of 59045 LinkedIn

Aan de rand van de digitale afgrond

‘Nederland loopt internationaal gezien voor op het gebied van computerbeveiliging’, zo liet staatssecretaris Dijkhoff (Veiligheid en Justitie) begin januari aan de NOS weten. Toch opvallend in een jaar waarin in Nederland het aantal cyberincidenten op computersystemen van bedrijven en overheden fors is gestegen. We lijken niets te hebben geleerd van de DigiNotar-affaire.
4 reacties

‘Nederland loopt internationaal gezien voor op het gebied van computerbeveiliging’, zo liet staatssecretaris Dijkhoff (Veiligheid en Justitie) begin januari aan de NOS weten. Toch opvallend in een jaar waarin in Nederland het aantal cyberincidenten op computersystemen van bedrijven en overheden fors is gestegen. We lijken niets te hebben geleerd van de DigiNotar-affaire.

Heeft de overheid iets geleerd van de DigiNotar-affaire?

door: Mary-Jo de Leeuw, Vice President Women in Cyber Security Foundation

DigiNotar was een Nederlands bedrijf dat veiligheidscertificaten verstrekte aan bijvoorbeeld banken en webwinkels, maar ook aan een groot aantal websites van de Nederlandse overheid. Overheidswebsites zoals DigiD, de Belastingdienst en de Rijksdienst Wegverkeer (RDW) maken gebruik van veiligheidscertificaten. Zo kunnen ze bezoekers van websites garanderen in een volledig veilige internetomgeving terecht te zijn gekomen. Totdat bekend werd dat digitale inbrekers erin waren geslaagd om grote aantallen valse DigiNotar-certificaten uit te geven. Toen waren die garanties, samen met die digitale inbreker, spoorloos verdwenen. DigiNotar trok vervolgens alle uitgegeven certificaten in. Hierdoor waren vele overheidswebsites dagenlang onbereikbaar met totale chaos en miljoenenclaims tot gevolg.

Grootschalig falen
De Tweede Kamer, bezorgd over de vele veiligheidsincidenten, dwong een onderzoek naar de affaire af. De uitkomsten waren niet mals: de overheid had geen capaciteit op het gebied van informatieveiligheid en nam op geen enkele wijze verantwoordelijkheid. Om die reden moest er een speciale Taskforce worden opgericht om het onderwerp hoog op de bestuurlijke agenda te zetten. Een dergelijke affaire zou daarmee voor altijd tot het verleden behoren. Uit het onderzoek bleek verder dat de overheid zes maanden voor de uiteindelijke ramp gewaarschuwd werd voor het lek. Ze waren dat ‘alleen even vergeten te melden’ aan derden. De inschatting was dat dit lek de overheid op geen enkele wijze zou raken. En daarmee werd de trend van grootschalig falen ingezet!

Taskforce BID
In februari 2013 werd door minister Plasterk (Binnenlandse Zaken en Koninkrijkrelaties) de taskforce Bestuur en Informatieveiligheid Dienstverlening (taskforce BID) in het leven geroepen voor een periode van twee jaar. Een taskforce suggereert brute kracht en een guerrilla-aanpak om de taakomschrijving – zet het onderwerp informatieveiligheid bij bestuurders hoog op de agenda – uit te voeren. Helaas was een Wob-verzoek nodig om antwoord te krijgen op een paar simpele vragen over de kosten en de opbrengsten van een dergelijke taskforce. Uit de antwoorden blijkt dat er bijna vijftig mensen in twee jaar aan het werk zijn geweest, dat er miljoenen euro’s zijn uitgegeven aan overwegend externe bureaus en aan het opleveren van negen producten. Producten zoals een zogenaamde dialoogsessie, een risico-bewustzijnsessie, een verankersessie en een app iVeiligheid. Het is aan te raden om deze app eens te bekijken in de appstore of in de Google Playstore. Oordeelt u zelf!

