Moet er eerst een ramp gebeuren bij de Rijksoverheid?

Gepubliceerd op 20 mei 2021 om 15:00

Bij elf van de achttien onderzochte overheidsorganisaties is de informatiebeveiliging niet op orde. Over de gehele linie is de stand van informatiebeveiliging niet anders dan in 2019. Toch is er het afgelopen jaar vooruitgang geboekt en hebben organisatie waar de informatiebeveiliging niet op orde was daar werk van gemaakt. Dat heeft er echter niet toe geleid dat tekortkomingen en onvolkomenheden zijn opgelost.

Onderzoek Algemene Rekenkamer

De Algemene Rekenkamer kijkt ieder jaar hoe het gesteld is met de informatiebeveiliging van de Rijksoverheid en diverse politieke organen. Naast de elf ministeries onderzochten de onderzoekers ook hoe de informatiebeveiliging is geregeld bij de Eerste en Tweede Kamer, Raad van State, de Nationale Ombudsman, Dienst Uitvoering Onderwijs (DUO), Rijksdienst Caribisch Nederland (RCN) en (voor het eerst) de Algemene Rekenkamer.

Voor een deel is de huidige stand van zaken te wijten aan de coronapandemie, die ons land al meer dan een jaar in zijn greep houdt. Zo’n 175.000 ambtenaren moesten daardoor van de ene op de andere dag ineens thuiswerken. Gezien de omstandigheden ‘bleef de kwaliteit hoog’. “Ondanks de enorme aantallen thuiswerkers, die lang niet allemaal ervaren waren, hielden de ICT-ondersteuners de systemen in de lucht. Dat is bewonderenswaardig”, aldus de Rekenkamer.

De digitale omwenteling bracht ook vragen met zich mee. Over informatiebeveiliging, over bescherming van de IT tegen computervirussen en gijzelsoftware, over betrouwbaarheid van systemen en over de capaciteit van de verbindingen. Vorig jaar concludeerde de Algemene Rekenkamer dat er geen uniforme afspraken waren over veilig en verantwoord thuiswerken. Zo gebruikten ambtenaren WhatsApp en onveilige vergaderdiensten om vertrouwelijke informatie uit te wisselen. Dat heeft ervoor gezorgd dat de WhatsApp-accounts van verschillende Kamerleden en ambtenaren afgelopen jaar werden overgenomen door cybercriminelen.

Incident ministerie van Buitenlandse Zaken

In het jaarverslag stelt de Algemene Rekenkamer dat er zich afgelopen jaar een incident met de informatiebeveiliging op het ministerie van Buitenlandse Zaken heeft voorgedaan. Tijdens het onderzoek stuitte de Rekenkamer op een vertrouwelijke lijst. Daarop stonden namen, adressen, geboortedata, telefoonnummers en bank- en verzekeringsgegevens van 18.000 personen vermeld. Naast geautoriseerde medewerkers konden ook andere medewerkers met een account van het ministerie van Buitenlandse Zaken bij deze gegevens.

Volgens de Rekenkamer heeft het ministerie het datalek gedicht. Uit aanvullend technisch onderzoek bleek dat alleen bevoegden de informatie hadden geraadpleegd. Of het lek gemeld is bij de Autoriteit Persoonsgegevens, wat volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht is, is onbekend.

Verder concluderen de onderzoekers dat vertrouwelijke stukken van het ministerie niet goed waren afgeschermd. Zoekopdrachten met termen als ‘privé’ of ‘vertrouwelijk’ leverden vertrouwelijke stukken van buitenlandse posten op, zoals privéadressen van medewerkers en notulen van besloten overleggen. Ook troffen de onderzoekers een overzicht aan van alle gebruikersnamen en inlogcodes voor sociale media. Hierdoor waren ze, net als andere medewerkers van het ministerie, in staat om de officiële Twitter-account over te nemen.

