Onderhoud achilleshiel bij overheidsautomatisering

In de DigiNotar-affaire tonen lekken in gemeentelijke sites aan hoe kwetsbaar de overheidsautomatisering is. De Kamer debatteert morgen.

Marc Hijink

Op afstand meegluren in vertrouwelijke raadsstukken en correspondentie tussen gemeenteambtenaren, of de identiteit ‘lenen’ van een onwetende burger die inlogt met zijn DigiD-code; uit recent onderzoek blijkt dat de beveiliging van gemeentelijke computersystemen veel te wensen overlaat. Opnieuw lijkt ontoereikende controle op externe leveranciers de oorzaak van falende overheids-ict.

Morgen discussieert de Tweede Kamer over de veiligheid van computersystemen, naar aanleiding van de ernstige problemen die de digitale certificaten van DigiNotar afgelopen maand veroorzaakten. Maar het probleem is veel omvangrijker. Tijdens een onderzoek naar gemeentelijke websites vond ict-expert Wouter van Dongen onlangs ernstige tekortkomingen. Hij merkte dat veel wachtwoorden van verschillende informatiesystemen van gemeenteraden, die werken via de webbrowser, op een simpele wijze te achterhalen waren. Dankzij slecht beveiligde databases zou zelfs een beginnende hacker in vrijwel alle gemeentelijke raadsinformatiesystemen kunnen meekijken en vertrouwelijke raadsstukken inzien. Er zijn geen aanwijzingen dat er al eens misbruik van het lek is gemaakt.

De betrokken gemeenten maken gebruik van een kleine groep externe webbedrijven die zich gespecialiseerd hebben in automatisering voor gemeentelijke overheden. Deze leveranciers zijn door Van Dongen gewaarschuwd en hebben het lek gedicht. Van Dongen trof ook inadequate beveiliging aan bij DigiD, de persoonlijke code waarmee Nederlandse burgers op overheidssites moeten inloggen. Een hacker kan relatief eenvoudig de websessie van een ingelogde DigiD-klant overnemen en in naam van het slachtoffer bijvoorbeeld een nieuw rijbewijs of een parkeervergunning bestellen. Ook hier geldt: het is niet zeker dat er misbruik van gemaakt is, maar dat maakt het lek niet minder ernstig.

De verantwoordelijkheid voor DigiD ligt bij Logius, onderdeel van het ministerie van Binnenlandse Zaken. Logius is ook de instantie die verantwoordelijk was voor de ‘inkoop’ van certificaten voor beveiligd internetverkeer, zoals DigiNotar die leverde. Maar de controle van DigiNotar, zo bleek nog eens tijdens een hoorzitting in de Tweede Kamer, was uitbesteed aan toezichthouder Opta, en aan private partijen als PWC. Ook de Opta bleek niet erg gelukkig met deze indirecte vorm van toezicht.

De recente incidenten bewijzen dat overheidsdiensten weinig grip hebben op hun automatisering. Dat is zuur, want de overheid is wel de grootste opdrachtgever van de Nederlandse ict-sector. Het Rijk bouwt – mede gestimuleerd door bezuinigingsdrang en de digitale agenda van Eurocommissaris Neelie Kroes – aan een elektronische overheid. Dat zou zowel de burger, het ambtelijk apparaat als de begroting van de ministeries moeten ontlasten. Maar ict is geen wondermiddel – anders zouden niet tientallen miljoenen euro’s verloren gaan aan grote automatiseringsprojecten als het elektronisch patiëntendossier, de haperende computersystemen van de politie, het UWV, Belastingdienst en Studiefinanciering. Ook bestaande automatisering vergt continu onderhoud om opgewassen te blijven tegen nieuw ontdekte lekken en hacks.

Zulk onderhoud kost geld en de vraag is of dat in de aanbestedingen van ict-leveranciers voldoende wordt ingecalculeerd. Meestal gaat de opdracht naar de goedkoopste leverancier of de partij die het snelst een werkend resultaat kan opleveren, zeker als er vanuit Den Haag een te ambitieuze doelstelling wordt opgelegd.

Maar dat heeft juist een averechts effect. Een elektronische overheid werkt alleen als de burger gelooft in de efficiëntie van de automatisering en de veiligheid van zijn persoonlijke gegevens.