Eind november 2013 vond in Den Haag het congres Cyber security bij de digitale overheid plaats. Dé gelegenheid voor gemeenten en overheden om met elkaar in gesprek te gaan over de stand van zaken op het vlak van digitale beveiliging bij de overheid. De meerderheid van gemeentelijke bestuurders hebben geen idee wat voor donkere wolken er boven hun hoofd hangen. Gemeenten en lagere overheden leggen de nadruk op technologie. Dit terwijl de processen en organisatie een belangrijk onderdeel zijn van een gedegen privacy beleid.
Buiten de operationele ICT afdeling is er nog vrijwel geen aandacht voor cyber. Bestuurders dienen overtuigd te worden van de risico’s en het veiligheidsprobleem. In de praktijk wint functionaliteit het continue van veiligheid, met als gevolg dat beveiliging snel zo lek is als een mandje.
Stand van zaken
Recent onderzoek onder 72 gemeenten geeft aan dat slechts 4 procent beveiliging op orde heeft. Bij één op vijf is er zonder enige reden in dossiers van bekende NL’ers gekeken. Er dienen snel stappen ondernomen te worden om de situatie te verbeteren, het CBP zit er bovenop. Als de verleiding nu al niet te weerstaan is, wat betekent dit als straks de taken bij gemeenten flink uitgebreid worden?
Het gaat dus onder andere om autorisatie, logging en controle. Maar tevens om mind set en techniek. Een aantal onbeantwoorde vragen die dit op roept zijn: wat is er nodig om dit onder controle te krijgen, hoe bepalen we de maatregelen, hoe gaan we met deze set van maatregelen om, en hoe borgen we een blijvende aandacht voor informatiebeveiliging? Men heeft vaak de indruk dat alles wat kan ook moet mogen, maar mag ook wat kan en moet het wel? Informatiebeveiliging raakt rechtstreeks de grondrechten, burgers moeten het weten, dus dit is een onderwerp wat eigenlijk in het B&W-overleg en de gemeenteraad besproken dient te worden, in plaats van te blijven steken op de ict-afdeling. Gemeenten dienen dus een eigen verantwoordelijkheid te pakken en geld vrij te maken om informatieveiligheid op orde te krijgen.
Donkere wolken
Digitale spionage en georganiseerde misdaad leggen een bom onder het internet, terwijl gemeenten en overheidsinstanties hun zaken niet op orde hebben. Dit betreft alle drie de essentiële lagen van een goed beveiligingsbeleid: Organisatie (beveiliging staat veelal niet op de bestuurlijke en directie agenda), Processen (men weet niet wie, welke informatie, wanneer kan raadplegen) en Techniek (beveiliging is als add-on aan bestaande infra toegevoegd in plaats van geïntegreerd in de architectuur).
Gemeenten staan aan de vooravond van de grote decentralisatie-slag, zaken als jeugdzorg, participatiewet (werk en inkomen ) en delen van functies van AWBZ gaan naar gemeenten, dit brengt een enorm risico rondom privacy. Ruim vierhonderd gemeenten gaan gegevens ontsluiten zoals vertrouwelijke persoonsgegevens (medisch, strafrechtelijk, arbeidsverleden). De overheid heeft geen privacy impact assessment gedaan. Vragen die gemeenten zichzelf moeten stellen zijn: wat wilt men verzamelen, waarom en wat gaat men er mee doen? De verleiding om gegevens voor andere doelen te gebruiken zal groot zijn, maar het gaat om mensen, gemeenten dienen die gegevens goed beveiligen. Op 1 januari 2015 dient het overal volledig en veilig geregeld te zijn.
De aanstaande verkiezingen zullen er daarnaast voor zorgen dat daar waar informatiebeveiliging al wel op de agenda van gemeenteraad en bestuurders staat, de kans groot is dat bij het verdwijnen van raadsleden en bestuurders opnieuw gestart dient te worden met awareness. Minister Plasterk heeft aangegeven dat in 2017 burgers en bedrijven recht hebben om alle zaken met gemeenten en overheden digitaal te kunnen afhandelen. Dit maakt de zorg en druk nog groter. Ruim 1600 overheidsinstanties dienen dan hun zaken volledig en veilig op orde te hebben.
Kansen voor samenwerking
Vanuit de diverse disciplines zijn voor dit congres sprekers opgetrommeld om hun visie te geven op de huidige stand van zaken. Wil van Gemert, directeur Nationaal Cyber Security Centrum, roept op van het oude denken naar nieuwe denken te gaan, van een hiërarchische wereld naar een wereld van nieuwe coalities. Daar waar het NCSC in 2011 met name op bewustwording stuurde, heeft men zich nu als doel gesteld organisaties van bewust naar bekwaam te krijgen. Dit vraagt wel een nieuwe manier van denken en samenwerken om zo als overheid en bedrijfsleven met elkaar een kenniscentrum te creëren. Als we het internet juist inzetten, dan leidt het delen van kennis, de juiste regulering en transparantie tot veiligheid, vrijheid en maatschappelijke groei.
