Grootse IT-plannen van een rijksoverheid die de eigen informatiebeveiliging niet op orde heeft

Al eerder signaleerde ik op dit blog de discrepantie tussen het Nederlandse en overheidsoptimisme rondom digitalisering van processen en de kwaliteit van de eigen processen. Het is zorgelijk om jaar na jaar te lezen dat de Algemene Rekenkamer van mening is dat IT-beheer en informatiebeveiliging niet op orde zijn, dit jaar ook weer:

 

In de inleiding bij Resultaten verantwoordingsonderzoek 2018 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties schrijft de Rekenkamer:

De minister van BZK is ook verantwoordelijk voor klassieke taken in moderne vorm, informatiebeveiliging en de toepassing van informatietechnologie. We zien dat de minister van BZK haar rijksbrede taak oppakt, onder meer door het gewijzigde coördinatiebesluit van oktober 2018 waarin bevoegdheden zijn geëxpliciteerd. Dat is een positieve ontwikkeling, maar tegelijkertijd is de informatiebeveiliging rijksbreed niet verbeterd, zoals ons verantwoordingsonderzoek laat zien. De overheid is in toenemende mate afhankelijk van informatietechnologie. We nemen waar dat verschillende aspecten van het IT-beheer (zoals beveiliging en autorisatie) nog niet op orde zijn.

 

Meer informatie:

Algemene Rekenkamer:

Eerdere berichten op dit blog:


Aanvulling 3 september 2019
Lees over cybersecurity bij de overheid ook Inzicht in informatiebeveiliging bij iBestuur.

Inzicht in informatiebeveiliging

Op het iBestuur Congres 2019 namen onderzoeker Démi van ’t Wout en directeur Mark Smolenaars het publiek mee in het onderzoek naar informatiebeveiliging bij ministeries en de cybersecurity naar een vitale sector in de samenleving: de waterwerken. Er was ook een vooraankondiging: het volgende target wordt de grensbewaking van de Marechaussee op Schiphol.
Geeft de rijksoverheid ons belastinggeld wel zinnig, zuinig en zorgvuldig uit? Dat is de vraag die ten grondslag ligt aan elk onderzoek van de Algemene Rekenkamer, zo vertelt directeur Mark Smolenaars bij de sessie ‘Inzicht in informatiebeveiliging overheid’. “Onze strategie is inzicht als basis voor vertrouwen.” De Rekenkamer heeft, volgens Smolenaars, unieke bevoegdheden om diep in organisaties te kijken of publieke gelden wel doelmatig en rechtmatig worden besteed. Dat doen ze breed: van het geld dat naar Joint Strike Fighter-programma gaat, tot de besteding van subsidies in windparken. Twee recente onderzoeken van de Rekenkamer richten zich specifiek op de kwaliteit van informatiebeveiliging. De eerste is een algemene toets of departementen voldoen aan bepaalde normen. De tweede is een specifiek onderzoek naar de beveiliging van waterwerken.

Departementen krijgen onvoldoende
Hoe is het gesteld met de kwaliteit van informatiebeveiliging bij de rijksoverheid? Onderzoeker Démi van ‘t Wout van de Rekenkamer houdt niet van cliffhangers: “Het brede beeld is dat de informatiebeveiliging niet op orde is. Slechts drie departementen kregen een voldoende. We toetsen die kwaliteit aan de Baseline Informatiebeveiliging Rijksdienst (BIR), legt de onderzoeker uit. Dat is dus de norm die de Rijksoverheid zichzelf heeft opgelegd.”
Van ‘t Wout memoreert nog dat de Rekenkamer in 2017 ernstige tekortkomingen vaststelde bij de Rijksdienst Caribisch Nederland (RCN). “Daar is direct actie op genomen. We kijken ook later wat men met de aanbevelingen doet.” In het verantwoordingsonderzoek over 2017 had de Rekenkamer vastgesteld dat zwakke plekken, die sinds 2014 in de informatiebeveiliging van de RCN zijn geconstateerd, eind 2017 nog altijd niet waren opgelost. Zo bestond het risico dat kwaadwillenden relatief gemakkelijk toegang konden krijgen in het netwerk van RCN en via dit netwerk tot systemen en voorzieningen op andere netwerken van de rijksoverheid. Vanwege de hardnekkigheid van de problemen had de Algemene Rekenkamer in april 2018 de uitzonderlijke stap gezet om bezwaar aan te tekenen bij de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) tegen de wijze waarop tot nu toe met de informatiebeveiliging van RCN is omgegaan.
De Rekenkamer heeft, naar aanleiding van het onderzoek bij Nederlandse departementen, niet alleen de gebruikelijke lijst aanbevelingen gegeven – die al even gebruikelijk integraal zijn overgenomen – maar ook een politiek gevoeliger advies gegeven. Van ‘t Wout: “Zoals onze president Arno Visser eerder al naar buiten heeft gebracht willen wij dat BZK een belangrijker rol krijgt dan de huidige coördinerende rol. Dat is natuurlijk lastig omdat volgens artikel 44 van de grondwet elke minister verantwoordelijk is voor het eigen ministerie. Maar in onze ogen kan BZK op het gebied van informatiebeveiliging een vergelijkbare rol krijgen als nu Financiën op het gebied van de uitgaven.” Smolenaars wil de stemming er nog in houden: “Wij zijn niet alleen een afrekenkamer. Wij willen u ook in de positie brengen verbeteringen door te voeren”, zegt hij tegen de zaal met ambtenaren.

