Het ministerie van Buitenlandse Zaken (BZ) heeft de informatiebeveiliging niet op orde. Volgens de Algemene Rekenkamer is er zelfs sprake van een ernstige onvolkomenheid. Aanbevelingen uit eerdere onderzoeken zijn niet afgerond, er zijn risico’s bij de accreditatie van informatiesystemen en het ministerie voldoet niet aan geldende regelgeving.
De Rekenkamer is niet mals in haar oordeel over de informatiebeveiliging bij het ministerie van Buitenlandse Zaken. Volgens het orgaan doet het ministerie te weinig om de beveiliging op orde te brengen. Het gaat om informatiesystemen die worden gebruikt voor diplomatenpost en documentenverkeer met de Europese Unie (EU) en de Navo. De hardnekkigheid van het beveiligingsprobleem is een ernstige onvolkomenheid, staat in een verantwoordingsonderzoek door de Rekenkamer.
Van de elf systemen die BZ gebruikt voor informatie-uitwisseling met ambtenaren, diplomaten in binnen- en buitenland en internationale samenwerkingsverbanden, blijkt er slechts één volledig te zijn geaccrediteerd ofwel goedgekeurd volgens de EU of de Navo. Drie systemen hebben een tijdelijke accreditatie, twee zitten in een voorfase van accreditatie en vijf hebben helemaal geen geldige machtiging en goedkeuring.
Te positief
De Rekenkamer hekelt ook het te positieve beeld dat verantwoordelijk minister Stef Blok over dit onderwerp eerder deelde. BZ heeft namelijk meer niet-geaccrediteerde of onvoldoende geaccrediteerde informatiesystemen dan de minister eind 2019 aan de Tweede Kamer meldde. Volgens Blok kunnen ambtenaren bovendien terugvallen op de traditionele manier van communiceren indien digitale communicatie niet meer mogelijk is door het ontbreken van accreditaties. ‘Het erg positieve beeld dat de minister aan de Kamer schetst, is illustratief voor het gebrek aan erkenning van het belang van goede informatiebeveiliging’, aldus de Rekenkamer.
In het rapport staan voorbeelden van recente incidenten waarbij de informatiebeveiliging in het geding was. De onderzoekers noemen onder meer de ransomware-aanval bij Universiteit Maastricht, door het hacken van de Citrix-omgeving, zoals die ook veel wordt gebruikt door de overheid.
Risicomanagement
‘Het ministerie heeft op het gebied van informatiebeveiliging risico’s in de governance, de inrichting van de organisatie en op het terrein van risicomanagement’, staat in het rapport. ‘Accreditaties vallen onder risicomanagement. Het beleid voor informatiebeveiliging is bij dit ministerie niet op tijd geëvalueerd. Het is niet duidelijk wie op het gebied van informatiebeveiliging waarvoor verantwoordelijk is. Verder ontbreekt het aan een jaarplan waarin budget, bemensing en benodigdheden zijn vastgelegd.’
Minister Blok heeft gereageerd op het rapport. Hij stelt dat informatiebeveiliging essentieel is en dat er in 2019 is gewerkt aan verbeteringen. Hij onderschrijft de aanbevelingen van de Rekenkamer.