Onderzoeksraad: ict-beveiliging overheid moet flink beter

De ict-veiligheid bij de overheid moet 'sterk verbeteren'. Dat is het oordeel van de Onderzoeksraad voor Veiligheid, die donderdag een onderzoek naar het DigiNotar-incident presenteerde. Nederland was destijds onvoldoende voorbereid.

De Nederlandse overheid was 'niet voorbereid op een aantasting van haar digitale veiligheid', oordeelt de Onderzoeksraad in een rapport dat donderdagmiddag is gepubliceerd.

Bovendien hield de overheid geen rekening met de mogelijkheid dat een certificaatautoriteit gekraakt zou kunnen worden, terwijl een gevolg had kunnen zijn dat de communicatie binnen bijvoorbeeld rechtbanken of de Belastingdienst stil was komen te liggen. Ook hadden gegevens van burgers en bedrijven kunnen worden onderschept.

In de herfst van vorig jaar bleek dat de certificaatautoriteit DigiNotar, die veel certificaten aan de overheid leverde, was gehackt. DigiNotar hield de kraak wekenlang onder de pet. Over het algemeen wordt aangenomen dat ontvreemde DigiNotar-certificaten zijn gebruikt in Iran om dissidenten te bespioneren. Omdat de overheid zwaar op DigiNotar-certificaten leunde, was het moeilijk om de gecompromitteerde certificaten in te trekken.

Volgens de voorzitter van de Onderzoeksraad, Tjibbe Joustra, houden overheidsorganisaties er te weinig rekening mee dat het op beveiligingsgebied ook mis kan gaan. "Risico's kun je niet uitsluiten, maar je moet wel weten wat die risico's zijn", stelt Joustra. "De overheid moet zijn zaken op orde hebben."

Dat is belangrijk omdat het eigenlijk bijna verplicht is om via ict met de overheid te communiceren, zegt Joustra. Het is vrijwel altijd makkelijker om digitaal zaken te doen met overheidsorganisaties. "Daarom mag de overheid strenger beoordeeld worden dan het bedrijfsleven", zegt hij. "De veiligheid van digitaal verkeer moet gewaarborgd worden." Ook moet de overheid 'terughoudend' omgaan met digitaal gegevensverkeer. De overheid zou zich moeten afvragen of de verwerking van gegevensverkeer de risico's wel waard is.

Complicerende factor is dat de overheid zelf weinig expertise in huis heeft. "De overheid leunt te veel op externe experts", zegt Erwin Muller, lid van de Onderzoeksraad. De OPTA en overheidsautomatiseerder Logius hielden bovendien geen goed toezicht op DigiNotar.

Kort nadat de Nederlandse overheid in september het vertrouwen in DigiNotar opzegde, ging het bedrijf failliet. Dat er desondanks nog steeds door DigiNotar uitgegeven certificaten worden gebruikt bij de communicatie tussen de overheid en ondernemers, is geen ideale situatie, vindt de Onderzoeksraad. "Dat was een bewuste afweging. Je zou willen dat het niet nodig is, maar in dit geval is dat wel zo", aldus Muller in antwoord op vragen van Tweakers.net. Veel ondernemers beschikken nog over DigiNotar-certificaten. "En in dit geval levert het geen beveiligingsproblemen op." Wel is het belangrijk dat de overheid op dit gebied redundant wordt en dus een alternatief op de plank heeft liggen. "Dat besef is nu wel doorgedrongen."

De Onderzoeksraad doet de overheid een aantal aanbevelingen. Zo moeten bestuurders hun 'verantwoordelijkheid nemen' voor beveiliging; nu zou dat nog te vaak worden overgelaten aan ict-afdelingen. Volgens Muller moet ict-beveiliging ook op bestuurdersniveau worden besproken. Ook moet de ict-beveiliging 'systematisch' worden aangepakt, waarbij overheidsorganisaties zich aan bestaande standaarden moeten houden. De overheid moet zich bovendien tegenover het publiek verantwoorden voor de ict-beveiliging. Tot slot moet er strenger toezicht komen op de uitgifte van overheidscertificaten.

De Onderzoeksraad heeft naast het DigiNotar-incident ook de ict-veiligheid bij een aantal overheidsorganisaties onderzocht, waaronder gemeenten. Te vaak hebben wethouders geen idee hoe het met de ict-beveiliging is gesteld, blijkt uit het onderzoeksrapport.