nieuws

‘Digitale veiligheid overheid moet beter’

Geen categorie

Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen die veiligheid daardoor niet waarborgen. Dat staat in het rapport van de Onderzoeksraad voor Veiligheid, dat vandaag is gepubliceerd naar aanleiding van het 'DigiNotar-incident'.

‘Veilig elektronisch gegevensverkeer is een basisvoorwaarde voor het functioneren en de continuïteit van veel overheidsorganisaties. Daarmee is het een rechtstreekse verantwoordelijkheid van het bestuur. Echter, de bestuurders zijn vaak niet in staat die goed in te vullen, waardoor het onderwerp aan de bestuurstafel onbesproken blijft en het bestuur te weinig sturing geeft. Bestuurders hebben een veel te grote afstand tot de problemen die samenhangen met digitale veiligheid,' aldus de onderzoeksraad.

Inbraak Diginotar
De inbraak bij DigiNotar in de zomer van 2011 maakte duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid. De Onderzoeksraad voor Veiligheid heeft zich daarom gericht op de vraag hoe overheidsorganisaties digitale veiligheid bestuurlijk-organisatorisch waarborgen. Hiertoe is onder meer het handelen onderzocht van de betrokken partijen naar aanleiding van de inbraak bij DigiNotar. Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij DigiNotar en ook de inbraak zelf blijft buiten beschouwing.

Risico's
De inbraak bij DigiNotar kon zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden. Meer in het algemeen concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt omdat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.

Gemeenten
Ook bij de onderzochte gemeenten blijkt sprake van een gebrekkig inzicht in de risico's die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ICT-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders. Behalve bij de Gemeentelijke Basisadministratie wordt de digitale veiligheid in gegevensverwerkende processen van gemeenten niet altijd systematisch gewaarborgd.

Te weinig sturing
De Onderzoeksraad concludeert dat bestuurders van veel overheidsorganisaties er onvoldoende in slagen om sturing te geven aan een goede digitale veiligheidszorg. Dat komt ondermeer doordat zij zich te weinig bewust zijn van de bedreigingen waaraan digitale veiligheid bloot staat, en de gevolgen die inbreuken op de digitale veiligheid kunnen hebben. Bestuurders van overheidsorganisaties slagen er beter in sturing te geven aan digitale veiligheid wanneer zij zich ervan bewust zijn dat dit een voorwaarde is voor de continuïteit van hun dienstverlening. De Sociale Verzekeringsbank en de Belastingdienst zijn hier voorbeelden van.

Aanbevelingen
Het bestuurlijk toezicht moet worden verscherpt en de overheid moet zorgen dat de bestuurders meer kennis krijgen over aansturing van digitale veiligheid. Ook moeten overheidsorganisaties digitale veiligheid meer systematisch waarborgen. Afspraken hiervoor bestaan al langere tijd, maar worden beperkt nageleefd. De risico's die met gegevensverwerking gepaard gaan, moeten op bestuurlijk niveau expliciet gewogen worden ten opzichte van de voordelen van een dergelijke verwerking. Ten tweede moeten zij systematisch inventariseren welke risico's de digitale veiligheid bedreigen, en hiertegen passende maatregelen treffen. Niet alleen preventie, maar ook herstel na incidenten moet hiervan onderdeel uitmaken; volledige veiligheid is immers geen reële verwachting.

Reageer op dit artikel