Liggen onze overheden wakker van de veiligheid van hun data?

Het bankwezen in België heeft de boodschap begrepen. De Nationale Bank van België (NBB) heeft eind 2015 een circulaire rondgestuurd naar alle Belgische financiële instellingen met richtlijnen voor hun operationele bedrijfscontinuïteit en databeveiliging. Wie wil er nu niet dat zijn zuurverdiende centen veilig zijn?

Banken hebben een kritieke rol in het financieel systeem en een groot maatschappelijk belang. Het spreekt dus voor zich dat zij voorzorgsmaatregelen nemen tegen operationele schade, verstoringen van het elektriciteitsnet of diefstal. De circulaire stelt dat een financiële instelling steeds moet beschikken over twee datacenters, minimaal Tier III, die niet binnen dezelfde stedelijke agglomeratie liggen en minimaal 15 km uit elkaar.

Minder dan 15 km mag, maar dan mits voldoende onderbouwde risicoanalyse voor te leggen aan de NBB. Bijkomende voorzorgsmaatregelen en/of uitwijk- en hersteloplossingen worden voorzien op een afstand van tenminste 100 km. Minder dan 100 km mag, maar dan ook mits voldoende onderbouwde risicoanalyse.

Hoe zit het nu met de overheidsdata? De federale overheid gebruikt veelal 4 datacentra die centraal in Brussel zitten vlakbij de kleine ring en een datacenter in Anderlecht. De afstand tussen de gebouwen gaan van een paar kilometer tot de verste afstand van 5 à 6 km. Dit valt zeker niet onder de bovenbeschreven normen van de Nationale Bank.

.

Gooi een bom op Brussel en niet alleen alle belangrijke overheidsinstellingen zijn van de kaart geveegd, ook hun gevoelige data. De meeste overheden bevinden zich in het hart van onze hoofdstad, zowel met de eigen server rooms als de externe datacenters. Een blikseminslag of een langdurige verstoring van het elektriciteitsnetwerk is al voldoende om een overheidsinstelling lam te leggen, en daarbij alle kritische gegevens. Conclusie: de datacenters en back-up datacenters van onze overheden zijn niet opgewassen tegen een panne op hetzelfde stadsstroomnetwerk. Zij worden dus bij een stadsbrede stroompanne allebei getroffen. Brussel is bovendien een hoge risicozone. Dat wil zeggen dat de kans er op een natuurlijke ramp of een terroristische aanval veel groter is dan in pakweg Aalst of Antwerpen.

Kunnen onze overheden zich deze risico’s veroorloven? Zij beschikken over gevoelige data over u en ik, belastingaangiftes, onze sociale zekerheid, data over de financiële gezondheid van ons land, data over gesprekken tussen politieke partijen, naties. Kortom: informatie die altijd consulteerbaar moet zijn. Moeten deze data niet extra beschermd worden? Door ontdubbeling in een back-up datacenter buiten onze hoofdstad bijvoorbeeld?

De NBB geeft het goede voorbeeld

Hoe komt het dat onze overheden ogenschijnlijk niet wakker liggen van interne of externe veiligheidsrisico’s? Vindt u ook niet dat de richtlijnen/regels voor betalingsinstellingen, verzekeraars en kredietverstrekkers ook zouden moeten gelden voor overheden? Binnen de overheid heerst een tendens die zegt dat zij zelf de datacenters moet beheren. Is het niet efficiënter om dit aan externen over te laten met goede SLA’s?