GroenLinks wil ICT veiligheidsgezant
GroenLinks wil een `ICT en veiligheidsgezant' van buitenaf vragen om
het ICT beleid van de overheid door te lichten. Het DigiNotar debacle
is geen incident op zich maar een symptoom van een gebrek aan controle
op de veiligheid van ICT-systemen bij de overheid. Tweede Kamerlid
Arjan El Fassed: "We weten wat er mis gaat. Onderzoek na onderzoek, lek
na lek, kunnen we daar over praten. We weten hoe het wel moet, maar
niet waarom de overheid het steeds maar niet lukt om privacy en
veiligheid topprioriteit te geven. Die vraag moet beantwoord worden.
Dat kan door een parlementair onderzoek, maar een beter idee is om een
`ICT en veiligheidsgezant' te vragen, een expert uit bijvoorbeeld de
bankensector, om de boel eens goed door te lichten."
Er is iets goed mis met de omgang van de overheid met ICT. Incidenten
staan niet meer op zichzelf. Er is een waslijst aan voorbeelden van
overheids-systemen die data bevatten van personen waar de beveiliging
niet op orde is. Gegevens worden lukraak opgeslagen en problemen worden
miskend.
El Fassed: "De overheid wil heel gulzig allerlei gegevens van haar
burgers digitaal opslaan, of het nu in het GBA, het elektronisch
patiëntendossier (EPD) of een database van biometrische gegevens is. De
burger heeft vaak geen keus in de opslag van die gevoelige informatie.
Dan is toch het minste dat de overheid kan doen daar zo zorgvuldig
mogelijk mee om te gaan. En daar schort het aan."
GroenLinks wil dat eisen omtrent privacy en veiligheid niet langer
mogen ontbreken in een aanbesteding. Een meldplicht datalekken is niet
voldoende. Controle moet transparant zijn. En er moet geïnvesteerd
worden in kennis. Maar het belangrijkste is een cultuuromslag. El
Fassed: "De relatie tussen ICT en de overheid is chronisch ziek. Dan
kun je wel naar een huisarts of specialist gaan, maar alleen een andere
levensstijl kan de patiënt beter maken."
Vijf lessen uit het DigiNotar debacle:
1. Bij aanbesteding moeten privacy en veiligheid bovenaan staan
Er is iets mis met de omgang van de overheid met ICT. Incidenten staan
niet meer op zichzelf. Gegevens worden lukraak opgeslagen en problemen
worden miskend. Privacy en veiligheid gaan hand in hand. Daarom mogen
eisen omtrent privacy en veiligheid niet meer ontbreken in een
aanbesteding. Privacy en veiligheid zijn niet slechts een toevoeging
aan het eind van een project, maar vormen een fundamenteel onderdeel.
De overheid moet daarvoor voldoende kennis in huis hebben en
ICT-bedrijven hebben een maatschappelijke verantwoordelijkheid om zelf
proactief de overheid te adviseren. In de aanbesteding moeten ook eisen
komen over de controle van opgeleverde systemen en diensten.
2. Meldplicht en transparantie moeten vertrouwen herstellen
Er is een waslijst aan voorbeelden van overheidssystemen die data
bevatten van personen waar de beveiliging niet op orde is. DigiNotar is
geen incident maar een symptoom van een gebrek aan controle op de
veiligheid van ICT-systemen bij de overheid. Vaak zijn systemen
afhankelijk van vertrouwen die gebruikers hebben. Het DigiNotar-debacle
laat zien dat de overheid impliciet vertrouwen geeft, maar dat niet
expliciet heeft gemaakt. Openheid en goede informatievoorziening zijn
bij dit soort crises essentieel. Een meldplicht datalekken is niet
voldoende. Als er iets mis gaat bij een instelling waar de overheid
direct gebruik van maakt, dient dit meteen worden gemeld aan alle
betrokkenen. De cumulatieve slagkracht van betrokkenen zal bij
datalekken vaak veel groter zijn dan die van een toezichthouder.
3. Toezichthouders moeten toezichthouden
Naast transparantie is onafhankelijk toezicht noodzakelijk. Controle
moet transparant zijn. Er moet een rapportagestructuur aanwezig zijn
die garandeert dat audits en controles niet achterwege worden gelaten.
De opdrachtverlening aan de auditor zal anders moeten. Het toezicht
moet niet een papierentijger maar gericht zijn op procedures, mensen en
techniek. Beveiligingsvraagstukken vereisen goede procedures, maar ook
daadwerkelijke toepassing van die procedures en het hanteren van de
juiste techniek. In de praktijk wordt vooral het eerste getoetst. Bij
een kleinere groep wordt de techniek getoetst met bijvoorbeeld
penetratietests. Een nog kleinere groep stuurt ook op het naleven van
procedures. De procedures moeten waterdicht zijn, openbaar toegankelijk
en worden nageleefd. De techniek moet voldoen aan bekende best
practices, snel aanpasbaar zijn, gebouwd zijn op beperking van toegang
en detectie van inbraken. Het moet controleerbaar zijn voor iedereen
die ervan afhankelijk is. Niet alleen de organisatie zelf moet externe
audits laten uitvoeren en de overheid moet toezicht houden op de
uitvoering van de eigen contracten. Daarbij moet de controle zich
vooral richten op privacy en veiligheid.
4. Investeer in kennis - ontwikkelingen gaan snel
Door gebrek aan kenniscapaciteit is de overheid afhankelijk van enkele
spelers. Dat brengt een hoop risico's met zich mee. Die kennis is niet
alleen nodig bij aanbesteding en toezicht maar ook om te weten hoever
de overheid achterloopt op technologische ontwikkelingen. Daarvoor is
een Overheid en ICT Monitor een geschikt instrument. Een stand van
zaken hoe het is gesteld met veiligheid en privacy van
overheid-ict-diensten. Ook moet voldoende kennis in huis zijn om
adequaat en snel te reageren op verstoringen. Bovendien moet kennis
gedeeld worden met lagere overheden zodat bij verstoringen ook
gemeentes, provincies en andere overheidsorganen goed weten hoe te
handelen.
5. Draag bij aan een beter systeem
Het huidige certificaatsysteem is niet langer houdbaar en onveilig. Het
is niet voor het eerst dat een certificaatverstrekker valse
certificaten heeft uitgegeven. Al jaren wordt gewaarschuwd dat er grote
risico's zijn met het systeem. Betere aanbesteding en meer toezicht
alleen zal het probleem niet oplossen. Wat nodig is, is een nieuw
certificaatsysteem. Alternatieven zijn er echter nog niet. Dat is
echter een internationaal proces waarbij de Nederlandse overheid,
slechts een van de vele gebruikers is. De overheid kan wel een bijdrage
leveren door internationaal pleiten voor een herziening van het
certificaatsysteem en onderzoek daartoe stimuleren.
GroenLinks