Nederland staat aan de rand van de digitale afgrond

‘Nederland loopt internationaal gezien voor op het gebied van computerbeveiliging’, zo liet staatssecretaris Dijkhoff (Veiligheid en Justitie) begin januari aan de NOS weten. Toch opvallend in een jaar waarin in Nederland het aantal cyberincidenten op computersystemen van bedrijven en overheden fors is gestegen. We lijken niets te hebben geleerd van de DigiNotar-affaire.

DigiNotar was een Nederlands bedrijf dat veiligheidscertificaten verstrekte aan bijvoorbeeld banken en webwinkels, maar ook aan een groot aantal websites van de Nederlandse overheid. Overheidswebsites zoals DigiD, de Belastingdienst en de Rijksdienst Wegverkeer (RDW) maken gebruik van veiligheidscertificaten. Zo kunnen ze bezoekers van websites garanderen in een volledig veilige internetomgeving terecht te zijn gekomen. Totdat bekend werd dat digitale inbrekers erin waren geslaagd om grote aantallen valse DigiNotar-certificaten uit te geven. Toen waren die garanties, samen met die digitale inbreker, spoorloos verdwenen. DigiNotar trok vervolgens alle uitgegeven certificaten in. Hierdoor waren vele overheidswebsites dagenlang onbereikbaar met totale chaos en miljoenenclaims tot gevolg.

Grootschalig falen

De Tweede Kamer, bezorgd over de vele veiligheidsincidenten, dwong een onderzoek naar de affaire af. De uitkomsten waren niet mals: de overheid had geen capaciteit op het gebied van informatieveiligheid en nam op geen enkele wijze verantwoordelijkheid. Om die reden moest er een speciale Taskforce worden opgericht om het onderwerp hoog op de bestuurlijke agenda te zetten. Een dergelijke affaire zou daarmee voor altijd tot het verleden behoren. Uit het onderzoek bleek verder dat de overheid zes maanden voor de uiteindelijke ramp gewaarschuwd werd voor het lek. Ze waren dat ‘alleen even vergeten te melden’ aan derden. De inschatting was dat dit lek de overheid op geen enkele wijze zou raken. En daarmee werd de trend van grootschalig falen ingezet!

AAEAAQAAAAAAAAkcAAAAJDY0YWI0MWM5LWQzYWEtNDhlZS1iMWE3LWU3OTUyMzVmY2JjMw

Taskforce BID

In februari 2013 werd door minister Plasterk (Binnenlandse Zaken en Koninkrijkrelaties) de taskforce Bestuur en Informatieveiligheid Dienstverlening(taskforce BID) in het leven geroepen voor een periode van twee jaar. Een taskforce suggereert brute kracht en een guerrilla-aanpak om de taakomschrijving – zet het onderwerp informatieveiligheid bij bestuurders hoog op de agenda – uit te voeren. Helaas was een Wob-verzoek (Wet openbaar bestuur red.) nodig om antwoord te krijgen op een paar simpele vragen over de kosten en de opbrengsten van een dergelijke taskforce. Uit de antwoorden blijkt dat er bijna vijftig mensen in twee jaar aan het werk zijn geweest, dat er miljoenen euro’s zijn uitgegeven aan overwegend externe bureaus en aan het opleveren van negen producten. Producten zoals een zogenaamde dialoogsessie, een risico-bewustzijnsessie, een verankersessie en een app iVeiligheid. Het is aan te raden om deze app eens te bekijken in de appstore of in de Google Playstore. Oordeelt u zelf!

Weer iemand zonder een gedegen track record op het gebied van informatieveiligheid, ICT of cybersecurity!

Digicommissaris

Betrouwbaar online zaken doen met de overheid is, met de DigiNotar-affaire in het achterhoofd, een uitdaging op zich. En daarom werd er aangedrongen op het benoemen van een Digicommissaris: een stevige, overheidsbrede regisseur die alles in goede banen moet leiden. Zo’n belangrijke taak staat of valt met de kennis en ervaring die iemand meeneemt om een dergelijke functie uit te voeren. Dan verwacht je een ‘echte’ sollicitatieprocedure zoals bij andere (belangrijke) overheidsfuncties het geval is. Je verwacht dat de persoon die dit belangrijke werk gaat doen, gezien de complexiteit van de opdracht minstens iemand is met een gedegen track record op het gebied van informatieveiligheid, ICT of cybersecurity. Toch?

