvindt, hoeft dat nog niet te betekenen dat dit ook gevolgen heeft voor de
Interview 3
Naam C.J.W.G. Monden RA
Functie EDP-auditor Douane Roosendaal Datum 22 januari 2015
Achtergrondinformatie gesprekspartner: Tiny Monden is als Registeraccountant / EDP-auditor werkzaam bij de Douane en heeft in die hoedanigheid met enige regelmaat te maken met
vraagstukken die zien op het gebied van informatiebeveiliging en risicobeheersing.
Wat ziet u als belangrijkste risico’s bij datamining op het gebied van informatiebeveiliging? 1. Het risico van te veel vertrouwen is het grootste risico. Te veel vertrouwen is de slechtste
basis voor beveiliging en veiligheid.
2. Het risico van het ontbreken van een informatiebeveiligingsbeleid.
3. Het risico van niet geautoriseerde gebruikers of gebruik van data voor niet toegestane doeleinden.
4. Risico van onrechtmatig verzamelen en vastleggen van gegevens. Dat geldt ook voor bewaren, wijzigen, opvragen/raadplegen en verstrekken van gegevens.
Hoe zou u de gedefinieerde risico’s op het gebied van informatiebeveiliging plotten in de risico-matrix?
Risico 1: Risico van (on)bewuste menselijke fouten door onvoldoende veiligheidsbewustzijn:
(kans: hoog, impact: midden)
Het ontbreken van een informatiebeveiligingsbeleid met als gevolg een hoge risico-inschatting voor het veiligheidsbewustzijn van de medewerkers. De impact wordt daarbij als gemiddeld ingeschat.
Risico 2: Risico van onbevoegde toegang tot bedrijfsgevoelige informatie:
(kans: midden/hoog, impact: midden)
Eerst moet vastgesteld worden wanneer sprake is van onbevoegde toegang. Binnen een
overheidsorganisatie is veel informatie beschikbaar die gemakkelijk gedeeld kan worden met een groot risico dat teveel mensen over de data kunnen beschikken. Daarom is dit risico qua kans op gemiddeld tot hoog ingeschat. De impact is afhankelijk van hoe belangrijk de informatie is en wordt op gemiddeld ingeschat.
Risico 3: Risico dat gegevens fouten bevatten:
(kans: midden/hoog, impact: hoog)
De kans op fouten in gegevens wordt ingeschat op midden/hoog.
De gevolgen voor het verwerken van foutieve gegevens kunnen hoog zijn. Niet correcte gegevens genereren foute beschikkingen voor burgers en bedrijven en gegevens kunnen na bewerking verkeerd worden geïnterpreteerd. Dat schaadt het imago van de overheid.
Risico 4: Risico van niet goed beveiligen van persoonsgegevens:
(kans: midden/hoog, impact: midden/ hoog)
Tiny ziet misbruik van persoonsgegevens binnen de overheid (bijv. gebruik van gegevens voor privé doeleinden) eerder ontstaan dan identiteitsdiefstal. De impact wordt afhankelijk van de concrete situatie.
Risico 5: Risico met betrekking tot virussen/malware: (kans: laag/midden, impact: laag/midden)
Dit wordt voor zowel wat betreft de kans als de impact op laag/gemiddeld ingeschat.
Risico 6: Risico van inbreken op het systeem:
(kans: laag/midden, impact: midden)
Tiny schat het risico dat een hacker inbreekt op het systeem als laag gemiddeld in. Gerichte aanvallen kunnen wel impact hebben daarom schat hij deze in op gemiddeld.
Risico 7: Risico van niet voldoen aan de wettelijke bewaarplicht:
(kans: laag, impact: laag/midden)
De kans dat dit risico zich voor zal doen, wordt als laag ingeschat omdat dit risico in de praktijk niet zo gauw zal voorkomen. Op het moment dat het zal voorkomen kan het wel impact hebben vandaar dat de impact als laag gemiddeld wordt ingeschat.
Risico 8: Risico dat de organisatie te ver gaat met het verzamelen en koppelen van gegevens:
(kans: laag/midden, impact: midden)
De kans dat te ver wordt gegaan met het verzamelen en koppelen van gegevens wordt ingeschat als laag gemiddeld. Omdat daarmee de privacy van burgers kan worden geschonden, wordt de impact ingeschat op gemiddeld.
Risico 9: Risico van technische verstoringen in het systeem:
(kans: laag, impact: laag)
Technische verstoringen kunnen voorkomen. De kans hiertoe wordt door Tiny als laag ingeschat. Bij een goed functionerend back-up en recovery systeem wordt de impact als laag ingeschat.
Risico 10: Risico van onvoldoende monitoring op het systeem:
(kans: laag/midden, impact: laag/ midden)
De kans dat dit gebeurt zal laag gemiddeld zijn, omdat het erg onwaarschijnlijk lijkt dat de overheid dit niet goed geregeld heeft. De impact daarbij wordt als laag gemiddeld ingeschat.