Onderzoeksraad: Overheid mist kennis veiligheid ict

2

Het is een blinde vlek, concludeert de Onderzoeksraad voor Veiligheid. De overheid mist de kennis om het gebruik van ict goed te beveiligen.

Ook de controle op het gebruik van ict door overheden schiet

te kort, oordeelt de raad. Aanleiding is de crisis rond DigiNotar. “Geen van de betrokken partijen had stilgestaan

bij de mogelijkheid dat certificaten van een gecompromitteerde

certificaatdienstverlener niet zonder gevolgen ongeldig verklaard kunnen worden”,

staat in het rapport (PDF).

Die partijen zijn de overheid,

toezichthouder OPTA en leverancier Logius. “Niemand had zich gerealiseerd dat

dit kon leiden tot het stilvallen van belangrijke gegevensstromen met en tussen

overheidsorganisaties, met ingrijpende maatschappelijke gevolgen.” De hack

van de certificatenverstrekker legde een zwakke plek in de beveiliging bloot

die ook niet eenvoudig was te verhelpen.

Toezicht

Vooral de toezichthouders krijgen

ervan langs in het rapport. Papieren tijgers zijn het, is de conclusie.

DigiNotar maakte een rommeltje van de beveiliging van ict, maar kwam wel door

periodieke audits. Zelfs de meest basale beveiliging was niet in orde. Zelfs

een virusscanner ontbrak.

“De overheid vertrouwt dus op

certificaatdienstverleners, maar onthoudt zichzelf van instrumenten om te verifiëren

of de betrouwbaarheid van hun bedrijfsvoering dat vertrouwen rechtvaardigt. Dit

is een bewuste keuze van de wetgever geweest. Gezien de veiligheidskritische

functie van digitale certificaten vindt de Onderzoeksraad deze constructie niet

verantwoord.”

Deskundigheid

Het ontbreekt bestuurders en

ambtenaren aan relevante kennis. Daardoor kunnen zogenaamde ict-deskundigen

veelal hun gang gaan. Het ministerie van Binnenlandse Zaken laat weten na de

zomer met een reactie op het rapport te komen.

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Over Auteur

2 reacties

  1. Klopt helemaal. Ik was in de periode 2004 – 2006 interim hoofd ICT bij, wat nu, een dienst van Justitie. Mijn adviezen werden wel door mijn opdrachtgever serieus genomen, maar ik moest toen ook samenwerken met het Notariaat. Er was echter sprake van een familierelatie tussen de directeur van Diginotar en een vooraanstaand lid van het Notari?le gebeuren. Het feit dat ik een jarenlange ervaring had (en heb) op het gebied van IB, was niet genoeg om het te kunnen winnen van deze belangenverstrengeling. Nu zitten we met de gebakken peren.

  2. Niet de overheid mist de kennis. De verantwoordelijke bestuurders binnen de overheid missen de kennis. Misschien aan vervanging toe? Te oud misschien? Niet mee gegeroeid? Binnen de ICT van de overheid zijn er meer dan voldoende mensen (ambtenaren) die van de hoed en de rand weten (conform de NORA, etc.). Dit was een organisatorisch probleem. En misschien wel de belangenverstrengeling die Willem veronderstelt. Misschien een onderzoekje waard? Of blijft het een blinde vlek?

Reageer