Onderzoeksjournalist Brenno de Winter, bekend van onder meer Lektober, ziet het allemaal een stuk somberder in. Hij spreekt over een toenemend eigen besef dat er steeds meer te verbergen is. Hij roept op tot transparantie; er wordt nu te vaak geheimzinnig gedaan rondom data opslag, data verwerking, aanvallen, data lekken, etcetera. Daarnaast ziet hij partijen samenwerken met tegenstrijdige belangen. Bijvoorbeeld de FBI en politie. Welke regels zijn er en hoe wordt er op toegezien dat die regels worden nageleefd? Wat is de impact op onze privacy?
Publieke en private sector samen, het gaat de laatste groep toch alleen maar om veel verkopen? En als we het dan toch over belangen hebben, het melden van lekken via Responsible Disclosure-procedure werkt volgens hem niet. Transparantie en burger belang zouden boven organisatiebelang moeten gelden, maar in praktijk geldt veelal het tegenovergestelde.
Ida Haisma van het TNO ziet cyber vooral als middel voor samenwerking, maar het moet veiliger, het moet zonder verstoring. Ze ziet een uitdaging doordat alles wordt verbonden, terwijl veiligheid pas later wordt toegevoegd. Nieuwe functies worden gestapeld op onveilig drijfzand, waarbij we niet weten wat waar zit. Door de afhankelijkheid van het internet zijn we kwetsbaarder dan ooit. Wat dienen we te doen als computers uitvallen? Ze voor pleit er voor ict als nuts-voorziening te bestempelen, we moeten te allen tijde kunnen vertrouwen dat het betrouwbaar en beschikbaar is, net als stroom en gas. Ze roept tevens op om een Cyber Competenties framework te introduceren voor alle sectoren en cyber security onderdeel te laten maken van onderwijs, om op die manier kennis te borgen. Een ander interessant voorstel is het oprichten van een Cyber Plan bureau, wat zich als doel dient te stellen inzicht te krijgen in feiten en fictie rondom cyber. Van incident based sturing naar fact based sturen. Ook zij roept op tot samenwerking en kennis deling tussen overheden en bedrijfsleven.
Opvallend hierbij is dat TNO momenteel een sensor aan het ontwikkelen is om Advanced Persistent Threats (gerichte aanvallen) tegen te houden, terwijl een dergelijke oplossing al geruime tijd in de private sector beschikbaar is. Enkele fabrikanten (Fire Eye en Trend Micro) hebben een antwoord op deze vorm van gerichte aanvallen. Dit concrete voorbeeld geeft aan dat er op het vlak van nieuwe coalities en kennisdeling tussen overheden en bedrijfsleven nog flink te winnen valt.
Informatie is het nieuwe goud
Wilbert Tomesen spreekt vanuit zijn rol als toezichthouder op de wet bescherming persoonsgegevens over persoonsgegevens als het nieuwe goud, de olie van de 21ste eeuw, zowel voor overheden als ook voor bedrijfsleven. Hij verwijst naar artikel 10 van de grondrecht, het recht op bescherming persoonsgegevens, populair verwoord: het recht om onbespied te blijven. Deze wetgeving maakt duidelijk dat de eindverantwoordelijkheid van alle informatie gerelateerde projecten bij gemeenten op een zo hoog mogelijk bestuurlijk niveau dient te liggen. Men is ten slotte verantwoordelijk om aan de wetgeving te voldoen en zo ook de verantwoording te nemen wie wat wanneer mag in zien.
Organisaties mogen niet meer gegevens verzamelen dan nodig is voor een specifiek doel, deze gegevens mogen niet langer opgeslagen worden dan overeengekomen en mogen niet voor een ander doel gebruikt worden. Transparantie en zorg voor adequate beveiliging zouden hierbij vanzelfsprekend moeten zijn.
