Vorige maand vond het congres 'Cyber security bij de digitale overheid' plaats. Dé gelegenheid voor gemeenten en overheden om met elkaar in gesprek te gaan over de stand van zaken op het vlak van digitale beveiliging bij de overheid. De meerderheid van gemeentelijke bestuurders hebben geen idee wat voor donkere wolken er boven hun hoofd hangen. Gemeenten en lagere overheden leggen de nadruk op technologie. Dit, terwijl de processen en organisatie een belangrijk onderdeel zijn van een gedegen privacy beleid.
Buiten de operationele ict-afdeling is er nog vrijwel geen aandacht voor cyber. Bestuurders dienen overtuigd te worden van de risico’s en het veiligheidsprobleem. In de praktijk wint functionaliteit het continue van veiligheid, met als gevolg dat beveiliging snel zo lek is als een mandje.
Stand van zaken
Recent onderzoek onder 72 gemeenten geeft aan dat slechts 4 procent beveiliging op orde heeft. Bij één op vijf is er zonder enige reden in dossiers van bekende NL-ers gekeken. Er dienen snel stappen ondernomen te worden om de situatie te verbeteren, het CBP zit er boven op. Als de verleiding nu al niet te weerstaan is, wat betekent dit als straks de taken bij gemeenten flink uitgebreid worden?
Het gaat dus onder andere om autorisatie, logging en controle. Maar tevens om mind set en techniek. Een aantal onbeantwoorde vragen die dit oproept zijn: wat is er nodig om dit onder controle te krijgen, hoe bepalen we de maatregelen, hoe gaan we met deze set van maatregelen om, en hoe borgen we een blijvende aandacht voor informatiebeveiliging? Men heeft vaak de indruk dat alles wat kan ook moet mogen, maar mag ook wat kan en moet het wel? Informatiebeveiliging raakt rechtstreeks de grondrechten, burgers moeten het weten, dus dit is een onderwerp wat eigenlijk in het B&W overleg en de gemeenteraad besproken dient te worden, in plaats van te blijven steken op de ict-afdeling. Gemeenten dienen dus een eigen verantwoordelijkheid te pakken en geld vrij te maken om informatieveiligheid op orde te krijgen.
Donkere wolken
Digitale spionage en georganiseerde misdaad leggen een bom onder het internet, terwijl gemeenten en overheidsinstanties hun zaken niet op orde hebben. Dit betreft alle drie de essentiële lagen van een goed beveiligingsbeleid: organisatie (beveiliging staat veelal niet op de bestuurlijke en directie agenda), processen (men weet niet wie, welke informatie, wanneer kan raadplegen) en techniek (beveiliging is als add-on aan bestaande infra toegevoegd in plaats van geïntegreerd in de architectuur).
Gemeenten staan aan de vooravond van de grote decentralisatie-slag, zaken als jeugdzorg, participatiewet (werk en inkomen ) en delen van functies van AWBZ gaan naar gemeenten, dit brengt een enorm risico rondom privacy. Ruim vierhonderd gemeenten gaan gegevens ontsluiten zoals vertrouwelijke persoonsgegevens (medisch, strafrechtelijk, arbeidsverleden). De overheid heeft geen privacy impact assessment gedaan. Vragen die gemeenten zichzelf moeten stellen zijn: wat wilt men verzamelen, waarom en wat gaat men er mee doen? De verleiding om gegevens voor andere doelen te gebruiken zal groot zijn, maar het gaat om mensen, gemeenten dienen die gegevens goed beveiligen. Op 1 januari 2015 dient het overal volledig en veilig geregeld te zijn.
De aanstaande verkiezingen zullen er daarnaast voor zorgen dat daar waar informatiebeveiliging al wel op de agenda van gemeenteraad en bestuurders staat, de kans groot is dat bij het verdwijnen van raadsleden en bestuurders opnieuw gestart dient te worden met awareness. Minister Plasterk heeft aangegeven dat in 2017 burgers en bedrijven er recht op hebben om alle zaken met gemeenten en overheden digitaal te kunnen afhandelen. Dit maakt de zorg en druk nog groter. Ruim zestienhonderd overheidsinstanties dienen dan hun zaken volledig en veilig op orde te hebben.
