‘Overheidsorganisaties kunnen veiligheid niet waarborgen’

Nederlandse overheidsorganisaties kunnen hun digitale veiligheid niet waarborgen omdat die niet in alle gevallen op orde is. Dat staat vermeld in het rapport van Onderzoeksraad voor Veiligheid, dat vandaag is gepubliceerd naar aanleiding van het ‘DigiNotar-incident’.

Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij DigiNotar en ook de inbraak zelf blijft buiten beschouwing. De Onderzoeksraad voor Veiligheid heeft gekeken hoe overheidsorganisaties de digitale veiligheid bestuurlijk-organisatorisch waarborgen.



DigiNotar

Het rapport stelt dat bestuurders een veel te grote afstand hebben tot de problemen die samenhangen met digitale veiligheid en dat werd door het DigiNotar-incident uit 2011 pijnlijk duidelijk. Toen de DigiNotar-hack bekend werd, bleek dat er niet snel overgeschakeld kon worden op een andere leverancier waardoor het risico een lange tijd bleef dat gegevens van burgers en bedrijven onderschept en misbruikt zouden worden. De overheid heeft slecht geanticipeerd op een dergelijke hack waardoor het uiteindelijk maanden heeft geduurd om alle DigiNotar-certificaten te vervangen.

Volgens Inspectie Veiligheid en Justitie heeft de overheid juist wel de crisis rond de hack van internetbeveiligingsbedrijf DigiNotar goed aangepakt. De mogelijke gevolgen van de hack werden snel onderkent en vanaf het begin reageerde de crisisorganisatie alert. Sleutelfiguren traden doortastend op.

Door het DigiNotar-incident is digitale veiligheid in ieder geval wel hoger op de agenda van de overheid gekomen. Zo werd begin dit jaar nog het Nationaal Cyber Security Centrum (NCSC) geopend door Ivo Opstelten. Dit platform is erop gericht om organisatie en instanties bewust te maken van, en alert te maken op mogelijke gevaren die ze lopen.





Bestuurders niet bewust van dreigingen

Uit het onderzoek van de Onderzoeksraad voor Veiligheid blijkt dat het risicobewustzijn voornamelijk aanwezig is bij de ICT-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders. Bestuurders zijn zich te weinig bewust van de bedreigingen waaraan digitale veiligheid bloot staat, en de gevolgen die inbreuken op de digitale veiligheid kunnen hebben. Behalve bij de Gemeentelijke Basisadministratie wordt de digitale veiligheid in gegevensverwerkende processen van gemeenten niet altijd systematisch gewaarborgd.





Risico digitale veiligheid is maat, geen uitzondering

Te vaak wordt gedacht dat risico bij digitale veiligheid een uitzondering is terwijl het juist als maat moet dienen voor effectief beleid. Niet alleen preventie, maar ook herstel na incidenten moet in orde zijn. Volledige veiligheid is immers geen reële verwachting, zo stellen de onderzoekers. Een van de aanbevelingen uit het rapport is dan ook dat bestuurders van overheidsorganisaties actief sturing moeten geven aan digitale veiligheidszorg.