GroenLinks

GroenLinks wil ICT veiligheidsgezant

GroenLinks wil een `ICT en veiligheidsgezant' van buitenaf vragen om het ICT beleid van de overheid door te lichten. Het DigiNotar debacle is geen incident op zich maar een symptoom van een gebrek aan controle op de veiligheid van ICT-systemen bij de overheid. Tweede Kamerlid Arjan El Fassed: "We weten wat er mis gaat. Onderzoek na onderzoek, lek na lek, kunnen we daar over praten. We weten hoe het wel moet, maar niet waarom de overheid het steeds maar niet lukt om privacy en veiligheid topprioriteit te geven. Die vraag moet beantwoord worden. Dat kan door een parlementair onderzoek, maar een beter idee is om een `ICT en veiligheidsgezant' te vragen, een expert uit bijvoorbeeld de bankensector, om de boel eens goed door te lichten."

Er is iets goed mis met de omgang van de overheid met ICT. Incidenten staan niet meer op zichzelf. Er is een waslijst aan voorbeelden van overheids-systemen die data bevatten van personen waar de beveiliging niet op orde is. Gegevens worden lukraak opgeslagen en problemen worden miskend.

El Fassed: "De overheid wil heel gulzig allerlei gegevens van haar burgers digitaal opslaan, of het nu in het GBA, het elektronisch patiëntendossier (EPD) of een database van biometrische gegevens is. De burger heeft vaak geen keus in de opslag van die gevoelige informatie. Dan is toch het minste dat de overheid kan doen daar zo zorgvuldig mogelijk mee om te gaan. En daar schort het aan."

GroenLinks wil dat eisen omtrent privacy en veiligheid niet langer mogen ontbreken in een aanbesteding. Een meldplicht datalekken is niet voldoende. Controle moet transparant zijn. En er moet geïnvesteerd worden in kennis. Maar het belangrijkste is een cultuuromslag. El Fassed: "De relatie tussen ICT en de overheid is chronisch ziek. Dan kun je wel naar een huisarts of specialist gaan, maar alleen een andere levensstijl kan de patiënt beter maken."

Vijf lessen uit het DigiNotar debacle:


1. Bij aanbesteding moeten privacy en veiligheid bovenaan staan

Er is iets mis met de omgang van de overheid met ICT. Incidenten staan niet meer op zichzelf. Gegevens worden lukraak opgeslagen en problemen worden miskend. Privacy en veiligheid gaan hand in hand. Daarom mogen eisen omtrent privacy en veiligheid niet meer ontbreken in een aanbesteding. Privacy en veiligheid zijn niet slechts een toevoeging aan het eind van een project, maar vormen een fundamenteel onderdeel. De overheid moet daarvoor voldoende kennis in huis hebben en ICT-bedrijven hebben een maatschappelijke verantwoordelijkheid om zelf proactief de overheid te adviseren. In de aanbesteding moeten ook eisen komen over de controle van opgeleverde systemen en diensten.


2. Meldplicht en transparantie moeten vertrouwen herstellen

Er is een waslijst aan voorbeelden van overheidssystemen die data bevatten van personen waar de beveiliging niet op orde is. DigiNotar is geen incident maar een symptoom van een gebrek aan controle op de veiligheid van ICT-systemen bij de overheid. Vaak zijn systemen afhankelijk van vertrouwen die gebruikers hebben. Het DigiNotar-debacle laat zien dat de overheid impliciet vertrouwen geeft, maar dat niet expliciet heeft gemaakt. Openheid en goede informatievoorziening zijn bij dit soort crises essentieel. Een meldplicht datalekken is niet voldoende. Als er iets mis gaat bij een instelling waar de overheid direct gebruik van maakt, dient dit meteen worden gemeld aan alle betrokkenen. De cumulatieve slagkracht van betrokkenen zal bij datalekken vaak veel groter zijn dan die van een toezichthouder.


3. Toezichthouders moeten toezichthouden

Naast transparantie is onafhankelijk toezicht noodzakelijk. Controle moet transparant zijn. Er moet een rapportagestructuur aanwezig zijn die garandeert dat audits en controles niet achterwege worden gelaten. De opdrachtverlening aan de auditor zal anders moeten. Het toezicht moet niet een papierentijger maar gericht zijn op procedures, mensen en techniek. Beveiligingsvraagstukken vereisen goede procedures, maar ook daadwerkelijke toepassing van die procedures en het hanteren van de juiste techniek. In de praktijk wordt vooral het eerste getoetst. Bij een kleinere groep wordt de techniek getoetst met bijvoorbeeld penetratietests. Een nog kleinere groep stuurt ook op het naleven van procedures. De procedures moeten waterdicht zijn, openbaar toegankelijk en worden nageleefd. De techniek moet voldoen aan bekende best practices, snel aanpasbaar zijn, gebouwd zijn op beperking van toegang en detectie van inbraken. Het moet controleerbaar zijn voor iedereen die ervan afhankelijk is. Niet alleen de organisatie zelf moet externe audits laten uitvoeren en de overheid moet toezicht houden op de uitvoering van de eigen contracten. Daarbij moet de controle zich vooral richten op privacy en veiligheid.


4. Investeer in kennis - ontwikkelingen gaan snel

Door gebrek aan kenniscapaciteit is de overheid afhankelijk van enkele spelers. Dat brengt een hoop risico's met zich mee. Die kennis is niet alleen nodig bij aanbesteding en toezicht maar ook om te weten hoever de overheid achterloopt op technologische ontwikkelingen. Daarvoor is een Overheid en ICT Monitor een geschikt instrument. Een stand van zaken hoe het is gesteld met veiligheid en privacy van overheid-ict-diensten. Ook moet voldoende kennis in huis zijn om adequaat en snel te reageren op verstoringen. Bovendien moet kennis gedeeld worden met lagere overheden zodat bij verstoringen ook gemeentes, provincies en andere overheidsorganen goed weten hoe te handelen.


5. Draag bij aan een beter systeem

Het huidige certificaatsysteem is niet langer houdbaar en onveilig. Het is niet voor het eerst dat een certificaatverstrekker valse certificaten heeft uitgegeven. Al jaren wordt gewaarschuwd dat er grote risico's zijn met het systeem. Betere aanbesteding en meer toezicht alleen zal het probleem niet oplossen. Wat nodig is, is een nieuw certificaatsysteem. Alternatieven zijn er echter nog niet. Dat is echter een internationaal proces waarbij de Nederlandse overheid, slechts een van de vele gebruikers is. De overheid kan wel een bijdrage leveren door internationaal pleiten voor een herziening van het certificaatsysteem en onderzoek daartoe stimuleren.