Kansen voor samenwerking
Vanuit de diverse disciplines zijn voor dit congres sprekers opgetrommeld om hun visie te geven op de huidige stand van zaken. Wil van Gemert, directeur Nationaal Cyber Security Centrum, roept op van het oude denken naar nieuwe denken te gaan, van een hiërarchische wereld naar een wereld van nieuwe coalities. Daar waar het NCSC in 2011 met name op bewustwording stuurde, heeft men zich nu als doel gesteld organisaties van bewust naar bekwaam te krijgen. Dit vraagt wel een nieuwe manier van denken en samenwerken om zo als overheid en bedrijfsleven met elkaar een kenniscentrum te creëren. Als we het internet juist inzetten, dan leidt het delen van kennis, de juiste regulering en transparantie tot veiligheid, vrijheid en maatschappelijke groei.
Onderzoeksjournalist Brenno de Winter, bekend van onder andere Lektober, ziet het allemaal een stuk somberder in. Hij spreekt over een toenemend eigen besef dat er steeds meer te verbergen is. Hij roept op tot transparantie; er wordt nu te vaak geheimzinnig gedaan rondom data opslag, data verwerking, aanvallen, data lekken, et cetera. Daarnaast ziet hij partijen samenwerken met tegenstrijdige belangen. Bijvoorbeeld de FBI en politie. Welke regels zijn er en hoe wordt er op toegezien dat die regels worden nageleefd? Wat is de impact op onze privacy? Publieke en private sector samen, het gaat de laatste groep toch alleen maar om veel verkopen? En als we het dan toch over belangen hebben, het melden van lekken via Responsible Disclosure procedure werkt volgens hem niet. Transparantie en burgerbelang zouden boven organisatiebelang moeten gelden, maar in praktijk geldt veelal het tegenovergestelde.
Ida Haisma van TNO ziet cyber vooral als middel voor samenwerking, maar het moet veiliger, het moet zonder verstoring. Ze ziet een uitdaging doordat alles wordt verbonden, terwijl veiligheid pas later wordt toegevoegd. Nieuwe functies worden gestapeld op onveilig drijfzand, waarbij we niet weten wat waar zit. Door de afhankelijkheid van het internet zijn we kwetsbaarder dan ooit. Wat dienen we te doen als computers uitvallen? Ze voor pleit er voor ict als nutsvoorziening te bestempelen, we moeten te allen tijde kunnen vertrouwen dat het betrouwbaar en beschikbaar is, net als stroom en gas. Ze roept tevens op om een Cyber Competenties framework te introduceren voor alle sectoren en cyber security onderdeel te laten maken van onderwijs, om op die manier kennis te borgen.
Een ander interessant voorstel is het oprichten van een Cyber Plan bureau, dat zich als doel dient te stellen inzicht te krijgen in feiten en fictie rondom cyber. Van incident based sturing naar fact based sturen. Ook zij roept op tot samenwerking en kennis deling tussen overheden en bedrijfsleven. Opvallend hierbij is dat TNO momenteel een sensor aan het ontwikkelen is om Advanced Persistent Threats (gerichte aanvallen) tegen te houden, terwijl een dergelijke oplossing al geruime tijd in de private sector beschikbaar is. Enkele fabrikanten (FireEye en Trend Micro) hebben een antwoord op deze vorm van gerichte aanvallen. Dit concrete voorbeeld geeft aan dat er op het vlak van nieuwe coalities en kennisdeling tussen overheden en bedrijfsleven nog flink te winnen valt.
