Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

ICT niet schuldig aan lekken miljoenennota

 

Computable Expert

Aad Brinkman
Adviseur, Aranea. Expert van Computable voor het topic Beheer.

Het te vroeg naar buiten komen van de Miljoenennota van 2011-2012 wordt bijna overal in de pers neergezet als een ict-probleem of als falen van de ict. Was dat bij Diginotar nog verdedigbaar (al kan ik ook verdedigen dat het ook daar anders is) is in dit geval op geen enkele wijze sprake van falende ict.

Het Ministerie van Financiën heeft het op internet publiceren van de Nota uitbesteed of wel geoutsourced. Er is een speciale Prinsjesdag-website en de ontwikkeling daarvan is uitbesteed aan Facetbase. Dit bedrijf krijgt nu ook de zwarte piet toegeschoven door de Minister en door Rutte die zich haast te melden dat niet een ambtenaar in de fout is gegaan.
Een medewerker van Facetbase heeft de nieuwe versie van de site 2011 willen testen en heeft dat, per ongeluk, met live-data gedaan en juist op dat moment voert een historicus de slimme actie uit die inmiddels algemeen bekend is. De link naar de nota had naar een nep-bestand moeten wijzen, maar kwam bij de echte nota uit. En zo kwam de miljoenennota zoals zo vaak eerder naar buiten dan gepland. 

Met de ict (de techniek dus) is in deze situatie helemaal niets mis. Eigenlijk kan je zeggen dat het juist uitermate goed ging met de ict. Je kunt heel makkelijk zeggen dat de test uitermate goed geslaagd is. Een probleem, het was de verkeerde gebruiker die aan het testen was. Een 'normale' gebruiker van de website deed wat veel gebruikers doen, zijn gezond verstand gebruiken om de informatie te vinden die hij zocht. Er is maar een conclusie mogelijk: er is zeker geen sprake van een falende ict.

Wie zijn schuld is het dan

Het is makkelijk om de medewerker van Facetbase de schuld in de schoenen te schuiven. Dat gebeurt nu ook op grote schaal en deze man of vrouw zal de komende weken vast slecht slapen.
Aan de andere kant: vergissen is menselijk en zoiets kan gewoon gebeuren. De medewerker zal zich bewust moeten zijn van de waarde van de informatie waar hij mee aan het werk is. Je bent gewoon weg zuiniger met dure spullen. Tenminste normaal gesproken wel.

Het bewustzijn van de waarde van informatie is nog niet bij alle organisaties en/of medewerkers ingedaald. Emiel van Bockel (ceo Centraal Boekhuis) twittert: 'vroeger overvielen dieven een bank, tegenwoordig stelen ze informatie. Duidelijk bewijs dat informatie meer waard is dan geld'. Dat betekent ook dat je als eigenaar van deze informatie niet te lichtzinnig bepaalt wie je deze informatie toevertrouwt. En de rijksoverheid heeft twee keer in korte tijd laten zien fouten te maken. Daarnaast betekent het dat een organisatie bij het uitbesteden van diensten zelf de regie houdt. Dat is moeilijk, maar hoe waardevoller de informatie, hoe belangrijker dat is. En daar heeft het ministerie, met de minister als eindverantwoordelijke, opzichtig gefaald. Het is dan veel te makkelijk om de fout bij de medewerker van de partij te leggen die het verkeerde bestandje heeft gebruikt of om te roepen dat ICT wederom een probleem was.

Conclusie

In mijn beleving is de minister aansprakelijk en volledig aan te spreken op het voortijdig naar buiten komen van de Miljoenennota. Deze schuld van zich af schuiven is kwalijk. Daarnaast is het een wijze les dat informatie in onze wereld goud waard kan zijn en daarmee vergelijkbaar mee omgegaan moet worden. Dat houdt in dat in dat je als organisatie en daarmee iedere medewerker bewust moet zijn van de informatie die je in de vingers hebt. Die beheer je, beheers je en daar ga je veilig mee om. Voor je het weet is die informatie geen stuiver meer waard.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4182321). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Ik ben het met je eens dat wij de schuld niet bij de specifieke medewerker moeten leggen (of alleen in zeer beperkte mate). En toch vind ik het wel degelijk falen van de ICT.