Risico's genomen

Om betrouwbare informatie te genereren en de toegang tot informatie in goede banen te leiden, is het noodzakelijk dat IT-systemen goed draaien. Normaal gesproken beoordelen controleurs van binnen en buiten de organisatie of systeemaanpassingen in orde zijn. Vanwege de druk om een half miljoen gebruikers te helpen (zorgmedewerkers, scholen, culturele instellingen), is dat afgelopen jaar slechts beperkt gebeurd. De Algemene Rekenkamer constateert dat er desondanks geen noemenswaardige problemen zijn gerezen bij het gebruik van de IT-systemen. “Dat neemt niet weg dat er zo risico’s zijn genomen, bijvoorbeeld waar het gaat om wie toegang heeft tot de systemen”, zo zegt de Rekenkamer. De instantie vraagt aan de betrokken departementen om dat dit jaar alsnog te doen.

Twee ernstige onvolkomenheden

De Rekenkamer is tijdens haar onderzoek twee ernstige onvolkomenheden tegengekomen.

  • De eerste betreft het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Het financieel beheer was een rommeltje. Een deel van de uitgaven aan de pandemie kan niet rechtmatig verantwoord worden, bijvoorbeeld omdat het ministerie nooit een ontvangstbewijs voor bepaalde aankopen heeft ontvangen. Zo kan het departement niet met zekerheid zeggen of mondmaskers of beademingsapparatuur wel of niet is geleverd. Het gaat volgens de Rekenkamer om 5,1 miljard euro publiek geld. Dit euvel speelt al enkele jaren.
  • Bij het ministerie van Defensie heeft de Algemene Rekenkamer tekortkomingen vastgesteld in het vastgoedmanagement. De onderzoekers stellen dat de minister onvoldoende zicht heeft op de staat van onderhoud van 11.000 gebouwen en terreinen en 34.000 hectare aan oefenterreinen. Dit probleem is al sinds 2018 bekend. De Rekenkamer vindt het dan ook ‘zorgelijk’ dat er na al die jaren nog steeds geen oplossing is.

Onvolkomenheden in de afgelopen jaren gegroeid

Het aantal onvolkomenheden is volgens de Rekenkamer de afgelopen jaren gegroeid. In 2017 troffen de onderzoekers nog 35 onvolkomenheden aan, in 2020 waren dat er 50. Het gaat dan om tekortkomingen op het gebied van informatiebeveiliging en IT-beheer. De Rekenkamer heeft hier een verklaring voor. “Een deel van de verklaring is dat deze problemen meer op de voorgrond zijn getreden nu het werk van de rijksoverheid op grote schaal digitaal heeft plaatsgevonden.” Tegelijkertijd benadrukt de instantie dat tekortkomingen ‘hardnekkig van aard’ zijn.

Vorig jaar concludeerde de Algemene Rekenkamer ook al dat de informatiebeveiliging bij de Rijksoverheid niet op orde is. Bij de helft van de onderzochte organisaties was de informatiebeveiliging niet goed geregeld. “We stellen vast dat er sprake is van een reëel risico in de keten van overheidsorganisaties bij het uitwisselen van informatie”, zo schreven de onderzoekers destijds in hun rapport.

SRV WR
PDF – 1,7 MB 257 downloads

Bron: rekenkamer.nl, vpngids.nl

Meer info over Cybercrime lees je hier

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde

Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.

Lees meer »

De grootste cyberaanvallen van 2021

De afgelopen jaren is het moeilijk geworden om het feit te negeren dat het digitale leven waar we allemaal deel van uitmaken volledig kwetsbaar is voor cybercriminelen. Hackers zijn blij met bijna elke mogelijkheid om geld te verdienen of plezier te hebben - van het creëren van een gratis lidmaatschap van een sportschool voor hun hele gezin tot het hacken van energiesystemen van hele landen.

Lees meer »

De meest voorkomende soorten cyberaanvallen in 2021

Het aantal cyberincidenten in 2021 is beangstigend, ook al zijn er pas zes maanden verstreken. Inbreken in een waterleidingnet in Florida en proberen het water te vergiftigen voor 15.000 inwoners. Een cyberaanval op het kanaal 9News Australia heeft ochtendshows geannuleerd. Een ransomware-aanval veroorzaakte de sluiting van de grootste brandstofpijpleiding in de VS en kostte $ 5 miljoen. En dat is slechts een deel van het droevige nieuws voor nu.

Lees meer »

"Onverantwoorde en destabiliserende gedrag in cyberspace"

De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.

Lees meer »

Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'

Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.

Lees meer »