Informatie het nieuwe goud
Wilbert Tomesen spreekt vanuit zijn rol als toezichthouder op de wet bescherming persoonsgegevens over persoonsgegevens als het nieuwe goud, de olie van de 21ste eeuw, zowel voor overheden als ook voor bedrijfsleven. Hij verwijst naar artikel 10 van de grondrecht, het recht op bescherming persoonsgegevens, populair verwoord: het recht om onbespied te blijven. Deze wetgeving maakt duidelijk dat de eindverantwoordelijkheid van alle informatie gerelateerde projecten bij gemeenten op een zo hoog mogelijk bestuurlijk niveau dient te liggen. Men is ten slotte verantwoordelijk om aan de wetgeving te voldoen en zo ook de verantwoording te nemen wie wat wanneer mag in zien.
Organisaties mogen niet meer gegevens verzamelen dan nodig is voor een specifiek doel, deze gegevens mogen niet langer opgeslagen worden dan overeengekomen en mogen niet voor een ander doel gebruikt worden. Transparantie en zorg voor adequate beveiliging zouden hierbij vanzelfsprekend moeten zijn.
Artikel 10 van de grondrecht is geen absoluut recht, er zal altijd een afweging van belangen gemaakt mogen worden. Daar ligt een volgend gevaar. Dat dit een actueel thema is blijkt wel uit de tientallen artikelen die over digitale spionage zijn verschenen. En dat is nog lang niet klaar. De NSA bouwt een nieuw data center voor (waarde 1,5 miljard dollar) zo groot als drie IKEA-filialen en men betaalt naar verluidt jaarlijks ruim 250 miljoen dollar aan Google om data te kunnen tappen. Het belang om mensen te bespieden is blijkbaar groter dan het recht om niet bespied te worden. Een actueel thema waar de overheid over discussieert is de mogelijkheid tot terughacken. Deze terughack-bevoegdheid biedt de mogelijkheid om gegevens te verzamelen, vergelijkbaar met wat NSA met zijn malware doet. Is dit straks voor de Nederlandse overheid een vrijbrief om spionagesoftware te mogen installeren op pc’s van burgers en bedrijven? Wat betekent dit voor het recht om niet bespied te worden?
Samengevat komt uit het congres naar voren dat er nog veel stappen te zetten zijn voor we een veilige overheid hebben en gezien de complexheid van de diverse samenwerkingsstructuren binnen overheidsland, zal er niet op korte termijn een betere situatie ontstaan. Sterker nog, met de projecten rondom decentralisatie in het verschiet, zal het alleen nog maar complexer worden.
Zelfregulering gemeenten
Er zijn al diverse collectieve initiatieven gestart om grip op de zaken te krijgen.
De Informatiebeveiligingsdienst voor gemeenten (IBD) – een initiatief van KING en VNG – heeft op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor het gemeentelijke domein. (BIG).
Meest recente positieve ontwikkeling is de instemming resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ op de speciale ledenvergadering van het VNG (28 november 2013). In grote lijnen betekent dit dat iedere gemeente informatieveiligheidsbeleid vaststelt aan de hand van het basisnormenkader Baseline Informatiebeveiliging Gemeenten (BIG). Verder borgen gemeenten informatieveiligheid zowel bestuurlijk als ambtelijk en maken ze de invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners. Een goede start, de doelen van terugdringen audit-last en het belang van eigen verantwoordelijkheid nemen zal elke gemeente begrijpen, maar wat is de verplichting bij regulering? Moet er niet een gedragscode komen voor bestuurders, die hun baan verliezen als dit niet geregeld is?
Ter herinnering; ten tijde van de Diginotar-problematiek zijn er gemeenten geweest die ruim zes weken geen digitale dienstverlening aan burgers hebben kunnen bieden. Dus naast gevaar op het vlak van informatieveiligheid, heeft verdere automatisering impact op de continuïteit van de dienstverlening.
Gemeenten zijn als professionele overheid zelf verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Dit zullen en mogen burgers, bedrijven en ketenpartners van gemeenten verwachten. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief net als wij burgers belang bij dat alle gemeenten en alle (keten)partners hun informatieveiligheid op orde hebben.
Aanpak en investeren?
