AIVD heeft geen grip op controles

Buith ziet wel verbeteringen: "Procedures, richtlijnen, awareness zijn er allemaal, maar interne controles en beheersingsprocedures falen nog regelmatig." Dat heeft ook te maken met de menselijke component. Er moet gecontroleerd en getoetst worden of werknemers en bedrijven zich aan de richtlijnen houden. "Dit incident is ontstaan doordat de interne controle bij de RID heeft gefaald", aldus Buith. AIVD-woordvoerder Miranda Havinga kan niet zeggen welke procedures er binnen de AIVD gelden. "We hebben wel een speciale IT-beveiligingsbeambte die zorg draagt voor deze regels en die de regels opstelt." Uit beveiligingsoverwegingen worden geen mededelingen gedaan over concrete maatregelen. Floppy’s In het ‘voorschrift informatiebeveiliging rijksdienst - bijzondere informatie’, waarin de beveiliging van (staats)geheime informatie wordt besproken, staat: ‘In verband met de steeds voortschrijdende techniek is er voor gekozen om [...] geen techniek afhankelijke beveiligingsmaatregelen voor te schrijven, maar beveiligingseisen.’ Toch is het merkwaardig dat de AIVD nog met floppy’s werkt. Regionaal manager Vincent Oostlander van Kingston Technology: "Er zijn genoeg USB-sticks op de markt die zowel met een wachtwoord als met encryptie beveiligd zijn. Daar komt zelfs Peter R. de Vries niet meer aan." Lachend: "Misschien dat we die maar eens bij de AIVD gaan aanbieden." Buith vraagt zich af of je überhaupt nog met floppy’s, dvd’s of USB-sticks moet werken. "Kun je alles niet beter in een netwerk opslaan? Daar heb je veel betere mogelijkheden tot beveiliging. Zodra iets op een device staat, haal je het fysiek uit een netwerk en is het moeilijker te beveiligen." Over de middelen waarmee de AIVD werkt wil de dienst niets zeggen.