Kijk naar de geschiedenis van de spoorwegsignalering of van de veiligheid in de luchtvaart. Geleidelijk aan heeft men door schade en schande geleerd dat mensen nou eenmaal fouten maken. Geleidelijk aan heeft men het steeds moeilijker gemaakt om voor de hand liggende fouten te maken.

Dat had hier ook gekund. Als men bezig is met belangrijke informatiesystemen, dan test men in een niet-openbare test-omgeving met testgegevens. Pas als de applicatie werkt zet men hem in productie. En dan publiceert men belangrijke documenten niet door ze naar een map te slepen, maar door een "Publiceer" functie, waardoor het overduidelijk is wat men aan het doen is. Als men de zaken niet op een degelijke manier opzet en iemand dan een foutje maakt met pijnlijke resultaten, is het gewoon de zoveelste ICT blunder.

Iemand in de uitbestede ICT-operatie maakte een fout. De vraag die je terecht stelt of dergelijke publicatie uitbesteed had mogen worden door het ministerie of dat dat wel goed is uitbesteed. In een goed ingerichte kwetsbaarheids- en afhankelijkheidanalyse (K&A-analyse) was het belang inzichtelijk geworden. Mogelijke effecten als kamervragen en het schaden van de Minister scoren in een K&A-analyse erg hoog! En dan waren er misschien zwaardere voorwaarden gesteld aan de uitbesteding.

Maar dan nog steeds is het een ICT-fout! Het kan heel goed zijn dat het ICT-regime bij het Ministerie dusdanig is dat mensen vanuit de bedrijfsvoering (afd. communicatie) er langsheen werken. Dan heeft de ICT –mijn inziens- gefaald. Omdat het misschien wel gelijk heeft, maar het niet krijgt.
Misschien is het ICT-regime te zwak en kan zo iets belangrijks zomaar uitbesteed worden zonder strakke regie. Ook dan is het ICT-fout, omdat het het zijn belang voor de bedrijfsvoering (en de naam en faam van de Minister) niet inzichtelijk heeft kunnen maken.

Kortom: Als er binnen het Ministerie een fout is gemaakt, dan kan dat evengoed een ICT-fout zijn.

En (vrolijk noot) bij Facebase krijg je wel echt wat ze beloven. Op hun website staat:

'Wilt u [...] verantwoording afleggen aan uw doelgroepen? Dan bent u bij Facetbase aan het juiste adres. Met onze expertise op het gebied van internet en interactie maken wij uw [..] jaarplan optimaal toegankelijk. [*] Bovendien maken we uw informatie beter zoek- en vindbaar [..]'

Alleen staat er bij [*] wel:
En zorgen we tegelijkertijd voor 'maximale veiligheid, korte doorlooptijden en lage kosten.'

We weten allemaal dat dat laatste niet kan. Je kan niet alle 4 hoeken van het duivelsvierkant van tijd, geld, kwaliteit en functionaliteit afdekken. Opschuiven naar het een gaat ten koste van het andere. En we weten welk facet gefaald heeft bij deze ICT-provider...

Vermoedelijk bedoelt de schrijver dat de oorzaak niet in een technische bug gezocht moet worden. Maar daarmee wordt ICT veel te eng gedefinieerd. Ik ben het daarom volledig eens met voorgaande commentaren dat het wel degelijk een ICT-falen is.
Daarnaast zou ik niet direct de conclusie trekken dat de minister de schuldige is, wel dat deze verantwoordelijk is.

De kop boven het artikel is niet van mij maar van computable en daarmee voor hun rekening. In het stuk geeft ik aan dat met de ICT (de techniek) niets mis is. Dit is haast een quote uit mijn artikel. Het probleem zit naar mijn idee bij de mensen, bij hun gedrag, hun houding en mogelijk de cultuur van de organisatie. Als jullie dat ook onder ICT schuiven is dat prima, ik doe dat niet. Daarnaast zit het probleem voor mij meer bij regie en aan de IM kant. Ik plaats beiden bij de business en niet bij ICT.

