Onderzoeksraad: te weinig kennis bij overheid over digitale bedreiging

Het hoofdkantoor van Diginotar in Beverwijk. Foto nrc.nl / Ruud Boon

De beveiliging van ICT van de overheid moet flink worden verbeterd. Ook is er bij bestuurders onvoldoende kennis en bewustzijn voor digitale bedreigingen, zo concludeert de Onderzoeksraad voor Veiligheid in een rapport dat vandaag verscheen.

Aanleiding van het onderzoek was de hack van Diginotar, vorige zomer. Iraanse hackers wisten Diginotar te kraken, het bedrijf dat verantwoordelijk was voor de beveiliging van overheidssites. Door beveiligingscertificaten te vervalsen, konden internetters onbewust op onveilige sites belanden. Veel sites werden uit voorzorg weken uit de lucht gehaald.

‘Overheid was niet voorbereid’

De Nederlandse overheid was “niet voorbereid op een aantasting van zijn digitale veiligheid”, oordeelt de Onderzoeksraad in het rapport. Bovendien zag de overheid niet in dat een certificaatautoriteit gekraakt zou kunnen worden, wat tot gevolg zou kunnen hebben dat de communicatie binnen instanties als rechtbanken of de Belastingdienst wordt verstoord. Daarnaast hadden gegevens van burgers en bedrijven kunnen worden onderschept, aldus de voorzitter van de Onderzoeksraad, Tjibbe Joustra:

“Bestuurders van overheidsorganisaties ontbreekt het vaak aan de kennis die zij nodig hebben om hun organisaties op dit terrein aan te sturen. Zij slagen er beter in sturing te geven aan digitale veiligheid wanneer zij zich ervan bewust zijn dat dit een voorwaarde is voor de continuïteit van hun dienstverlening. De Sociale Verzekeringsbank en de Belastingdienst zijn hier voorbeelden van.”

De Raad vindt dat organisaties veel meer verantwoordelijkheid moeten nemen. Bestuurders moeten een inhaalslag maken, en overheidsorganisaties zouden zich publiekelijk moeten verantwoorden voor de maatregelen die ze op beveiligingsgebied hebben gedaan.

Diginotar failliet na opzegging vertrouwen

Minister Donner van Binnenlandse Zaken heeft de onderzoeksraad in november vorig jaar verzocht om het inmiddels failliete Diginotar onder de loep te nemen. Diginotar werd in september failliet verklaard nadat de regering het vertrouwen in het bedrijf opzegde.

Naast de Diginotar-affaire bleek vorig jaar dat zo’n vijftig websites van gemeenten en gemeentelijke diensten zo slecht beveiligd waren dat hackers gemakkelijk gevoelige informatie konden ophalen, aanpassen of wissen van mensen die met DigiD inlogden.

    • Annemarie Coevert