Digicommissaris
Betrouwbaar online zaken doen met de overheid is, met de DigiNotar-affaire in het achterhoofd, een uitdaging op zich. En daarom werd er aangedrongen op het benoemen van een Digicommissaris: een stevige, overheidsbrede regisseur die alles in goede banen moet leiden. Zo’n belangrijke taak staat of valt met de kennis en ervaring die iemand meeneemt om een dergelijke functie uit te voeren. Dan verwacht je een ‘echte’ sollicitatieprocedure zoals bij andere (belangrijke) overheidsfuncties het geval is. Je verwacht dat de persoon die dit belangrijke werk gaat doen, gezien de complexiteit van de opdracht minstens iemand is met een gedegen track record op het gebied van informatieveiligheid, ICT of cybersecurity. Toch? Ineens was daar op 1 augustus de Digicommissaris. Het kabinet besloot, blijkens de aanstellingsbrief die ministerpresident Mark Rutte naar de Tweede Kamer stuurde, iemand aan te stellen die ‘eerder langjarig burgemeester is geweest’ na in het bedrijfsleven en de advieswereld functies te hebben vervuld. De redder in nood die door het kabinet voor vier jaar werd aangesteld, is iemand zonder gedegen (en aanwijsbare) ervaring met de thematiek en complexiteit van het onderwerp waarvoor hij verantwoordelijk is.

Blunders
Hoe kun je veiligheid garanderen als bestuurlijk Nederland worstelt met ICT? De commissie-Elias deed in 2013 en 2014 onderzoek naar de lange reeks ICT-blunders en liet geen spaan heel van het overheidsbeleid. De combinatie Belastingdienst en ICT kostte de belastingbetaler de afgelopen jaren enkele honderden miljoenen. Blunders bij de uitkeringsinstantie UWV, miljarden door het afvoerputje bij het ministerie van Defensie en dan nog veel mislukte ICT-projecten bij de politie.

De commissie-Elias gaf in zijn eindoordeel aan dat een deel van de blunders voortkomt uit totale desinteresse van politici maar ook uit pure onkunde. De dag dat het eindrapport van de commissie- Elias aan de Kamer werd aangeboden, was een zoveelste voorbeeld van gebrek aan ICT-kennis. Voormalig Kamervoorzitter Van Miltenburg nam het rapport in ontvangst. Niet wetende dat haar microfoon aanstond, wist ze met een volgende blunder geschiedenis te schrijven. Van Miltenburg gaf namelijk ruiterlijk toe dat zij ‘nog even de betekenis van ICT moest opzoeken’. En er leek daarbij een heuse triomfantelijke glimlach op haar lippen te verschijnen.

Geen verstand van zaken
Door het inrichten van instituties als de taskforce BID en het in het leven roepen van de Digicommissaris is de indruk gewekt dat informatieveiligheid hoog op de agenda staat. In hoeverre dat tot genomen verantwoordelijkheden heeft geleid, is niet te zeggen. Het is niet de vraag óf zich weer een volgende cyberaffaire gaat aandienen, maar wanneer! Beleggen we de verantwoordelijkheden voor informatieveiligheid voorlopig buiten onze eigen organisaties of gaan we daadwerkelijk de mouwen opstropen en een barricade opwerpen op het gebied van ICT in het algemeen en cybersecurity in het bijzonder?

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Sebastiaan van Gelderen op
Wat een eye opener dit. Is het echt zo sneu gesteld in Nederland? Fijn geschreven stuk trouwens. Complimenten voor de "stijl" en voor de uiteenzetting. Zeer verhelderend.
Door Annamaaike de Lieve op
De taskforce bid levert een verankersessie op. En een bewustzijnsverruimende sessie. Nemen deze mensen zichzelf wel serieus? Weer miljoenen over de balk. Houd het dan nooit op met alle graaiers?
Door Anna de Boer op
De app is hilarisch, 5-sterren reviews door voormalig TF BID medewerkers en dan die cartoon-versies van bestuurders met moeilijke monturen!! Nu al een cult-product
Door Maarten van den Bosch op
Ik heb die app van iveiligheid even bekeken. Wat een treurig ding is dat zeg! Pure verkwisting van belastingcenten! De afgrond komt wel heel dichtbij zo.