Wat een slecht verhaal over verantwoordelijkheden en dat ook nog eens van iemand die zich principal consultant laat noemen. Jammer, want er staan ook goede dingen in de rest van het artikel, zoals de rol van de organisatie en hun cultuur.
Eventjes testen in de publieke productieomgeving met vertrouwelijke documenten is een beginnersfout en geen vergissing die iedereen wel had kunnen maken. Als je met nog vertrouwelijke documenten wilt testen, dan doe je dat bijvoorbeeld met een dummie bestand, of je test eerst of die map voor derden tijdelijk afgeschermd is. Als je denkt dat anderen zo stom zijn om niet te kijken of de vertrouwelijke documenten vroegtijdig geplaatst zijn, dan kan je beter in de spiegel kijken. Die fout hadden ze ook in Utrecht gemaakt.

De minister was in dit geval natuurlijk wel eindverantwoordelijk, maar de medewerkers van Facetbase zijn schuldig en wellicht ook degene die voor de selectie verantwoordelijk zijn.

ICT = Informatie en Communicatie Technologie

Een technologie kan geen fouten maken, degene die het implementeert wel.
De computers en de software zijn (bij mijn weten) nog steeds niet zelfdenkend of zelfmodificerend.

Daarmee zijn de fouten in beginsel per definitie menselijk, immers, de mens bedenkt het programma, de dataflow, doet de implementatie, foutafhandeling, en maakt soms helaas ook vergissingen.


Ben het volledig eens met de schrijver van het artikel. Natuurlijk heeft degene die de test heeft uitgevoerd met de live data niet slim gehandeld. Echter de miljoenennota dat op dat moment nog een "vertrouwelijk" stuk is, mag nimmer door de verantwoordelijke ambtenaar worden vrijgegeven. Op het moment dat de miljoenennota aan de ICT medewerker van Facebase is overhandigd, is het risico al vergroot. Facebase heeft de de miljoenennota niet nodig om de test uit te voeren!
Informatiebeveiliging is niet alleen een ICT kwestie, maar in het proces hoe de miljoenennota tot stand komt, moeten er maatregelen worden getroffen om dit incident, maar ook andere vormen van lekken, tegen te gaan.

@Stef:
klopt volledig wat je zegt, echter, dit zijn allemaal menselijke en procedurele handelingen. Dit staat los van het fenomeen ICT. ICT zie ik meer als de rol van een "enabler" in deze.

Noch de IT'er in kwestie, nog zijn bedrijf is volgens mij hoofdverantwoordelijk, maar toch echt het betreffende Ministerie van Financiën.

Want als zo'n document echt zo ueberbelangrijk is, dan stuur je dat gewoon niet 1 week vooraf de deur uit. Ook niet in vertrouwen, want ik vraag me af of het Ministerie zicht heeft op de (degelijkheid van) interne procedures en vertrouwelijkheid/ gescreend zijn van die medewerkers. Zij zouden zo maar in die week het document anders kunnen laten lekken.
Hadden zij dat niet gedaan en was het document toch gelekt in die week, dan had het bedrijf gewoon een serieuze verdenking op zich, die hen niet zou toekomen.
Dat moet die directeur overigens ook niet willen.

Het ware verstandig geweest een 'testdocument' 1 week tevoren aan het bedrijf te doen toekomen, waarin staat dat op de betreffende locatie op het feitelijke document (miljoenennota) is te downloaden.
Dan op het betreffende 'moment suprême' overhandigt een(vertrouwelijke/gescreende) medewerker van het Ministerie het echte document aan het bedrijf, dat het op het 'moment suprême' plaatst over het testbestand heen.

Zo blijft het Ministerie verantwoordelijk voor de juiste tijdigheid van het document.

Ergens is het wel een falen van de ICT. Waarschijnlijk moet de fout in het achterliggende CMS liggen of de workflow die gebruikt wordt.

Bij een eenvoudig blog als WordPress is het al mogelijk om een concept op te slaan. Deze is wel bereikbaar, mits je een gebruikersnaam/wachtwoord doorgeeft.
Daarmee kun je dus gewoon al testen of alles werkt en hoe het eruit ziet, in de productie omgeving, maar afgeschermd.

