De kat op het spek binden

Door de shutdown van de Amerikaanse overheid komt er veel naar buiten over diensten die onmisbaar zijn en die normaal weinig opvallen. Een van die diensten is de GPO. Die zorgt sinds 1861 voor het publiceren van alle overheidsstukken. Verder is het de drukkerij van visa en paspoorten. Een instantie waar veiligheid hoog in het vaandel zou moeten staan, maar daar blijkt het nodige mis te zijn.

Het Government Publishing Office (GPO) heeft ondanks de shutdown kans gezien het eigen 2018 jaarverslag (PDF) te publiceren. Daarin staat onder andere te lezen wat KPMG bij de jaarlijkse audit heeft aangetroffen en wat de verbeterpunten zijn. Er zijn twee behoorlijk grote fouten naar gesignaleerd. Die zijn gevaarlijk tijdens de normale “bedrijfsuren” maar door de shutdown is het risico op escalatie alleen maar groter geworden. Het aantal ambtenaren dat nog aanwezig is om werk te verrichten is in deze fase gering en nog belangrijker is dat voor velen dit het moment is om zich heen te gaan kijken naar een baan bij een meer voorspelbare werkgever.

KPMG heeft als eerste vastgesteld dat GPO geen strategie heeft om een disruptie te kunnen pareren. Techniek, kennis en mensen ontbreken

….[to] ensure minimal impact upon data processing operations in the event the IT system or facility is damaged or destroyed

Iedereen die weet wat binnen de scope van een ISO27001 en NEN7510 valt zal hier van opkijken. Voor een belangrijke Amerikaanse overheidsdienst gelden schijnbaar geen vergelijkbare regels. De tweede omissie die KPMG constateerde is minstens zo bizar. Het is de staande praktijk binnen de GPO dat accounts van vertrokken medewerkers pas na 45 dagen worden geblokkeerd. De auditors stellen voor dat terug te brengen naar 2 weken. Zelfs die termijn is nog wel erg ruim.

De vraag hoe deze gaten gestopt gaan worden is moeilijk te beantwoorden. Los van het feit dat de gebreken al heel lang (7 jaar!) bestaan is er in het huidige klimaat geen mogelijkheid de middelen en mensen te vinden de klus te klaren. Er is weinig fantasie voor nodig om te zien dat deze publicatie een risico op zich is. In kwetsbare tijden wijzen op twee duidelijk gedocumenteerde tekortkomingen is vragen om problemen. Dit is niets meer of minder dan de kat op het spek binden.

Wat leren we hiervan: verslagen van audits publiceren is goed, maar let op de timing en de mogelijke impact dat het kan hebben op het tijdverdrijf van the bad guys [M/V].

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.