Veilig kopen

Afbeelding via Pixabay

Een jeugdig gezinslid was al een tijdje toe aan een nieuwe laptop. Je kent dat wel: zo’n apparaat gaat overal mee heen, de tas wordt niet altijd even zachtzinnig neergezet en de waterfles blijkt ook niet helemaal waterdicht te zijn. De situatie werd steeds nijpender: grote delen van het beeldscherm waren uitgevallen. Wat doe je dan? Je gaat naar de winkel of je bestelt online een nieuwe laptop.

Het doet financieel natuurlijk wel even pijn, maar het proces verloopt doorgaans soepel. Voor middernacht besteld, morgen in huis. Als je geluk hebt, dan wordt het pakketje netjes aan de deur afgeleverd (en niet in de kliko gedumpt, maar daar ga ik het een andere keer over hebben).

Hoe anders gaat dat bij een overheidsorganisatie. Als je de laptops voor een paar tienduizend medewerkers moet vervangen, of nieuwe software nodig hebt, dan kun je niet naar de winkel op de hoek of naar de webshop. Nee, je moet een Europese aanbesteding uitschrijven. Dat is een ingewikkeld proces waarbij je in functionele termen moet opschrijven wat je wilt hebben. Je mag dus niet zeggen dat je een laptop van merk X wilt hebben, maar je moet gewenste specificaties opgeven: schermgrootte, opslagcapaciteit, hoeveelheid werkgeheugen, dat soort dingen. Verder bevat het bestek, waarin je dat allemaal beschrijft, nog een heleboel andere eisen waaraan het product, het onderhoud en de leverancier moeten voldoen. Als een leverancier ook maar één enkele eis niet met ‘ja’ kan beantwoorden, dan is hij af. Winnaar is de leverancier die aan alle voorwaarden voldoet en ook nog eens de goedkoopste is. Wie dat is, en met welk product, daar heb je als koper geen invloed op.

Ons team staat opgesteld voor security, continuity en privacy. Vanuit deze aspecten willen we invloed hebben op ICT-producten en -diensten die worden ingekocht. In het verleden werd voor dergelijke eisen, die niet direct iets van doen hadden met de gewenste functionaliteit, een vreselijke term gebruikt: non-functionals. Op zich snap ik die term wel: de eisen gaan niet direct over wat het ding moet kunnen en dragen dus niet bij aan de gevraagde functionaliteit. Maar zeg nou eens eerlijk: hoe zou jij je voelen als jouw inbreng als niet-functioneel zou worden betiteld?

Daar hebben we iets op bedacht. We hebben een document gemaakt waarin alle eisen, die we vanuit onze verantwoordelijkheid willen stellen aan inkooptrajecten, in een document gebundeld. En de trotste titel daarvan luidt: Voorschrift Functionals Security (VFS). Want weet je, security doet er toe. Vaak maakt beveiliging het juist mogelijk om dingen te doen die je anders niet zou kunnen doen. Of zou jij online willen bankieren als dat niet goed beveiligd zou zijn?

Het VFS is gebaseerd op de BIO, de Baseline Informatiebeveiliging Overheid. Dat is voor ons een verplicht normenkader en het is dus logisch om dit als uitgangspunt te nemen: als we een product zouden gebruiken, dat niet aan de BIO voldoet, dan voldoen wij er als organisatie ook niet aan. Verder hebben we er eigen kennis in gestopt, bijvoorbeeld omdat bepaalde onderwerpen (nog) niet in de BIO worden geadresseerd, zoals quantum computing, dat een ernstige bedreiging voor de beveiliging van onze gegevens vormt. Op andere plaatsen zijn eigen inzichten in het VFS opgenomen, gebaseerd op ervaringen in ons werkterrein.

Onze inkopers, die zo’n traject formeel begeleiden, hebben natuurlijk ook een mening over wat er zoal wordt geëist. Afstemming met hen – inclusief juristen – is dus belangrijk. Al met al hebben we nu een mooi generiek document dat bij ieder ICT-aanbestedingstraject moet worden gebruikt. Het is aan de betrokken architect om te bepalen welke eisen uit de VFS relevant zijn voor een specifieke aanbesteding. Regelmatig is ook iemand uit ons team aangehaakt om de projectmanager met raad en daad terzijde te staan.

Je begrijpt dat dit allemaal geen kwestie is van ‘vandaag besteld, morgen in huis’. Maar dat was ook al zo voordat het VFS er was. Zo’n inkoopprocedure is nu eenmaal een bureaucratische exercitie die de nodige zorgvuldigheid vereist. Gelukkig is het voor jou als consument allemaal heel wat gemakkelijker. Uiteraard houd je daarbij ook zonder VFS in de gaten dat het product aan jouw beveiligingseisen voldoet. Toch?

Volgende week verschijnt er geen Security (b)log.

En in de grote boze buitenwereld …

• is beveiligingsbewustzijn niet meer voldoende; medewerkers moeten ook weerstand kunnen bieden.
• horen ook AI-providers hun beveiliging op orde te hebben.
• hebben deze cybercriminelen bijzonder veel gegevens gestolen.
• steelt Noord-Korea vooral cryptomunten.
• horen ziekenhuismedewerkers hun nieuwsgierigheid in bedwang te houden.
• zijn in Australië persoonsgegevens gelekt via ChatGPT.
• gaat de Europese chatcontrole voorlopig niet door.
• hebben inmiddels ook WhatsApp en Threema zich tegen chatcontrole uitgesproken.
• maken de Belgische banken jongeren cyberweerbaar met een spel. Een bordspel.
• krijgt je Android-toestel niet meer standaard iedere maand een security-update.
• wordt WhatsApp gebruikt om malware te verspreiden.