Ergens mist in dit systeem blijkbaar een verschil tussen een concept en een gepubliceerde versie of is een concept niet beveiligd tegen 'per ongeluk' inzien.

Allemaal leuk, maar hoe kan deze medewerker uberhaupt al beschikken over het orginele document? Is dat dan niet al veel te vroeg op het 'bureau' van deze medewerker beland?

@DM Helemaal mee eens.
Het is natuurlijk vrij stom om het document al in een vroeg stadium aan een buitenstaander ter beschiking te stellen.

Er zijn toch simpelweg TWEE fouten gemaakt?? Lijkt mij overduidelijk. Natuurlijk, de één had niet plaats kunnen vinden zonder de ander. Dat doet er verder niks aan af dat er twéé fouten zijn gemaakt.
Alle mogelijk gebeurtenissen (in het algemeel) zijn mede afhankelijk van eerdere gebeurtenissen. Dat praat een fout in een later stadium echt niet goed. Uiteraard kan je wel flink discussiëren over waar de grootste fout zit. Maar dat blijft toch altijd erg objectief.

De fout (van het vroegtijdig plaatsen van een vetrouwelijk document) is gemaakt door een ICT'er. Als je dat geen ICT-fout mag noemen, dan worden er NOOIT ICT-fouten gemaakt. Immers, ALLES wat computers wel of niet doen, vloeit voort uit wat de mens er mee doet / in stopt. Er bestaat geen computer ter wereld die in zijn eentje beslist 'Mooi, nu zal ik eens lekker een fout maken'. Een computer KAN helemaal niet denken! Laat staat dat een computer zelfstandig iets zou zijn die zelfstandig een fout kan maken. Als een computer een verkeerd antwoord geeft op de vraag hoeveel 4234234*34534345 is, dan is de computer stuk of zit er een fout in de software. Beide menselijke fouten: iedereen weet dat elk apparaat stuk kan gaan. Dus ook een computer.

Een schuldige is natuurlijk de ICT-medewerker, maar dit moet niet te zwaar aangerekend worden - lijkt mij deels een kwestie van openbaarheid van bestuur: als iets in dezen al bekend is / vast staat, waarom mag het dan niet al gepubliceerd worden?

Daarnaast is er inderdaad de andere fout: het te vroeg sturen van de miljoenennota aan de ICT-dienst.
Ook dat zou ik niet een zware fout willen noemen. Moet de minister dan precies 5 minuten vantevoren het bestand sturen? Met de kans dat er DAN iets mis gaat? Een haperende mailserver, een kapotte USB-stick?
Het moet gewoon iets eerder kunnen. Waarom niet een dag vantevoren, vlak voordat de minister zijn werkplek verlaat en naar huis gaat?

Enfin... Lijken mij duidelijk TWEE foutjes (als je keihard wilt vasthouden aan een specifiek moment (vrijdag) waarop het publiek erbij mag). Waar verder bijna niemand zich druk over maakt. Vlieg / olifant enzo...

De term ‘ICT’ wordt in dit artikel wel erg nauw beschreven. Onderdeel van ICT is het ICT-beleid en de daarbij behorende procedures. Het betreft hier procedures ten aanzien van de veiligheid en t.a.v. testen.
M.b.t. testen is het vrij algemeen bekend om hiervoor een OTAP-omgeving of een afgeleide hiervan in te richten. Hierdoor kunnen verschillende testsoorten op verschillende omgevingen worden getest waaronder juist niet op de P: de productieomgeving. Daarnaast is het een algemeen bekende procedure om gevoelige data te anonimiseren dan wel te maskeren voordat je deze als testdata gaat gebruiken. De originele data wordt daardoor niet tijdens de uitvoer van een testgebruikt.
Nu is het nog eventueel voor te stellen dat een beheerder even wilde kijken of alles wel werkt. Immers, een hele OTAP-procedure volgen om te kijken of je een pdf op de site kunt plaatsen is wel erg veel van het goede. Niet correct maar wel menselijk. Maar ook dat ‘even’ is hier niet gebeurt. De pdf heeft al die tijd gewoon op de site gestaan. Weer een algemene procedure: Na het afronden van een succesvolle test dien je de omgeving op te schonen.
Kortom, allerhande algemene, basale en niet moeilijk te begrijpen ICT-procedures zijn hier geschonden. Daarom zou ik dit het ministerie niet meteen aanrekenen. Het ministerie mag er vanuit gaan dat deze procedures worden gevolgd zonder hierover weer expliciet procedures te moeten afspreken. Juridisch gezien zal het echter wel een ander verhaal worden…

