'Overheid heeft te weinig kennis van beveiliging'

Source: nu.nl

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing.

Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar. Het bedrijf dat certificaten uitgeeft voor onder meer overheidswebsites werd vorig jaar gehackt, maar Diginotar wist dat maandenlang geheim te houden. Het onderzoek keek vooral naar de organisatie en niet zo zeer naar de technische problemen.

Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden.

Te veel vertrouwen

Volgens de onderzoeksraad heeft de overheid te veel vertrouwen in Diginotar en het oordeel van de toezichthouder gehad. Daardoor had het Ministerie van Binnenlandse Zaken niet tijdig in de gaten dat het bedrijf grote steken liet vallen. Niemand controleerde of de veiligheid in de praktijk wel goed zat. Wat eventuele gevolgen van een hack zouden zijn, was bij niemand bekend. "Noch het Ministerie van Binnenlandse Zaken noch de betrokken partijen hebben zich voldoende afgevraagd welke risico’s de certificaten met zich mee kunnen brengen", stelt Professor Erwin Muller. Hij leidde het onderzoek namens de Onderzoeksraad. Hij noemt de problemen bij Diginotar exemplarisch voor wat elders kan gebeuren.

Geen kennis

"Bestuurders zijn zich veel te weinig bewust van de bedreigingen waaraan ze bloot staan. Omdat er weinig besef is, is er ook weinig sturing rond beveiliging in organisaties", stelt Tjibbe Joustra, voorzitter van de Onderzoeksraad. Daarom moeten bestuurders gaan bijleren op het onderwerp van beveiliging. "ICT en Veiligheid moet voor bestuurders net zo belangrijk zijn als financiën", meent Muller. Hij zag tijdens het onderzoek bij gemeenten dat het College van Burgemeesters en Wethouders nauwelijks betrokken is bij het onderwerp veiligheid. Daarom is het advies ook om terughoudender te zijn in het omgaan met digitaal gegevensverkeer.

Openheid

In de adviezen stuurt de Onderzoeksraad aan op een jaarlijks rapport van overheden waarin zij aangeven wat de prestaties zijn op beveiligingsgebied. Ook moeten overheidsinstellingen zich gaan houden aan open standaarden en horen afwijkingen een uitzondering te zijn. Verder verwacht de onderzoeksraad dat er ook concrete plannen worden gemaakt om na een incident snel te kunnen handelen.

Vertrouwen

De onderzoekers adviseren de overheid om de rol van OPTA en Logius, een onderdeel van het ministerie van Binnenlandse Zaken, te verstevigen. De organisaties moeten beter gaan controleren. "De burger mag erop vertrouwen dat de overheid zijn werk goed doet", stelt Jouwstra dan ook. Een voorlichter van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties zegt dat het rapport momenteel nog wordt bestudeerd. Hij verwacht niet dat de minister niet op hele korte termijn kan reageren.

Terug