De vraag die open staat is: wie gaat de investering doen in informatiebeveiliging om bestaande omgevingen op orde te brengen? Er is een status quo ontstaan, er zijn uitdagingen met wat men al heeft, er wordt vanuit centrale overheid geen geld aan gemeenten beschikbaar gesteld om het op te lossen, en dan is er de druk van de decentralisatie van taken, met bijbehorende beveiligingsvraagstukken.
Het gebruik van DigiD-authenticatie is een voorbeeld hoe centrale overheid gemeenten voor het blok zet; binnen nu en een maand dienen alle gemeenten compliant te zijn, er wordt gedreigd ‘de stekker eruit te trekken’. Er wordt echter geen geld beschikbaar gesteld; de kosten voor de verplichte audit, al snel tien duizend tot vijftien duizend euro, en kosten met betrekking tot benodigde aanpassingen dienen door de gemeenten zelf gedragen te worden. Dit bevordert uiteraard niet het gevoel van een gezamenlijke aanpak. De vraag is dan ook hoeveel gemeenten daadwerkelijk eind december willen en kunnen voldoen en welke maatregelen er daaropvolgend daadwerkelijk door het ministerie getroffen zullen worden. Afsluiting kost ten slotte ook veel geld.
Kortom; wet en regelgeving en reguleringsafspraken moeten een duw in de rug geven, maar het voorkomen van imagoschade waardoor vertrouwen in de gemeente verdwijnt, is de verantwoordelijkheid van de gemeente zelf! Daar moet het gebeuren.
Mijn oproep is aan allen om eens te kijken naar wat Estland heeft gedaan met haar automatisering van de overheid en probeer daar van te leren.
Maak zaak van de participatie maatschappij door de overheid zoveel mogelijk met open source software te laten werken waarbij burgers ook mee kunnen helpen aan het bouwen en onderhouden.
Een flink artikel, het intrappen van een enorme open poort. Met mijn rechtsreekse ervaringen met de overheden, en die stapelen zich op, is dit beeld telkens weer bevestigend.
IT vs Non IT
In blogs en reflecties op dit vlak kom je altijd weer het klassieke drama tegen dat ambtenaren hebben geroken aan IT en zich graag (laten) bombarderen tot IT hotemetoot. Tegelijkertijd weinig tot geen kaas gegeten van It en de communicatie in de organisatie maar goh, het staat wel leuk op je CV.
Basale kennis
Tel hierbij even op dat de enorme Sr. kenniskern inmiddels wel is uitgefaseerd en je krijgt een legertje jonge hongerige wolfjes die, excuse me thids statement, geen enkel idee hebben van de werking van IT en hoe die te implementeren. Natuurlijk hebben ze kennis van de trucjes die ze hebben geleerd maar het echte werk?
Verdeel en heers
Het grote verdeel en heers brengt eenvodig weg met zich mee dat het ontbreken en ontberen van procesoverzicht, proceskennis en ervaing incidenten in de hand zal blijven werken.
Ik heb eerder gezegd, zal dit ook blijven zeggen, dat naar mate men zeer druk bezig is met het bedenken van allerlei verkoop babbeltjes maar zich steeds minder bezig houd met gesloten E2E processen die dienen te voldoen aan eenvoudige basis regels en de wetmatigheden van IT, incidenten gewoon zullen toenemen en steeds grotere impact zullen hebben.
Vertrouwen in….
De verschillende contacten die ik heb binnen (regionale) overheden stemmen mij beslist niet positief. Zolang gemeenschapsgeld en strategische inzet van IT helemaal geen topic van belang blijkt bij de top van gemeenten en overheid, uiteraard lleen met de mond beleden door politici en ambtenaren die dat op dat moment erg ‘opportuun’ vinden maar geen enkele kennis van zaken hebben, is het gewoon vragen om het volgende dure en grootschalige incident.
We wachten gewoon weer op de volgende fail met het welbekende zwartepieten.
Het grootste voorbeeld is Donner, zonder enige kennis van zaken, wel verantwoordelijk voor het hele Diginotar verhaal die zich in een puissant pluche zetel heeft laten duwen. Probeert u dat maar eens in het bedrijfsleven.