Overheidsorganisaties hebben hun digitale veiligheid niet altijd op orde en kunnen die veiligheid daardoor niet waarborgen. Dat blijkt uit het op 28 juni gepubliceerde rapport van de Onderzoeksraad voor Veiligheid. Aanleiding voor het rapport was het 'DigiNotar-incident'.
De inbraak bij DigiNotar in de zomer van 2011 maakte volgens de Onderzoeksraad duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid. Het bedrijf leverde digitale certificaten, die gebruikt worden om elektronisch gegevensverkeer te beschermen. Ook de Nederlandse overheid maakte gebruik van certificaten van dit bedrijf.
Door de inbraak ontstond het risico dat gegevens van burgers en bedrijven onderschept zouden worden en mogelijk misbruikt. Het bleek, zo schrijft de Onderzoeksraad, dat niet snel kon worden overgeschakeld op een andere leverancier zonder dat de continuïteit van diverse essentiële gegevensstromen met en binnen de overheid ernstig in gevaar zou komen. Een consequentie had kunnen zijn dat gegevensstromen binnen de rechtspraak of de Belastingdienst stil kwamen te liggen. Omvangrijke maatschappelijke ontwrichting en economische schade zouden hiervan het gevolg zijn geweest. Uiteindelijk heeft de overheid er maanden over gedaan om alle DigiNotar-certificaten te vervangen.
De inbraak bij DigiNotar kon zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden. Meer algemeen concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt omdat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.
Ook bij de onderzochte gemeenten blijkt volgens het rapport sprake van een gebrekkig inzicht in de risico's die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ICT-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van B&W. Behalve bij de Gemeentelijke Basisadministratie wordt de digitale veiligheid in gegevensverwerkende processen van gemeenten niet altijd systematisch gewaarborgd.
De Onderzoeksraad concludeert dat bestuurders van veel overheidsorganisaties er onvoldoende in slagen om sturing te geven aan een goede digitale veiligheidszorg. Dat komt onder meer doordat zij zich te weinig bewust zijn van de bedreigingen waaraan digitale veiligheid bloot staat, en de gevolgen die inbreuken op de digitale veiligheid kunnen hebben. Bestuurders van overheidsorganisaties ontbreekt het vaak aan de kennis die zij nodig hebben om hun organisaties op dit terrein aan te sturen.
De Onderzoeksraad beveelt aan dat bestuurders van overheidsorganisaties actief sturing geven aan digitale veiligheidszorg. Een openbare verantwoordingsplicht, vergelijkbaar met de verplichtingen die gelden op het gebied van financiën, kan daar aan bijdragen. Het bestuurlijk toezicht moet worden verscherpt en de overheid moet zorgen dat de bestuurders meer kennis krijgen over aansturing van digitale veiligheid.
Verder moeten overheidsorganisaties digitale veiligheid meer systematisch waarborgen. Afspraken hiervoor bestaan al langere tijd, maar worden beperkt nageleefd. Ten tweede moeten zij systematisch inventariseren welke risico's de digitale veiligheid bedreigen, en hiertegen passende maatregelen treffen. Niet alleen preventie, maar ook herstel na incidenten moet hiervan onderdeel uitmaken; volledige veiligheid is immers geen reële verwachting.
