Maatregelen na lekken gemeentelijke websites

Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft in een brief aan de Tweede Kamer maatregelen aangekondigd ter verbetering van de ICT-beveiliging bij overheidsorganisaties.

Uit recente berichten in de media blijkt dat ICT-beveiliging bij sommige overheidsorganisaties tekort schiet. Recent is bijvoorbeeld van enkele tientallen gemeenten geconstateerd dat hun ICT-beveiliging niet op orde was. Dat is in de eerste plaats een verantwoordelijkheid van individuele overheidsorganisaties zelf. In de huidige vernetwerkte elektronische dienstverlening is dat echter niet voldoende. De informatiebeveiliging van de keten als geheel moet op orde zijn. De zwakste schakels in die ketens bepalen namelijk de veiligheid van de keten als geheel.

Om deze problemen te ondervangen heeft minister Donner een aantal kortetermijnmaatregelen genomen die direct van kracht zijn. De maatregelen zijn toegespitst op DigiD:

  1. Alle organisaties waarvan blijkt dat de ICT gecompromitteerd is (met mogelijke gevolgen voor DigiD) worden per direct afgekoppeld van DigiD. 
  2. Organisaties die zijn afgesloten van DigiD kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen. 
  3. Alle organisaties die digiD gebruiken dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT-beveiliging getoetst te hebben op basis van een nog door GOVCERT te maken beveiligingsnorm. 
  4. Vanaf 2012 is sprake van een jaarlijkse herhaling van de ICT-beveiligings-assessment door alle gebruikende organisaties. GOVCERT zal de normstelling regelmatig actualiseren vanwege nieuwe bedreigingen die zich aandienen.

BZK benadrukt dat honderd procent veiligheid niet is te garanderen, wel zal tenminste een aantal minimale beveiligingsmaatregelen altijd moeten worden genomen.