Minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zet twee jaar lang een taskforce aan het werk om ministeries, gemeenten, provincies en waterschappen te helpen bij het verbeteren van hun informatiebeveiliging. De taskforce gaat samenwerken met het National Cyber Security Centrum (NCSC). Dat staat in de reactie van de ministers Plasterk en Opstelten (Veiligheid en Justitie) op een rapport van de Onderzoeksraad voor de Veiligheid over de Diginotar-affaire.
In de gezamenlijke reactie gaan beide ministers in op het afgelopen juni verschenen rapport van de Onderzoeksraad voor de Veiligheid, getiteld ‘Het DigiNotar-incident, waarom digitale veiligheid de bestuurstafel te weinig bereikt.’ Daarin worden drie hoofdaanbevelingen gedaan: zorg dat bestuurders van alle overheidsorganisaties hun verantwoordelijkheid nemen voor het beheersen van digitale veiligheid (1); schep voorwaarden zodat overheidsorganisaties hun digitale veiligheid systematisch beheersen (2) en realiseer een veiliger uitgifte en gebruik van digitale certificaten (3).
Reactie op eerste aanbeveling
BZK-minister Plasterk schrijft in de reactie dat er snel een taskforce zal worden ingesteld die zich twee jaar lang gaat richten op het bewustmaken van bestuurders en hoger management van het nut en de noodzaak van informatiebeveiliging. Deze taskforce richt zich op het openbare bestuur, dus zowel het Rijk als medeoverheden. Een belangrijk aandachtspunt is het meenemen van het onderwerp informatiebeveiliging in de auditcycli die organisaties uitvoeren.
De periode van twee jaar zal tevens worden gebruikt voor het analyseren van bestaande en noodzakelijke wet- en regelgeving. Daarnaast voert de taskforce een gezamenlijke verkenning uitvoeren naar de veiligheidsaspecten van de digitale publieke dienstverlening. Daarbij vormen de resultaten van de assessments op de informatiebeveiliging van organisaties die DigiD gebruiken een belangrijke bron voor analyse. Ook de inrichting van de signalerings- en crisisbeheersingsfunctie komt in de verkenning aan de orde.
De taskforce gaat nauw samenwerken met het NCSC en met initiatieven als de gemeentelijke Informatiebeveiligingsdienst (IBD) en het Centrum Informatiebeveiliging en Privacybescherming (CIP) voor het UWV en partners.
Reactie op tweede aanbeveling
Ten aanzien van de tweede hoofdaanbeveling stelt de bewindsman dat overheden zich veel meer bewust moeten zijn van het belang van goede beveiliging van hun digitale dienstverlening. Omdat 100 procent veiligheid niet bestaat, moeten ze zich ook voorbereiden op het herstellen van informatiesystemen na verstoringen of schade. De taskforce zal extra letten op het maken van herstelplannen.
Ook wil Plasterk meer werk maken van het gebruik van open standaarden. Voor de hele overheid gelden deze al, zoals ISO 27001 en ISO 27002. Overheden mogen alleen van die standaarden afwijken als ze daar een goede reden voor hebben. Binnen de Rijksoverheid zijn deze standaarden uitgewerkt in de voorziene Baseline Informatiebeveiliging Rijk (BIR). Dit jaar wordt er ook zo’n baseline informatiebeveiliging voor gemeenten die aansluit op de BIR.
Verder worden overheden en andere belangrijke sectoren, zoals financiën, verplicht om verstoringen van hun ict-systemen te melden bij hun toezichthouder of het NCSC. Daarvoor wordt dit jaar nog een wettelijke regeling opgesteld. Voor de burger bestaat sinds 2009 het Centraal Meld- en Informatiepunt Identiteitsfraude en fouten actief. Dit meldpunt verricht een regisseursrol naar andere overheden indien fraude wordt geconstateerd.
Reactie op derde aanbeveling
Bij de derde aanbeveling, rond digitale certificaten, is er een sterke rol weggelegd voor telcomtoezichthouder Opta en Logius, de organisatie die de ict-infrastructuur beheert voor een aantal rijksdiensten. Zo heeft Opta heeft meer capaciteit gekregen om het toezicht op gekwalificeerde certificaten te intensiveren. De waakhond maakt momenteel voor alle certificatiedienstverleners een risicoanalyse. Ook roept Opta deze partijen in een brief op beveiligingsincidenten te melden.
Logius gaat jaarlijkse testen uitvoeren bij de pki-overheid-leveranciers om inzicht te krijgen in de risico’s en kwetsbaarheden van de onderzochte systemen. Daarnaast wordt in de BIR het verplicht gebruik van pki-overheidscertificaten voor de rijksoverheid vastgelegd. Ook komt er een PKIoverheid-gebruikersgroep waarin bijvoorbeeld de Belastingdienst vertegenwoordigd zal zijn.
Verder hebben Opta en Logius een samenwerkingsconvenant ondertekend waardoor het toezicht wordt versterkt. Zo leggen Logius en Opta samen bedrijfsbezoeken af.
Ik ben erg benieuwd wie er in deze taskforce gaan zitten. Hopelijk wel onafhankelijke personen/advies partijen. Gebeurt dit niet dan is de kans op succes vele malen kleiner.