Toegang data TU Delft niet goed geregeld

Dat bleek 24 september tijdens een vergadering van de ondernemingsraad (or) met het college van bestuur. Cvb-lid Nicoly Vermeulen erkende dat ‘dataclassificatie, ownership en toegang regelen een ondergeschoven kind zijn bij de TU Delft’.

Inmiddels is het ergste lek gedicht. Wat is er aan de hand?

Het verhaal begint bij or-lid Menno Blaauw, die in juni ontdekt dat er iets mis is. Een nieuwe medewerker heeft tot Blaauws verbazing zelf toegang gevraagd en gekregen tot een opslaglocatie met potentieel gevoelige projectinformatie en andere data, hier expres niet nader genoemd. Navraag bij de afdeling ICT leert hem hoe dat kan. Tijdens de vergadering vertelt hij er dit over: “Ik hoorde dat er geen administratie is van wie de eigenaren zijn van deze gedeelde opslaglocaties en dat ze verzoeken om toegang gemakkelijk honoreren. Dat is naar mijn idee een veiligheidslek.”

Onwenselijk
Cvb-lid Nicoly Vermeulen heeft tijdens de vergadering een weerwoord van de afdeling ICT paraat. Die stelt dat aanvragen altijd via een leidinggevende of secretaresse moeten lopen. “Als een aanvraag door een medewerker zelf wordt ingediend, wordt die niet in behandeling genomen.” Vermeulen gaat niet in op Blaauws voorbeeld, waarbij dat wel gebeurde. Uit haar uitleg van de procedures blijkt dat er normaal gesproken een check volgt of een medewerker inderdaad leidinggevende of secretaresse is van degene voor wie hij of zij toegang vraagt.

Daarmee is de discussie niet afgedaan. Volgens Blaauw zegt deze check niets, omdat er bij ICT geen relatie is gelegd tussen leidinggevenden en de dataopslaglocaties waar toegang toe wordt gevraagd. “Mijn leidinggevende kan voor mij toegang vragen tot een locatie waar mijn leidinggevende niets mee te maken heeft, want ICT weet niet wie met wat te maken heeft.” Blaauw noemt de situatie onwenselijk.

Hij zegt ook dat hij bij een audit niet zou durven beweren dat onbevoegden niet bij gevoelige data kunnen. “Dat deel ik met je”, reageert Vermeulen daarop. Ze zegt het vraagstuk ‘bij ICT neer te zullen leggen’. “Laten we op een later moment nader met elkaar in gesprek gaan over de oplossingen en de aanpak: van risicovol naar minder risicovol.”

Later vertelt Blaauw aan de telefoon dat hij niet denkt dat het vaak mis gaat, maar dat dat dus wel kan, helemaal omdat momenteel niet duidelijk is wie waar toegang toe hebben, iets dat Vermeulen in de vergadering erkent. “Je moet wel weten hoe een bepaalde gedeelde opslaglocatie heet om toegang te kunnen vragen. Dat is nog iets van een beveiliging”, nuanceert Blaauw.

Proef op de som
Intussen neemt Delta zelf de proef op de som. Redacteur Marjolein Van der Veldt vraagt bij het servicepunt toegang tot de gedeelde opslaglocatie van de ondernemingsraad. Zij krijgt het antwoord dat haar leidinggevende die aanvraag moet doen. Dus doe ik dat als hoofdredacteur. De aanvraag wordt in behandeling genomen.

Even later krijg ik via Topdesk de vraag of ik de locatie specifieker kan benoemen. Dat kan ik niet. In overleg met Menno Blaauw proberen we bij het een specifieke opslaglocatie, eentje zonder belangrijke informatie maar als het goed is ontoegankelijk voor onbevoegden. Marjolein krijgt die toegang, zonder dat Blaauw daar als dataverantwoordelijke bericht van krijgt. (inmiddels is deze toegang ingetrokken.)

Collegelid Vermeulen laat eerder in de week al weten geen tijd te hebben om hierover vragen van Delta te beantwoorden. Op zoek naar antwoorden komen we terecht bij Marco de Graaf, ICT security manager bij de TU Delft. Hij moet nagaan wat er aan de hand is en wat daaraan wordt gedaan. De volgende dag vertelt hij dat inderdaad niet in alle gevallen bekend is wie voor welke opslaglocatie verantwoordelijk is. Wel zou volgens hem gecheckt worden of een leidinggevende zelf toegang heeft tot een locatie waartoe hij voor zijn medewerker toegang aanvraagt.

Eigenaarschap vastleggen
Dat dat in de test van Delta niet is gebeurd, is ‘kwalijk’, zegt De Graafs collega chief information security officer Marthe Uitterhoeve. “We gaan er alles aan doen om dit waterdicht te krijgen.” ICT is nu begonnen bij werkplekservices (WPS): zij hebben instructies gekregen om volgens aangescherpte processen te werken, waarbij de aanvrager een secretaresse of leidinggevende moet zijn van de afdeling waar de data bij hoort. Ook moeten ze de aanvrager direct de check laten doen op de lijst met bestaande autorisaties om te zien of die lijst nog klopt. Dat was bij sommige afdelingen al praktijk, aldus Uitterhoeve. ”Dat hebben we nu een structureel onderdeel gemaakt van het aanvraagproces.”

Daarnaast onderschrijft ICT Blaauws suggestie om eigenaarschap van data vast te leggen, zodat bij iedere aanvraag om toegang bekend is wie daarover ingelicht of geconsulteerd moet worden. Uitterhoeve: “De relatie tussen leidinggevenden en de dataopslag-locaties waar toegang toe wordt gevraagd is nu met het aangescherpte proces wel gelegd: deze moeten tot dezelfde afdeling behoren.”

Dataclassificatie
Verder heeft ICT een concept klaarliggen van een handleiding dataclassificatie. Zulke classificatie van data die wel of niet gevoelig is, ontbreekt nu. Toch hebben sommige gedeelde netwerkschijven wel een ‘extra autorisatieslag’, zoals De Graaf het noemt. Zelfs al krijg je toegang tot zo’n schijf, dan kun je de bestanden niet openen, verzekert hij. Zo gaat dat met privacygevoelige informatie, tekeningen van vastgoed en andere geheime informatie. Weten alle TU-medewerkers dat en maken ze de juiste beslissingen? De Graaf kan dat niet zeggen: “Het is lastig om te monitoren of systemen goed worden gebruikt door medewerkers. De dataclassificatie-handleiding zal medewerkers hier wel duidelijkere kaders voor bieden.”

Uitterhoeve wil als laatste kwijt dat ICT hard werkt aan ‘het verbeteren van informatiebeveiliging, zoals de aanscherping van dit aanvraagproces voor toegang, een handreiking voor dataclassificatie, invoering van multi-factor-authenticatie, data-eigenaarschap en security monitoring’. “Er is nog veel te doen, maar we gaan met sprongen vooruit.”