natuurlijk stom van zon ambtenaar om dit document al een week van tevoren vrij te geven. toch vind ik het ook een enorme blunder van een IT-bedrijf dat zich nota bene specialiseert in het publiceren van jaarverslagen. Timing bij het publiceren van dit soort belangrijke informatie lijkt me geen exotische requirement voor dit bedrijf.

Stef Liethoff, u doet net alsof een ICT-er een potentiële sufferd is, waar een veiligheidsschil om gebouwd moet worden. In de praktijk moet elke ICT-er met vertrouwelijke gegevens om kunnen gaan, net al heel veel mensen in heel veel andere beroepen.
Bovendien zijn de medewerkers van Facetbase er in gespecialiseerd om op het juiste moment, de juiste gegevens, in de juiste vorm, op de juiste wijze te publiceren.

Veel reageerders menen dat de miljoenennota te vroeg vrij is gegeven. Dat is een grote denkfout. Stelt u zich eens voor dat de nog geheime tekst pas op de 3e dinsdag vrijgegeven wordt. Dan kan er bijvoorbeeld ook nog geen gedrukte versie zijn, want het bestand mag pas die dag naar de drukkerij.
Nee, een intern embargo werkt heel anders. Vele honderden mensen werken direct aan zo’n nota, waarvan een deel de hele nota moet kennen om tegenstrijdigheden tegen te gaan. En diverse externen krijgen enige tijd voor de vrijgave een kopie. Er zijn veel procedures en wat technische foefjes, die er voor zorgen dat de uiteindelijke tekst niet zo snel per ongeluk of expres voortijdig uitlekt. Dat jaarlijkse ritueel is heel goed te beheren.

Er worden veel vingers allerlei kanten op gewezen naar wie hier mogelijk schuld aan kan hebben. Bekijk het eens vanuit een ander perspectief, wat nu als het de bedoeling was om dit document openbaar te maken?

Met het openbaren van de inhoud en de bezuinigingsplannen zal er dus gespreid gereageerd worden voor Prinsjesdag. Het vrijgeven van deze nota zorgt er voor dat de "druk" een beetje van Prinsjesdag af is.

Alle genoemde fouten binnen Facebase zijn natuurlijk beginners fouten, die zou een stagiair misschien maken.

Veel is hier al gezegd, ik ben overigens ook van mening dat dit geen falen van ICT is, maar wat ik me zo vreselijk afvraag, iets wat me gewoon niet los laat:

Zou dat document nu gewoon als onversleuteld PDF over de e-mail gegaan zijn?

Het zou me namelijk niets verbazen :-)

Bij defensie heb je een aantal classificeringen voor wie een document mag lezen en daar zijn regels omheen gebouwd. Als dit document een werkelijke classificatie had (wat ik niet vermoed), dan is er een wettelijke overtreding begaan door het ministerie en anders is het gewoon een gevalletje pech of dom, maar niet meer dan dat.

Of misschien gingen ze wel uit van Security by Obscurity en ging het mis in het stukje obscuur...


Natuurlijk was dit een falen van de ICT. De opdracht was duidelijk: publiceer dit op vrijdag en hou het voor die tijd geheim. Die opdracht is niet goed uitgevoerd. Zo simpel is het. Informatiebeveiliging is onlosmakelijk met ICT verbonden. ICT is meer dan techniek alleen; het is het toepassen van techniek en dat ging fout.
En natuurlijk is daar de minister verantwoordelijk voor.
Hoe kun je spreken van een "verkeerde gebruiker"? Dat is een uitspraak uit de categorie van de NS: "Dat treinen vertraagd zijn komt door de reiziger."

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×