Tekst Hedar Al-Haddad
Foto Wim van Beek
Geert Vuijk (technisch architect) werkt, in samenwerking met het ministerie van Financiën, aan een project dat het lekken van gevoelige data tegen moet gaan. In overeenstemming met Microsoft is er een tool ontwikkeld die het bewustzijn bij de gebruikers moet gaan vergroten om zo in de toekomst deze datalekken zoveel mogelijk te voorkomen. In dit interview vertelt Geert meer over dit project.
Wat houdt dit project precies in? Hebben jullie een paar voorbeelden?
Geert Vuijk: ´Het ministerie van Financiën heeft in 2019 bij SSC-ICT de vraag neergelegd of wij als organisatie mee wilden helpen met het zoeken naar een oplossing tegen het bewust of onbewust lekken van data. Zoals je je wel kunt voorstellen komt dit ministerie - maar ook andere ministeries - veelvuldig in aanraking met gevoelige data, zoals privacygevoelige data. Een concreet voorbeeld van een dergelijk gevoelig datalek dat met enige regelmaat wordt aangehaald door het ministerie van Financiën is het feit dat er jaarlijks rondom Prinsjesdag documenten ‘op straat liggen.’ Dit moet natuurlijk voorkomen worden, en dus denken wij graag mee over een passende oplossing.´
Wat is een oplossing en wat komt daar bij kijken?
Geert: ´Wat je ziet is dat er veel tijd zit tussen de vraagstelling van Financiën in 2019 en waar wij nu, anno 2021, staan binnen het project. De eerste fase van het project was een ‘verkenningsfase.’ Het is voor ons belangrijk dat we de vraag goed begrijpen, zeker als wij vervolgens verantwoordelijk zijn voor het aandragen van een oplossing. Daarom hebben we hier in de beginfase van het traject ook ruim de tijd voor genomen. We zijn hierover in gesprek gegaan met Financiën, om het exacte probleem te kunnen bepalen, zodat we de beste oplossing kunnen bieden.’
Uiteraard lag er na vaststelling van het probleem niet direct een passende oplossing klaar. Geert: ‘We begonnen bij nul en zijn eerst een jaar lang informatie in gaan winnen bij verschillende leveranciers, waaronder Microsoft, om een beeld te vormen van wat we precies wilden oplossen en hoe dit zou kunnen. Uiteindelijk heeft dat in 2020 geresulteerd in een opsomming van alle problemen, zodat we daarna duidelijk de vraag op papier konden zetten. Van daaruit konden wij voortborduren. We werken altijd vanuit het principe dat we zoveel mogelijk een vraag willen beantwoorden met bestaande contracten en producten die we al in huis hebben. Dat heeft ertoe geleid dat we een product van Microsoft in gaan zetten.’
Het uiteindelijke doel van dit nieuwe product is om een stuk tooling te implementeren dat de medewerker bewust maakt van een actie die hij of zij uitvoert. Geert licht toe: ‘Dat moet je zo zien: stel, een medewerker stelt een nieuwe mail op en voegt hier een bijlage aan toe. Deze bijlage bevat privacygevoelige informatie of departementaal geclassificeerde data. De mail wordt verstuurd naar bijvoorbeeld een Gmail-account. Voordat de mail verzonden wordt ziet de medewerker een pop-up schermpje verschijnen met de tekst ‘Weet je zeker dat je deze actie wilt uitvoeren?’ en ja/nee knoppen. Met dergelijke extra controles en tussenstapjes willen we Financiën helpen met het beschermen van gevoelige data.’ Een technische oplossing kan bijdragen aan het voorkomen van datalekken, maar het bewustzijn van de medewerker is hier uiteindelijk ook heel belangrijk , zo niet de belangrijkste factor.
Hoe verliep de samenwerking met de klant?
Geert: ´In het begin soms wel moeizaam, daar moeten we eerlijk over zijn. Wij hadden enerzijds moeite met de invulling van de vraag en anderzijds vond de klant het soms lastig om de exacte behoefte aan te geven. Maar juist het in gesprek blijven, open lijnen houden en vragen blijven stellen wanneer je tegen wat problemen aan loopt heeft ertoe geleid dat we samen naar een hele mooie oplossing toe hebben gewerkt.’
Bij het ministerie van Financiën zijn er gedurende het project ook andere werknemers ingestapt, waaronder een nieuwe projectleider. Geert: ‘Deze projectleider is erg voortvarend aan de slag is gegaan. Hij heeft er samen met de projectleider van SSC-ICT voor gezorgd dat er grote vooruitgang is geboekt en er concrete stappen zijn gezet. Uiteindelijk zijn we gekomen tot een POC (Proof Of Concept) dat we vorig jaar (2020) gedraaid hebben. Op basis van dataclassificatie (allerlei zoektermen en regels over de data) hebben wij een aantal aanpassingen kunnen doen.'