De overheid loopt achter in digitale weerbaarheid en worstelt ook nog steeds met de privacy. Om die reden luidt Emine Özyenici, cio bij het ministerie van Justitie en Veiligheid, de noodklok. ‘De situatie anno 2021 is ernstig,’ waarschuwt zij in 'I-strategie Rijk 2021-2025', het rapport waarin cio’s van het Rijk de tien belangrijkste prioriteiten voor de komende vier jaar beschrijven.
Özyenici, portefeuillehouder Digitale weerbaarheid, wijst behalve op bekende risico’s zoals spionage door Rusland en China ook op het probleem dat de overheid weinig keuze heeft op gebied van security. De cio noemt onvoldoende spreiding over dienstverleners een risico. Het aantal Nederlandse leveranciers van cryptomiddelen is bijvoorbeeld beperkt.
Volgens Özyenici moeten we waken voor grote afhankelijkheden. Gevaarlijk is een digitale monocultuur waar een kwetsbaarheid in één product een groot deel van de overheid en het bedrijfsleven kan raken. Zij noemt als voorbeelden de Citrix-kwetsbaarheden en de achterdeur in SolarWinds Orion. “Het is belangrijk dat deze sourcing- en ketenrisico’s voldoende worden beheerst.’
Wrijving
De rijksoverheid heeft ook moeite de snelle technologische ontwikkelingen bij te benen. Voor de informatievoorziening en ict worden meer dynamische en kort-cyclische ontwikkelaanpakken gekozen. Maar vaak geeft dat wrijving met de weinig flexibele en monolithische kaders en goedkeuringsprocessen. Daardoor bevatten die voorzieningen regelmatig kwetsbaarheden. Ook komt het vaak voor dat ze niet het juiste goedkeuringsproces hebben doorlopen. De kaders voor informatieveiligheid en besluitvorming blijken niet altijd geschikt voor ‘agile’ ontwikkeltrajecten.
Een speerpunt is de governance. Meer moet worden gestuurd op risico’s. Het is zaak dat ministeries meer van elkaars deskundigheid gebruik maken als veiligheid en bescherming van persoonsgegevens in het geding zijn. Sommige maatregelen kunnen het beste centraal worden georganiseerd. Verder wordt gepleit voor versteviging van het cio- en ciso-stelsel en -middelen.
Daarnaast moeten de secretarissen-generaal in staat worden gesteld goed te sturen op digitale weerbaarheid. Risico’s rond informatievoorzieningen moeten op het hoogste niveau worden besproken. In 2025 dient meer gebruik te worden gemaakt van gezamenlijke standaard-faciliteiten. Ook kennisdeling is hard nodig.
Tweede speerpunt is de voortdurende verbetering van de digitale weerbaarheid. Een actuele en robuuste architectuur dient als basis voor lifecycle management. Derde speerpunt is de weerbaarheid van medewerkers te verhogen.
Bekijk hier de I-strategie Rijk 2021-2025,,
Goh, verrassend…….dit riep ik enkele jaren geleden al….
In het artikel staan allemaal goede plannen, maar wie gaat deze plannen verwezenlijken?
Er is niemand centraal voor verantwoordelijk….dus ik verwacht ook niet dat iemand het initiatief neemt….of zie ik dat verkeerd?