Overheidsorganisaties die DigiD gebruiken, dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun IT-beveiliging te hebben getoetst. Dit moet gebeuren op basis van een nog door Govcert, het cybercrimeteam van de rijksoverheid, te maken beveiligingsnorm. Overheden die hun IT-beveiliging niet op orde blijken te hebben, worden per direct afgekoppeld van DigiD. Dat schrijft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer.
Donner greep in na berichten in de media, opgepookt door het Lektober-initiatief van IT-website Webwereld, over lekkende websites van gemeenten. Hoewel de minister constateert dat IT-beveiliging in de eerste plaats een verantwoordelijkheid is van individuele overheidsorganisaties zelf, vindt Donner dat de informatiebeveiliging van de IT-keten als geheel op orde moet zijn. Daar moet de rijksoverheid op letten. Hij heeft daarom Logius, de IT-infrastructuurbeheerder van de overheid, de opdracht gegeven overheidsorganisaties die hun IT-beveiliging niet op orde blijken te hebben, per direct af te koppelen van DigiD. Die organisaties kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.
Verder kondigde de bewindsman aan dat DigiD-gebruikers binnen de overheid voor het einde van het eerste kwartaal van 2012 hun IT-beveiliging getoetst behoren te hebben. Govcert, het cyber crimeteam van de rijksoverheid, stelt deze toets op, in overleg met VNG (Vereniging Nederlandse Gemeenten) en de gemeentelijke kwaliteitsadviseur King. Bovendien zal Logius een aantal marktpartijen vragen de IT-beveiliging van de DigiD-gebruikers proberen te kraken, om te bepalen of de IT-beveiligingstoets goed is uitgevoerd.
Deze toets dient vanaf 2012 elk jaar te worden herhaald, waarbij Govcert de eisen zal aanpassen en vanwege nieuwe bedreigingen die zich aandienen. Overheidsinstanties moeten de test laten uitvoeren door een groep voorkeursleveranciers die door Logius zijn geselecteerd. Grote overheden met voldoende IT-kennis (ter beoordeling aan Logius) mogen de beveiligingsassessments in eigen beheer uitvoeren. Wat mij verbaast is dat niet gebruik gemaakt wordt van de Code voor Informatiebeveiliging. Blijkbaar nmoet Govcert het wiel zelf weer opnieuw uitvinden, terwijl er al een uitgebreide norm is.
De afgelopen tijd is gebleken dat veel instanties die persoonsgegevens beheren niet goed in staat zijn om hun databases en websites te beveiligen. Om dit aan te tonen startte de website Webwereld ‘Lektober’, met de bedoeling iedere dag een lek in de site van een dergelijke organisatie aan te tonen. Het initiatief wekt zeer veel beroering, waarvan onder andere de stap van minister Donner een resultaat is. Vooral de Tweede Kamer was, voorzichtig uitgedrukt, geirriteerd.
Afgelopen weekend bleek dat vijftig gemeentesites eenvoudig te hacken bleken. Er waren oude Windowsversies in gebruik, die makkelijk te hacken waren en waarop DigiD-sessiebestanden gekloond konden worden. Sharon Gesthuizen (SP) pleitte voor een crashteam: ‘We hebben geluk dat het hier een journalist betreft en niet een kwaadwillende hacker. Al eerder pleitte ik voor een parlementair onderzoek om te achterhalen hoe dit zo fout heeft kunnen gaan. Ook moet er een crash team komen dat 24 uur per dag kan ingrijpen wanneer dit soort gaten in de beveiliging naar buiten komen’. Overigens: wie zegt dat hackers al niet langer stilletjes gebruik maken van deze lekken ? Volgens El Fassed (Groen Links) zijn slecht beveiligde gemeentesites geen incidenten, maar een symptoom van gebrek aan controle op IT-veiligheid en privacy bij de overheid. “Ook in dit geval worden basisregels genegeerd. De problemen met IT bij de overheid zijn structureel. We weten dat veiligheid en privacy echt gewaarborgd moet worden, maar weten niet waarom de overheid het steeds maar niet lukt”.Jeaninie Hennis-Plasschaert (VVD) vindt de zaak ‘DigiNotar’ een enorme ‘wake-up call’. De beveiliging van overheidsinstanties is nu nog teveel ad hoc. Ze verwacht veel van een nog op te richten Nationaal Cyber Security Centrum (NCSC), dat gevraagd en ongevraagd advies geeft aan overheidsinstanties over IT-veiligheid.Volgens Wassila Hachchi (D66) ontbreekt het vooral aan deskundigheid bij de overheid. ‘We leven in een digitaal tijdperk en de overheid moet deskundigheid in huis halen om de digitale dienstverlening te garanderen’.
Maar is deze geirriteerdheid niet een beetje mosterd na de maaltijd ? Het is al heel lang bekend dat de IT en de IT beveiliging bij overheidsorganen problematisch zijn. De politiek heeft zich daarmee nooit echt beziggehouden. Steigeren als er een probleem was en daamee weer overgaan tot de orde van de dag. Webwereld komt niet voor niets met een initiatief als Lektober. Kortom: goed dat de minister nu eindelijk maatregelen neemt. Beter laat dan nooit, zullen we maar zeggen….