Het gaat niet goed met ICT-beveiliging bij de overheid. Een probleem voor gemeenten, want decentralisatie is de norm. Terwijl we op een ijsberg zijn gelopen, koketteert het Rijk internationaal hoe voortvarend het allemaal gaat.
– COLUMN – Brenno de Winter
Toen ik Lektober uitriep moest voor eens en voor altijd duidelijk worden dat het droevig is gesteld met de bescherming van privacy van mensen die in goed vertrouwen gegevens achter laten. Duidelijk moest worden dat we op een digitale ijsberg zijn gelopen. Dat punt is meer dan gemaakt en een van de uitwerkingen daarvan is het afsluiten van tientallen gemeenten van DigiD. Maar als mede-overheden weer aangesloten willen worden, komen ze met een Rijk in aanraking dat afwezig, bureaucratisch en vooral niet meewerkend is.
Gebrekkige ondersteuning
Er is namelijk door het Ministerie van Binnenlandse Zaken hals over kop een gloednieuw eisenpakket neergelegd, omdat ze eventjes waren vergeten na te denken over het bredere plaatje rond DigiD. In plaats van een ruiterlijk mea culpa en hulp bieden, gebeurt er weinig zichtbaars. Sinds het beginnen van het NUP weten we dat gemeenten het zwaar hebben met ICT en dat het Rijk tekort schiet.
Ook nu is het niet anders. Ik hoor diverse verhalen van gemeenten, die echt niet meer weten hoe ze weer op DigiD aangesloten kunnen worden, graag ondersteuning zouden krijgen, maar van het kastje naar de muur worden gestuurd. Het is ondenkbaar dat er vanuit Den Haag experts naar de gemeente komen om te helpen orde op zaken te stellen. Als mensen overboord slaan zal de kapitein niet eventjes een sloep sturen om de gemeenteambtenaren te helpen.
Relatief goedkope oplossing
De afsluiting en het gedoe kost gemeenten geld, terwijl veel zaken relatief eenvoudig zijn op te lossen. Ik heb eens wat rond gebeld. Met wat beveiligingsexperts en met een goede instructie vanuit BZK kunnen in twee, drie of in een wild geval vier dagen veel obstakels worden overwonnen of wordt duidelijk wat leveranciers moeten doen met hun product.
Een expert kost zo’n duizend euro per dag. Dus de grofweg 55 getroffen gemeenten zouden met vier dagen ondersteuning bij elkaar met zo’n 220.000 euro echt een flink eind op weg te helpen zijn. Gewoon handjes uit de mouwen en doen. Maar die benadering is kennelijk onbespreekbaar.
Symposium
Ondertussen wordt deze week op landelijk niveau voor de tiende keer een beveiligingsconferentie gehouden: het Govcert Symposium. Een conferentie gratis toegankelijk voor bevriende overheidsinstellingen en bevriende bedrijven. Een soort kloon van conferenties als BlackHat en Hack in the Box, die jaarlijks ook in Amsterdam een conferentie organisatie.
De feel good bijeenkomst kost volgens Govcert zelf zo’n 240.000 euro en richt zich traditiegetrouw op het tonen hoe fantastisch het allemaal gaat. Stoere acties samen met de FBI, de slimste trucjes van onze overheid en luxe lunches. Dus vooral geen praatjes over verzuipende gemeenten zonder DigiD, het lekken van privacygevoelige gegevens, falende audits rond DigiNotar, paniekbriefjes om half zeven op donderdagavonden aan gemeenten of ze eventjes per direct hun certificaten willen tellen, stappenplannen om nu eens privacygevoelige informatie goed te beschermen of uitleg waarom het ontbreekt aan cruciale checks op DigiD.
Allemaal een toonbeeld van een Rijksoverheid die het eigenlijk ook allemaal niet meer weet en weg rent voor slecht nieuws. Van paniek gaat het Ministerie van Veiligheid en Justitie dan maar het zakenleven in: het bieden van commerciële training in een verder goed functionerende markt. Niet echt een steun voor de rest van ambtelijk Nederland die wel energie wensen te steken in het beschermen van privacy.
Het is een beetje alsof de BV Nederland op een digitale ijsberg is gelopen en de Opstelten-band nog eens een feestnummer inzet. Aan de gemeente-ambtenaren ondertussen de vraag of u in het vooronder van het schip eventjes een lek wilt dichten. Graag in stilte. Boven viert men feest.
