De overheid biedt steeds meer zaken online aan. Daar hoort een waterdichte netwerkbeveiliging bij, maar tot op heden is gebleken dat daar nogal wat aan mankeert. Om meer lekken te voorkomen zal er wat betreft de beveiliging van het overheidsnetwerk behoorlijk wat moeten veranderen.
Sinds de Diginotar-hack staat netwerkbeveiliging hoog op de agenda van de Nederlandse overheid. De overheid draagt oplossingen aan om ervoor te zorgen dat de geschiedenis zich niet herhaalt, zoals het instellen van een meldplicht van ict-beveiligingsincidenten.
In Engeland is de situatie vergelijkbaar. In 2010 beschreef de Britse minister van binnenlandse zaken, Theresa May, cybercrime als een 'nieuw en groeiend' gevaar en gaf vijfhonderdmiljoen pond uit om dit tegen te gaan. De nationale veiligheidsstrategie die werd opgesteld, categoriseerde het als een Tier 1 dreiging en zette het op één lijn met internationaal terrorisme en grote rampen. Wat er in beide landen echter mist is een concrete aanpak die toekomstige aanvallen actief tegengaat.
De aanvallen worden uitgevoerd door drie criminele groepen met verschillende doelen. Hacktivisten zijn anonieme groepen die puur een statement willen maken. Cybercriminelen stelen alle beschikbare informatie met het doel daarmee zoveel mogelijk geld te verdienen. Cyberterroristen willen de macht van een land verzwakken op welke manier dan ook. Zij hacken de kwetsbare delen van het overheidsnetwerk, waardoor ze toegang krijgen tot hele databases. Overheidsinstellingen zijn hiervan op de hoogte en doen er alles aan mensen daarvoor te waarschuwen, maar doen ze zelf eigenlijk wel genoeg om het overheidsnetwerk zo goed mogelijk te beveiligen?
Internetdreiging is vooral groot bij slechtbeveiligde internetapplicaties, waar veel aanvallen voorkomen. Er ligt een enorme druk op overheidsinstellingen om zoveel mogelijk zaken elektronisch aan te bieden. Banken en online winkels zijn door pijnlijke processen gegaan om uit te vinden hoeveel fouten je kunt maken bij het programmeren van webapplicaties. Dit mechanisme werkt minder goed op overheidsniveau waar – anders dan bij een webwinkel – verschillende instanties zijn aangesloten bij een centraal punt. Het centrale punt kan goed beveiligd zijn, maar als de webapplicaties van de aangesloten instanties, zoals gemeentewebsites, niet zo goed beveiligd zijn, kunnen criminelen alsnog hun gang gaan. Er moeten dus duidelijke regels en voorwaarden opgelegd worden om webapplicaties veilig te houden.
Net als bedrijven en organisaties in andere sectoren, hebben overheidsinstellingen meer begeleiding nodig bij het beheren en beschermen van het netwerk. Er zijn twee essentiële mechanismen die daarbij van pas komen. De eerste is de invoer van structurele audits voor het identificeren van fouten en het bieden van richtlijnen voor continue verbetering. De tweede is de invoer van standaardprocessen die ervoor zorgen dat afdelingen weten wat voor collectieve maatregelen er zijn en hoe ze deze het beste kunnen implementeren. Alleen als deze fundamentele mechanismen goed geregeld zijn, heeft een algehele beveiligingsstrategie kans van slagen.
Diginotar werd ook structureel geaudit maar ondernam in tegenstelling tot KPN/Getronic niets toen bekend werd dat een systeem gecomprimeerd was.
https://zoek.officielebekendmakingen.nl/behandelddossier/26643/kst-26643-213?resultIndex=4&sorttype=1&sortorder=4
Veel overheidsinstellingen hangen echter nog teveel aan ‘security through obscurity’ en melden liever niet dat er tekortkomingen zijn geconstateerd. Terwijl nu alles met elkaar verbonden is en afhankelijk van elkaar beperkt geheimzinnigheid juist de mogelijkheid tot tegenmaatregelen. En natuurlijk heeft iedereen zijn processen (op papier) in orde, zijn de audits voldoende en staat de beveiliging van gegevens op de eerste plaats maar controleren kun je dit niet. Er staat tenslotte nimmer dat je gegevens achterlaat bij een slecht beveiligde internet applicatie waar onder druk van kosten en tijd in de aanbesteding men vergeten is de laatste patches aan te brengen. Opmerkelijk dan ook dat we wel de kwaliteit van ziekenhuizen, scholen en andere dienstverleningen mogen weten maar niet hoe er omgegaan wordt met onze gegevens door de overheid. Op die manier kunnen burgers nimmer beoordelen hoe veilig hun gegevens zijn en worden deze telkens weer benadeelt als hun gegevens uiteindelijk toch weer op straat komen te liggen of misbruikt worden.
Een algehele beveiligingsstrategie, zeker bij de digitale overheid lijkt me dan ook meer gebaat bij transparantie waar niet alleen centrale en decentrale overheid informatie uitwisselen over beveilgingsproblemen maar burgers ook tijdig geinformeerd worden. Niet alleen omdat we als belastingbetaler uiteindelijk aandeelhouder zijn maar vooral ook omdat we hier geen keus hebben. Dit in tegenstelling tot bijvoorbeeld private ondernemingen waar je voor een concurrent kunt of moet kiezen als het vertrouwen verloren is gegaan door problemen in de beveiliging. Dat overheid meer begeleiding nodig heeft bij beheer en beveiliging van de digitale diensten is helaas het gevolg van een politiek beleid waarbij vaak gekozen wordt voor uitbesteding. Waar banken en online winkels door een empirisch proces zijn gegaan moet de overheid deze kennis vaak (tijdelijk) inhuren en heeft daarmee dus een grote achterstand op hacktivisten, cybercriminelen en terroristen. Want uiteindelijk blijft beveiliging een ‘kat & muis’ spelletje waarbij processen en audits ondersteunend zijn maar het vooral gaat om de reactie.