Rapport: digitale veiligheid overheid moet beter
Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen de veiligheid daardoor niet waarborgen. Dat concludeert de Onderzoeksraad voor Veiligheid in een donderdag gepubliceerd rapport over de hack bij Diginotar.
Het kabinet gaf de opdracht voor het onderzoek naar aanleiding van de hack bij internetbeveiligingsbedrijf Diginotar, vorig jaar zomer. Door beveiligingscertificaten te vervalsen, konden internetters onbewust op onveilige sites belanden. Het bedrijf beveiligde veel websites van Nederlandse overheden.
De hack bij Diginotar kon zulke verstrekkende gevolgen hebben, omdat de overheidsorganisaties er geen rekening mee hadden gehouden dat een leverancier van certificaten onbetrouwbaar zou worden, stelt het rapport.
Veilig elektronisch gegevensverkeer is een basisvoorwaarde voor het functioneren van veel overheidsorganisaties. Hiermee is het een directe verantwoordelijkheid voor bestuurders. Maar zij zijn vaak niet in staat om die goed in te vullen, stelt de onderzoeksraad. Dat komt omdat zij zich te weinig bewust zijn van de bedreigingen die op de loer liggen.
"Risico is bij digitale veiligheid de maat en niet de uitzondering", schrijft de raad. "De overheid moet zich daarvan bewust zijn en daar ook naar handelen." De aanbeveling luidt dan ook om 'actief sturing' te geven aan digitale veiligheidszorg met een openbare verantwoordingsplicht. Ook moeten overheidsorganisaties digitale veiligheid meer systematisch waarborgen. De afspraken daarover moeten beter worden nageleefd.
De Inspectie Veiligheid en Justitie concludeert in een ander rapport dat het rijk tijdens de Diginotar-crisis 'doeltreffend' heeft gefunctioneerd. De overheid heeft volgens dit rapport vanaf het begin alert gereageerd. De mogelijke gevolgen werden snel onderkend en het crisisteam heeft 'doortastend' opgetreden. De belangrijkste aanbeveling is dat het ministerie van Veiligheid en Justitie moet blijven investeren in de een 'rijkscrisisorganisatie'.
