Het is een blinde vlek, concludeert de Onderzoeksraad voor Veiligheid. De overheid mist de kennis om het gebruik van ict goed te beveiligen.
Ook de controle op het gebruik van ict door overheden schiet
te kort, oordeelt de raad. Aanleiding is de crisis rond DigiNotar. “Geen van de betrokken partijen had stilgestaan
bij de mogelijkheid dat certificaten van een gecompromitteerde
certificaatdienstverlener niet zonder gevolgen ongeldig verklaard kunnen worden”,
staat in het rapport (PDF).
Die partijen zijn de overheid,
toezichthouder OPTA en leverancier Logius. “Niemand had zich gerealiseerd dat
dit kon leiden tot het stilvallen van belangrijke gegevensstromen met en tussen
overheidsorganisaties, met ingrijpende maatschappelijke gevolgen.” De hack
van de certificatenverstrekker legde een zwakke plek in de beveiliging bloot
die ook niet eenvoudig was te verhelpen.
Toezicht
Vooral de toezichthouders krijgen
ervan langs in het rapport. Papieren tijgers zijn het, is de conclusie.
DigiNotar maakte een rommeltje van de beveiliging van ict, maar kwam wel door
periodieke audits. Zelfs de meest basale beveiliging was niet in orde. Zelfs
een virusscanner ontbrak.
“De overheid vertrouwt dus op
certificaatdienstverleners, maar onthoudt zichzelf van instrumenten om te verifiëren
of de betrouwbaarheid van hun bedrijfsvoering dat vertrouwen rechtvaardigt. Dit
is een bewuste keuze van de wetgever geweest. Gezien de veiligheidskritische
functie van digitale certificaten vindt de Onderzoeksraad deze constructie niet
verantwoord.”
Deskundigheid
Het ontbreekt bestuurders en
ambtenaren aan relevante kennis. Daardoor kunnen zogenaamde ict-deskundigen
veelal hun gang gaan. Het ministerie van Binnenlandse Zaken laat weten na de
zomer met een reactie op het rapport te komen.
Niet de overheid mist de kennis. De verantwoordelijke bestuurders binnen de overheid missen de kennis. Misschien aan vervanging toe? Te oud misschien? Niet mee gegeroeid? Binnen de ICT van de overheid zijn er meer dan voldoende mensen (ambtenaren) die van de hoed en de rand weten (conform de NORA, etc.). Dit was een organisatorisch probleem. En misschien wel de belangenverstrengeling die Willem veronderstelt. Misschien een onderzoekje waard? Of blijft het een blinde vlek?
Klopt helemaal. Ik was in de periode 2004 – 2006 interim hoofd ICT bij, wat nu, een dienst van Justitie. Mijn adviezen werden wel door mijn opdrachtgever serieus genomen, maar ik moest toen ook samenwerken met het Notariaat. Er was echter sprake van een familierelatie tussen de directeur van Diginotar en een vooraanstaand lid van het Notari?le gebeuren. Het feit dat ik een jarenlange ervaring had (en heb) op het gebied van IB, was niet genoeg om het te kunnen winnen van deze belangenverstrengeling. Nu zitten we met de gebakken peren.