Het is een blinde vlek, concludeert de Onderzoeksraad voor Veiligheid. De overheid mist de kennis om het gebruik van ict goed te beveiligen.
Ook de controle op het gebruik van ict door overheden schiet
te kort, oordeelt de raad. Aanleiding is de crisis rond DigiNotar. "Geen van de betrokken partijen had stilgestaan
bij de mogelijkheid dat certificaten van een gecompromitteerde
certificaatdienstverlener niet zonder gevolgen ongeldig verklaard kunnen worden”,
staat in het rapport (PDF).
Die partijen zijn de overheid,
toezichthouder OPTA en leverancier Logius. “Niemand had zich gerealiseerd dat
dit kon leiden tot het stilvallen van belangrijke gegevensstromen met en tussen
overheidsorganisaties, met ingrijpende maatschappelijke gevolgen." De hack
van de certificatenverstrekker legde een zwakke plek in de beveiliging bloot
die ook niet eenvoudig was te verhelpen.
Toezicht
Vooral de toezichthouders krijgen
ervan langs in het rapport. Papieren tijgers zijn het, is de conclusie.
DigiNotar maakte een rommeltje van de beveiliging van ict, maar kwam wel door
periodieke audits. Zelfs de meest basale beveiliging was niet in orde. Zelfs
een virusscanner ontbrak.
"De overheid vertrouwt dus op
certificaatdienstverleners, maar onthoudt zichzelf van instrumenten om te verifiëren
of de betrouwbaarheid van hun bedrijfsvoering dat vertrouwen rechtvaardigt. Dit
is een bewuste keuze van de wetgever geweest. Gezien de veiligheidskritische
functie van digitale certificaten vindt de Onderzoeksraad deze constructie niet
verantwoord."
Deskundigheid
Het ontbreekt bestuurders en
ambtenaren aan relevante kennis. Daardoor kunnen zogenaamde ict-deskundigen
veelal hun gang gaan. Het ministerie van Binnenlandse Zaken laat weten na de
zomer met een reactie op het rapport te komen.
door
Nico van Wijk
29 jun 2012