Artikel 10 van de grondrecht is geen absoluut recht, er zal altijd een afweging van belangen gemaakt mogen worden. Daar ligt een volgend gevaar. Dat dit een actueel thema is blijkt wel uit de tientallen artikelen die over digitale spionage zijn verschenen. En dat is nog lang niet klaar. De NSA bouwt een nieuw data center ter waarde van 1,5 miljard dollar en zo groot als drie IKEA-filialen en men betaalt naar verluidt jaarlijks ruim 250 miljoen dollar aan Google om data te kunnen tappen. Het belang om mensen te bespieden is blijkbaar groter dan het recht om niet bespied te worden. Een actueel thema waar de overheid over discussieert is de mogelijkheid tot terug hacken. Deze terug hack bevoegdheid biedt de mogelijkheid om gegevens te verzamelen, vergelijkbaar met wat NSA met haar malware doet. Is dit straks voor de Nederlandse overheid een vrijbrief om spionage software te mogen installeren op pc’s van burgers en bedrijven? Wat betekent dit voor het recht om niet bespied te worden?
Samengevat komt uit het congres naar voren; er zijn nog veel stappen te zetten voor we een veilige overheid hebben en gezien de complexheid van de diverse samenwerkingsstructuren binnen overheidsland, zal er niet op korte termijn een betere situatie ontstaan. Sterker nog, met de projecten rondom decentralisatie in het verschiet, zal het alleen nog maar complexer worden.
Zelfregulering gemeenten
Er zijn al diverse collectieve initiatieven gestart om grip op de zaken te krijgen.
De Informatiebeveiligingsdienst voor gemeenten (IBD)-– een initiatief van KING en VNG – heeft op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor het gemeentelijke domein. (BIG).
Meest recente positieve ontwikkeling is de instemming resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ op de speciale ledenvergadering van het VNG (28 november2013). In grote lijnen betekent dit dat iedere gemeente informatieveiligheidsbeleid vaststelt aan de hand van het basisnormenkader Baseline Informatiebeveiliging Gemeenten (BIG). Verder borgen gemeenten informatieveiligheid zowel bestuurlijk als ambtelijk en maken ze de invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners. Een goede start, de doelen van terugdringen audit last en het belang van eigen verantwoordelijkheid nemen zal elke gemeente begrijpen, maar wat is de verplichting bij regulering? Moet er niet een gedragscode komen voor bestuurders, die hun baan verliezen als dit niet geregeld is?
Ter herinnering; ten tijde van de Diginotar problematiek zijn er gemeenten geweest die ruim zes weken geen digitale dienstverlening aan haar burgers hebben kunnen bieden. Dus naast gevaar op het vlak van informatieveiligheid, heeft verdere automatisering impact op de continuïteit van de dienstverlening.
Gemeenten zijn als professionele overheid zelf verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Dit zullen en mogen burgers, bedrijven en ketenpartners van gemeenten verwachten. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief net als wij alle burgers belang bij dat alle gemeenten en alle (keten)partners hun informatieveiligheid op orde hebben.
Aanpak en investeren?
De vraag die open staat is: wie gaat de investering doen in informatiebeveiliging om bestaande omgevingen op orde te brengen? Er is een status quo ontstaan, er zijn uitdagingen met wat men al heeft, er wordt vanuit centrale overheid geen geld aan gemeenten beschikbaar gesteld om het op te lossen, en dan is er de druk van de decentralisatie van taken, met bijbehorende beveiligingsvraagstukken.
Het gebruik van DigiD authenticatie is een voorbeeld hoe centrale overheid gemeenten voor het blok zet; binnen nu en een maand dienen alle gemeenten compliant te zijn, er wordt gedreigd ‘de stekker eruit te trekken’. Er wordt echter geen geld beschikbaar gesteld; de kosten voor de verplichte audit, al snel tienduizend tot vijftienduizend euro en kosten met betrekking tot benodigde aanpassingen dienen door de gemeenten zelf gedragen te worden. Dit bevordert uiteraard niet het gevoel van een gezamenlijke aanpak. De vraag is dan ook hoeveel gemeenten daadwerkelijk eind december willen en kunnen voldoen en welke maatregelen er daaropvolgend daadwerkelijk door het ministerie getroffen zullen worden. Afsluiting kost ten slotte ook veel geld.
Kortom; wet en regelgeving en reguleringsafspraken moeten een duw in de rug geven, maar het voorkomen van imagoschade waardoor vertrouwen in de gemeente verdwijnt, is de verantwoordelijkheid van de gemeente zelf! Daar moet het gebeuren.