Ineens was daar op 1 augustus de Digicommissaris. Het kabinet besloot, blijkens de aanstellingsbrief die ministerpresident Mark Rutte naar de Tweede Kamer stuurde, iemand aan te stellen die ‘eerder langjarig burgemeester is geweest’ na in het bedrijfsleven en de advieswereld functies te hebben vervuld. De redder in nood die door het kabinet voor vier jaar werd aangesteld, is iemand zonder gedegen (en aanwijsbare) ervaring met de thematiek en complexiteit van het onderwerp waarvoor hij verantwoordelijk is.

AAEAAQAAAAAAAAanAAAAJGI4NzlkZGVjLTI2ZmMtNDU2MS05YTFiLWQ2MWUxYjFhZDQ4NQ

Blunders 

Hoe kun je veiligheid garanderen als bestuurlijk Nederland worstelt met ICT? De commissie-Elias deed in 2013 en 2014 onderzoek naar de lange reeks ICT-blunders en liet geen spaan heel van het overheidsbeleid. De combinatie Belastingdienst en ICT kostte de belastingbetaler de afgelopen jaren enkele honderden miljoenen. Blunders bij de uitkeringsinstantie UWV, miljarden door het afvoerputje bij het ministerie van Defensie en dan nog veel mislukte ICT-projecten bij de politie.

“Het is niet de vraag óf zich weer een volgende cyberaffaire gaat aandienen, maar wanneer!”

De commissie-Elias gaf in zijn eindoordeel aan dat een deel van de blunders voortkomt uit totale desinteresse van politici maar ook uit pure onkunde. De dag dat het eindrapport van de commissie- Elias aan de Kamer werd aangeboden, was een zoveelste voorbeeld van gebrek aan ICT-kennis. Voormalig Kamervoorzitter Van Miltenburg nam het rapport in ontvangst. Niet wetende dat haar microfoon aanstond, wist ze met een volgende blunder geschiedenis te schrijven. Van Miltenburg gaf namelijk ruiterlijk toe dat zij ‘nog even de betekenis van ICT moest opzoeken’. En er leek daarbij een heuse triomfantelijke glimlach op haar lippen te verschijnen.

Geen verstand van zaken

Door het inrichten van instituties als de taskforce BID en het in het leven roepen van de Digicommissaris is de indruk gewekt dat informatieveiligheid hoog op de agenda staat. In hoeverre dat tot genomen verantwoordelijkheden heeft geleid, is niet te zeggen. Het is niet de vraag óf zich weer een volgende cyberaffaire gaat aandienen, maar wanneer! Beleggen we de verantwoordelijkheden voor informatieveiligheid voorlopig buiten onze eigen organisaties of gaan we daadwerkelijk de mouwen opstropen en een barricade opwerpen op het gebied van ICT in het algemeen en cybersecurity in het bijzonder?

*) Bron: dit artikel verscheen tevens bij Binnenlands Bestuur / inGovernment

 

7 Reacties

Wat een waanzinnig stuk! Helder geschreven, to the point en voor mij als leek ook goed te volgen.

Die APP is een grap zeker? Kijk die plaatjes dan. Is hier overheidsgeld aan uitgegeven? No way. Slecht.

Beste Mvr de Leeuw,
ik vind dit interessant. Als dat kant, ik wil graag in Engels vertalen, dan door (mijn) Linkedin pulse distribueren. Natuurelijk ga ik origineele artikel noemen. Hoop een positief reactie van je.

Met vriendelijke groeten

Beste Lorenzo,

Kun jij me even mailen op m[@]ry-jo.nl

Hartelijke groeten,
Mary-Jo de Leeuw

Geweldig artikel. De overheid denkt vaak met commissies, Autoriteiten, richtlijnen en andere politieke plannen de maatschappij maakbaar te maken. De realiteit is (helaas) anders. Zag laatst een ander artikel van Jeroen van der Meer die ook oproept om de kop uit het zand te halen. Zijn Hans Brinker metafoor is ook heel leuk.

http://cio.nl/security/92061-digitale-dreiging-vraagt-om-een-deltaplan

Helder bericht; echter de echte root-cause analyse is onderbelicht: wat een overheidsinstelling nooit en te nimmer kan oplossen: politiek gaat daar altijd voor resultaat(!). Daarmee zullen overheids instanties altijd decenia achterlopen op wat de hedendaagse maatschappij nodig heeft! Uit eigen eerste hands ervaring kan ik vertellen dat een gremium van starre business geschoolde entiteiten aan de leiding nooit in de dynamiek van vandaag kan meespelen en consequent blijft falen.

Digitale kennis op hoger niveau is helaas ver onder de maat. En dat is niet alleen een probleem op het gebied van veiligheid. Onze hele samenleving, vooruitgang en ontwikkeling gaat gebukt onder leidinggevende digibeten. En gebrek aan kennis van de mogelijkheden van Sociale Media.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond.

terug