Typisch voor bureacraten om niet het probleem zelf te bediscussieren en met oplossingen te komen, maar om elkaar vliegen af te vangen. Volgens mij is het probleem over de digitale beveiliging een vastgesteld feit en hoor ik niemand met een goede analyse en olossing komen. Geeft echt veel vertrouwen in het ambtelijk apparaat en toont aan dat er teveel tijd beschikbaar is bij betrokken ambtenaren voor dit soort zinloze discussies.
Oh ja en toegeeigend?
DigiD is door de overheid in het leven geroepen om de burger met 1 inlogcode bij verschillende webdiensten hun zaken te laten regelen, maar u als leek die niet leest zou dat natuurlijk niet kunnen weten. Evenmin weet u dat DigiD(Het DOELWIT van mijnheer de Winter) nooit gecompromitteerd is geweest, blijkbaar. Maar gewoon verder gaan joh, de rekening wordt toch aan de burger gepresenteerd!
nou nou mijnheer het hart, nogal vergeetachtig is het niet?
Is hij het niet die maar al te graag deze gemeentes publiekelijk onderuit heeft geveegd. Ik hoef het stuk niet te lezen en ja ik ben 1 van die overheidsmedewerkers, dus kom maar op!
Is dit het geen stijl niveau wat mijnheer de Winter graag hanteert?
Is het mijnheer de Winter niet die het over de financiering heeft? Sterker nog als mijnheer de Winter dit intern had aangekaart, zonder dat hij er zelf beter van was geworden, had dit niets gekost. Nu kost het geintje 20 man een jaar werk en daarnaast moet er 3500 uur extra ingeboekt worden, om nog maar te zwijgen wat dit per gemeente gaat kosten. Maakt u het rekensommetje maar!!!! BURGER!!!!
Nou nou, wat een drift, meneer de zomer. Heeft u het stukje eigenlijk wel gelezen? Het lijkt van niet.
Meneer De Winter neemt het nu juist op voor de gemeenten die door het Rijk nu in de steek worden gelaten. Nota bene op een gebied (DigID) waar het Rijk zich het monopolie heeft toege?igend.
Het heeft dus allemaal helemaal niks te maken met de financiering van gemeenten, en wat u verder roept is ook maar een beetje Geen-Stijl-roeptoeter niveau. Foei meneer de zomer!
En verder deelt meneer De Winter een steekje uit naar het zelfbevlekkingsfeestje van GovCert, een clubje van diezelfde Rijksoverheid, die zich zelf in ieder geval het feliciteren waard vinden, maar die juist in deze barre tijden ook in gebreke zijn gebleven,
Wat een leuk anoniempje heeft u trouwens gekozen. Zo dapper ook!
Wat een gelul, mijn heer de Winter! Eerst gemeentes onderuit halen om de overheid voor lul te zetten en als dat niet lukt krijgen we een zwakke reactie als deze! Wat mijnheer de winter even vergeet is dat er elk jaar een budget wordt vrijgemaakt door de overheid voor gemeentes. Het is aan gemeentes zelf hoe ze deze invullen. Ik kan uit dit verhaal nergens opmaken dat het gaat om de veiligheid van de burger. De regels die de overheid stelt voor de veiligheid van de burger(ook digitaal) zijn duidelijk. Dat hier laks mee omgegaan wordt ligt bij de gemeentes zelf die notabene zelf onder het overheids-apparaat vallen. Maar u zult door deze gemeentes hartelijk bedankt worden voor de publiciteit en het tegen elkaar opzetten van gemeentes en overheid. Uw verhaal is vergezocht!!!!!
Waarom wordt er niet gewerkt met twee niveaus van beveiliging? 1e op basis van OpenID http://openid.net/ en een 2e op basis van de specifieke dienst?
Makkelijk daar waar het kan en moeilijk daar waar het moet!
Niet de eerste keer dat de Rijksoverheid met grote laarzen door het gemeentelijke ICT-landschap banjert, zonder op te letten welke gevolgen het allemaal heeft.
Eigenlijk bulkt het NUP van opgeblazen rijksambities die de gemeenten moeten realiseren. Zonder daar de middelen voor te krijgen overigens.
Maar deels mogen gemeenten ook de schuld bij zichzelf zoeken. Jarenlang klagen gemeentelijke ICT-ers steen & been over fenomenen als de BAG, de WABO, de WKPB en dergelijke bij hun eigen bestuurders en directies. Maar daar is ICT alleen HOT als het om hun eigen iPad of iPhone gaat, of als ze door Brenno te kakken worden gezet in Lektober.