Helder stuk dat een aantal zaken goed op rij zet. Maar ook een somber beeld schetst van hoe het er waarschijnlijk voorstaat op 1 januari 2015 wanneer als gevolg van de genoemde decentralisaties allerlei extra taken naar gemeenten gaan. Enerzijds wordt immers geconcludeerd dat het er nu niet al te best voor staat, dat er nog vrijwel geen aandacht voor cyber is en dat bewustwording (laat staan vaardig worden) nog veel te wensen overlaat. Anderzijds komen er veel nieuwe uitdagingen op gemeenten af, waardoor de huidige uitdagingen alleen maar groter zullen worden. De verwachting dat in 2014 alles goed op orde komt lijkt me niet realistisch. Onder andere gemeenten zouden daarvoor een enorme groeispurt moeten maken. Gelet op de veelheid aan taken en de beperkte beschikbaarheid van middelen, verwacht ik niet dat die er in voldoende mate zal gaan komen. Wat de vraag opwerpt die in de laatste alinea wordt gesteld: hoe moet het dan aangepakt worden om 1 januari 2015 voldoende klaar te zijn? Waar bij de DigiD-aanpak nog kan worden gedreigd om gemeenten af te sluiten (gemeentelijke standaardproducten kunnen met wat improviseren ook zonder DigiD nog worden geleverd), is dit bij de komende decentralisaties denk ik geen optie meer. Want daarmee zouden (kwetsbare) inwoners, al dan niet direct, de dupe van gaan worden.
Ik vrees dat we niet meer kunnen doen dan ons best en kijken hoever we gaan komen. Zeggen dat het de verantwoordelijkheid van gemeenten zelf is mag misschien kloppen, maar laat onverlet dat zij daarbij keihard de hulp nodig hebben van alle betrokken partijen. Van landelijke overheid tot ketenpartners en, zeker ook, betrokken ICT-leveranciers.
We staan aan de vooravond van een aantal mega ICT rampen in Nederland. Nu heeft de Nederlandse overheid nog geen enkel grootschalig ICT project binnen de gestelde richtlijnen kunnen afronden (zelfs de Belastingdienst niet). Maar ze wordt ook nog eens bestookt door lobbyisten die willens en wetens de overheid op die rampkoers afstuurt.
De overheid die koste wat koste binnen een paar jaar digitaal wil gaan terwijl de beveiliging simpelweg niet adequaat is. Dat de NSA er moeiteloos bij kan is al niet weg te denken, waarschijnlijk dat gewoon geholpen worden door de AIVD. Maar ook andere buitenlands overheidsdiensten en criminele bendes zullen de zwakke plekken opzoeken gebruiken en misbruiken.
Om de ramp nog groter te maken wordt DigiD opgevolgd door e-ID waarbij private organisaties zich ook kunnen aansluiten. Dit houdt dan ook in dat de beheerders van e-ID de ‘loper’ krijgen en bij alle aangesloten partijen informatie kunnen opvragen zonder zich zorgen te maken of dit rechtmatig is of niet.
Wees wijs om als persoon en bedrijf rekening te houden dat deze zaken gaan spelen en zorg ervoor dat je zo weinig mogelijk geraakt wordt wanneer de rampen zich voltrekken.
Ben je betrokken bij deze plannen en heb je informatie die belangrijk is voor het publiek zorg ervoor dat zij het te weten krijgen zodat de samenleving hierop kan reageren en voorkomen dat het de verkeerder kant op gaat.
Ik vind het een hele lap tekst om door te vorsen maar het is gelukt.
Vanuit mijn kennis en ervaring met de overheid zijn er sec telkens weer twee zaken waar ik tegen aan ben gelopen.
1. Verkeerde personen op verkeerde plekken
als er al een dooddoener is dat IT projecten onderuit haalt dan zijn dat mensen die zichzelf op een plek hebben gemanoeuvreerd waar zij geen enkele affiniteit me hebben maar daar op een soms ‘wazige’ manier terecht zijn gekomen uit een soort rare scoringsdrang. Probleem daarbij is dat zij vast blijven houden aan interne regels en processen die dan volkomen haaks staan op de wijze waarop je met IT om zou moeten gaan.
Als voorbeelden branden Ab Klink met zijn EPD en Piet Hein Donner met zijn Diginotar. Beiden volkomen onderuit maar geen van beiden ter verantwoording geroepen politiek voor de peperdure incompetentie.
2. Verkeerde prioriteiten stellen
Als er al een goede tweede te benoemen valt dan is het stelselmatig het stellen van verkeerde prioriteiten waarbij men eerst alleen maar naar procesjes en regels kijkt om zichzelf dan zo volledig mogelijk in te dekken maar niets hebben met het totaal overzicht van het geheel.
Dan gebeurt dus precies wat in een deel van dit artikel word geschreven. Je rolt dan van incident naar incident.
Tenenkrommend voor materie en naam IT.
De gevolgen zijn tamelijk oubollig en voorspelbaar. Ook bij de overheid een stelselmatige toename van steeds grotere incidenten waarbij IT diensten de aansluiting op elkaar steeds vaker zullen gaan missen. Mede vanwege door mij voornoemde twee redenen.