Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen die veiligheid daardoor niet waarborgen. Dat staat in het rapport van de Onderzoeksraad voor Veiligheid, dat is gepubliceerd naar aanleiding van het ‘DigiNotar-incident’.
Veilig elektronisch gegevensverkeer is een basisvoorwaarde voor het functioneren en de continuïteit van veel overheidsorganisaties. Daarmee is het een rechtstreekse verantwoordelijkheid van het bestuur. Echter, de bestuurders zijn vaak niet in staat die goed in te vullen, waardoor het onderwerp aan de bestuurstafel onbesproken blijft en het bestuur te weinig sturing geeft. Bestuurders hebben een veel te grote afstand tot de problemen die samenhangen met digitale veiligheid.
De inbraak bij DigiNotar in de zomer van 2011 maakte duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid. Het bedrijf leverde digitale certificaten, die gebruikt worden om elektronisch gegevensverkeer te beschermen. Ook de Nederlandse overheid maakte gebruik van certificaten van dit bedrijf. Door de inbraak ontstond het risico dat gegevens van burgers en bedrijven onderschept zouden worden en mogelijk misbruikt. Tot veler verrassing bleek dat niet snel kon worden overgeschakeld op een andere leverancier zonder dat de continuïteit van diverse essentiële gegevensstromen met en binnen de overheid ernstig in gevaar zou komen. Een consequentie had kunnen zijn dat gegevensstromen binnen de rechtspraak of de Belastingdienst stil kwamen te liggen. Omvangrijke maatschappelijke ontwrichting en economische schade zouden hiervan het gevolg zijn geweest. Uiteindelijk heeft de overheid er maanden over gedaan om alle DigiNotar-certificaten te vervangen.
De Onderzoeksraad voor Veiligheid heeft zich gericht op de vraag hoe overheidsorganisaties digitale veiligheid bestuurlijk-organisatorisch waarborgen. Hiertoe is onder meer het handelen onderzocht van de betrokken partijen naar aanleiding van de inbraak bij DigiNotar. Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij DigiNotar en ook de inbraak zelf blijft buiten beschouwing.
Risico’s
De inbraak bij DigiNotar kon zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden. Meer in het algemeen concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt omdat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.
Ook bij de onderzochte gemeenten blijkt sprake van een gebrekkig inzicht in de risico’s die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ICT afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders. Behalve bij de Gemeentelijke Basisadministratie wordt de digitale veiligheid in gegevensverwerkende processen van gemeenten niet altijd systematisch gewaarborgd.
De Onderzoeksraad concludeert dat bestuurders van veel overheidsorganisaties er onvoldoende in slagen om sturing te geven aan een goede digitale veiligheidszorg. Dat komt ondermeer doordat zij zich te weinig bewust zijn van de bedreigingen waaraan digitale veiligheid bloot staat, en de gevolgen die inbreuken op de digitale veiligheid kunnen hebben. Risico is bij digitale veiligheid de maat en niet de uitzondering. De overheid moet zich daarvan bewust zijn en daar ook naar handelen. Bestuurders van overheidsorganisaties ontbreekt het vaak aan de kennis die zij nodig hebben om hun organisaties op dit terrein aan te sturen. Zij slagen er beter in sturing te geven aan digitale veiligheid wanneer zij zich ervan bewust zijn dat dit een voorwaarde is voor de continuïteit van hun dienstverlening. De Sociale Verzekeringsbank en de Belastingdienst zijn hier voorbeelden van.
Aanbevelingen
Bestuurders van overheidsorganisaties moeten actief sturing geven aan digitale veiligheidszorg. Een openbare verantwoordingsplicht, vergelijkbaar met de verplichtingen die gelden op het gebied van financiën, kan daar aan bijdragen. Het bestuurlijk toezicht moet worden verscherpt en de overheid moet zorgen dat de bestuurders meer kennis krijgen over aansturing van digitale veiligheid. Ook moeten overheidsorganisaties digitale veiligheid meer systematisch waarborgen. Afspraken hiervoor bestaan al langere tijd, maar worden beperkt nageleefd. De risico’s die met gegevensverwerking gepaard gaan, moeten op bestuurlijk niveau expliciet gewogen worden ten opzichte van de voordelen van een dergelijke verwerking. Ten tweede moeten zij systematisch inventariseren welke risico’s de digitale veiligheid bedreigen, en hiertegen passende maatregelen treffen. Niet alleen preventie, maar ook herstel na incidenten moet hiervan onderdeel uitmaken; volledige veiligheid is immers geen reële verwachting.
Downloaden: DigiNotar-incident