Wie zet de sluizen open?
De Rekenkamer mag een oud orgaan zijn, maar cybersecurity is daar nu Chefsache, aldus Smolenaars. De Rekenkamer gaat onderzoek doen naar alle vitale sectoren en ook graag in samenwerking met de betreffende organisaties. Het eerste in die serie is in maart gepresenteerd. En een typisch Nederlands thema: de veiligheid van stormvloedkeringen, stuwen, dammen en sluizen. Hoe zit het met de beveiliging van de informatiesystemen rond al die waterwerken? Kan een slimme hacker-terrorist de polders onder laten lopen?
De Rekenkamer heeft voor zijn onderzoek niet alleen de bestaande veiligheidsprocedures tegen het licht gehouden, maar ook twee praktijktesten uitgevoerd. Smolenaars: “We hebben in goede samenwerking met Rijkswaterstaat een aantal testen gedaan. Daarbij hebben we ook geprobeerd via hackers binnen te dringen in regelsystemen. En zelfs hebben we getest of hackers met de juiste werkkleding konden doordringen tot de controlekamer van een groot waterwerk en daar vervolgens toegang konden krijgen tot de systemen. De door ons ingehuurde hacker kon inderdaad ongemerkt de controlekamer binnendringen. Dat was schrikken. Hij kon ook het systeem binnendringen op een computersysteem dat even onbemand was achtergelaten. Maar toen hij probeerde zijn laptop aan te sluiten werd dat direct gedetecteerd.“
Het algemene eindbeeld van het onderzoek is volgens Smolenaars gemengd. Waterkeringen worden nog vaak bediend via gedateerde systemen die niet zijn ontwikkeld om aan elkaar te koppelen. “Dat brengt extra risico’s met zich mee.”
Rijkswaterstaat is volgens Smolenaars goed gestart met het oprichten van Security Operations Center (SOC), maar een aantal voorgenomen vervolgmaatregelen is niet uitgevoerd omdat het geld op was. Een van de aanbevelingen is dan ook om de niet uitgevoerde maatregelen alsnog te voltooien. Ook moeten er specifieke scenario’s worden opgesteld voor cyberaanvallen. Die scenario’s waren er niet.
De Rekenkamer stelde ook vast dat niet al het personeel in het SOC voldoende is gescreend en dat veel geheime informatie niet als zodanig is geclassificeerd. In de lijst aanbevelingen stond ook om haast te maken met het aansluiten van alle vitale waterwerken op het SOC en het op reguliere basis houden van penetratietesten. Hoe groot het acute gevaar precies is kan de Rekenkamer niet inschatten. Alle aanbevelingen zijn in ieder geval opgevolgd door minister Van Nieuwenhuizen van Infrastructuur en Waterstaat. “Maar dat is meer regel dan uitzondering bij onze onderzoeken van de Rekenkamer.” Aan het slot had Smolenaars nog een ‘nieuwtje’. Het volgende target van een cybersecurity-onderzoek wordt de grensbewaking van de Marechaussee op luchthaven Schiphol.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s