Elke maand schrijft directeur Cyberveilig Nederland, Petra Oldengarm, een blog voor Security Management.
'Practise what you preach.'
Recent verscheen er een tweetal rapporten van de Algemene Rekenkamer over de staat van cybersecurity. Eén ging over cybersecurity binnen het grenstoezicht op Schiphol van de Koninklijke Mareschaussee (ministerie van Defensie) en de ander over de informatiebeveiliging van systemen die onder meer gebruikt worden voor de diplomatenpost en het documentenverkeer met de Europese Unie en de NAVO (ministerie van Buitenlandse Zaken). De conclusies in beide rapporten vind ik ronduit ontluisterend. Zo blijkt een groot deel van de gebruikte informatiesystemen van Buitenlandse Zaken, waar vertrouwelijke informatie op wordt gedeeld, niet te zijn goedgekeurd (accreditatie ontbreekt). Ook is niet duidelijk wie op het gebied van cybersecurity waarvoor verantwoordelijk is en ontbreekt het aan een jaarplan waar budget, bemensing en benodigdheden zijn benoemd. Kortom, een hoop zaken te verbeteren.
Het rapport over de Marechaussee vind ik eveneens schokkend. Daaruit blijkt dat de cyberveiligheid van het grenstoezicht op Schiphol (jaarlijks 80 miljoen passagiers!) onvoldoende is. Beveiligingstesten op de IT-systemen die het grenstoezicht bewaken blijken niet of nauwelijks plaats te vinden. Ook is de software van twee van de drie IT-systemen zonder de vereiste goedkeuring in gebruik genomen en blijken de IT-systemen niet te zijn aangesloten op de detectiecapaciteit van Defensie en Schiphol.
Hoe kan het zo ver komen? Ik lees al jarenlang in de jaarverslagen van de AIVD en MIVD en de dreigingsbeelden van het NCSC dat digitale verstoring, diefstal en lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie niet alleen de Rijksoverheid ernstig kunnen treffen, maar ook burgers en bedrijven (kunnen) raken. En dat het daarom zo belangrijk is om de juiste (cybersecurity) maatregelen te nemen om je hiertegen te weren. Nu blijkt onze eigen Nederlandse overheid bij best kwetsbare systemen haar digitale deuren zelf wagenwijd open te hebben staan voor spionnen, terroristen en ander gespuis dat we liever buiten de deur houden.
Nu kunnen we deze twee rapporten van de Rekenkamer als incidenten afdoen, maar volgens diezelfde Rekenkamer heeft de helft van alle overheidsorganisaties de informatiebeveiliging niet op orde. De helft! En dat terwijl sinds dit jaar de Baseline Informatiebeveiliging Overheid (BIO) voor de gehele overheid geldt. In de BIO staat beschreven welke maatregelen overheidsinstellingen (minimaal) moeten nemen om de informatiehuishouding te beschermen tegen ongewenste inbreuk.
Vanuit Cyberveilig Nederland spreken we veel met vertegenwoordigers van de overheid. Telkens gaat dit over de noodzaak van cybersecurity. Hoe kan het dan dat systemen die gebruikt worden voor grenstoezicht of diplomatenpost voor wat betreft hun beveiliging enorm door de mand vallen bij een rekenkameronderzoek? Vorig jaar nog riep de minister van Justitie en Veiligheid dat bedrijven die hun digitale beveiliging niet op orde hebben “oliebollen” zijn en harder moeten worden aangepakt. Maar wie is dan de grootste oliebol te noemen?
Tijd voor de ministers van Defensie en Buitenlandse Zaken om de mouwen op te stropen en aan de slag te gaan. Om de overheid in de rol te zetten van het geven van het goede voorbeeld op gebied van cybersecurity. Om ervoor te zorgen dat we de rekenkamers in Nederland niet meer nodig hebben om ons wakker te schudden dat het nu echt tijd is om de cybersecurity op orde te brengen. Vanuit Cyberveilig Nederland bieden we graag onze hulp aan hoe het beter en veiliger kan.
Misschien moet de minister van Buitenlandse Zaken nog wel even oefenen op wat de handen uit de mouwen steken precies betekent? Zijn reactie op het rapport beperkte zich helaas tot het beloven van beterschap. Nog een lange weg te gaan dus.
Lees het blog ook op: https://www.securitymanagement.nl/petra-oldengarm-practice-what-you-preach/
