NL EN
  • Home»
  • Weblog »
  • OVV dringt naar aanleiding DigiNotar onderzoek aan op een doortastender rijksoverheid

OVV dringt naar aanleiding DigiNotar onderzoek aan op een doortastender rijksoverheid

Op 28 juni jl. zagen maar liefst twee rapporten naar aanleiding van het DigiNotar incident het licht: een rapport van de Onderzoeksraad voor Veiligheid (OVV) en een rapport van de Inspectie Veiligheid en Justitie (IVenJ).Het rapport van de OVV richt zich met name op de centrale vraag op welke manier overheidsorganisaties bestuurlijk-organisatorisch digitale veiligheid waarborgen en wat daarbij de knelpunten zijn. De IVenJ heeft met name geëvalueerd hoe de rijkscrisisstructuur (en daarmee de crisisorganisatie) tijdens de DigiNotar-crisis heeft gefunctioneerd. Met andere woorden: de IVenJ heeft onderzocht hoe de crisis rondom DigiNotar werd beheerst en de OVV hoe de crisis kon ontstaan.

De IVenJ komt naar aanleiding van de evaluatie tot de conclusie dat de rijkscrisisorganisatie tijdens de DigiNotar-crisis doeltreffend heeft gefunctioneerd. Als kanttekening merkt de IVenJ wel op dat de rijkscrisisstructuur niet geheel conform planvorming is ingericht en dan niet alle organisatieonderdelen tijdens de crisis even rolvast hebben gehandeld. Maar volgens de IVenJ is dit niet ten kosten gegaan van het optreden. Kortom: we kunnen, zo lijkt de boodschap te zijn, rustig gaan slapen wat de IVenJ betreft, want met de aanpak door de overheid als er een crisis uitbreekt zit het wel snor, ondanks dat alles niet conform het vooraf opgestelde boekje is verlopen. Ik vraag het me af. Misschien dat alles nu ‘toevallig’ goed is verlopen, en had het vanwege het niet altijd even rolvast handelen ook wel grandioos mis kunnen gaan. Het rapport overtuigt mij niet helemaal.

De OVV laat een veel kritischer geluid horen. De OVV geeft in haar rapport allereerst aan wat de focus van haar onderzoek is. Zij kiest voor een brede aanvliegroute door eerst te schetsen hoe de toenemende digitalisering de wereld en ook de veiligheid verandert. De OVV beschrijft kort de gebeurtenissen van het DigiNotar-incident. Terzijde:de IVenJ doet dit veel uitgebreider en heeft het ook niet over incident maar steevast over crisis.  

Vervolgens zoomt de OVV in op de veiligheid van digitale certificaten. Zij stelt daarbij de vraag in hoeverre de inrichting en het functioneren van stelsels voor certificaatdienstverlening de betrouwbaarheid van digitale certificaten waarborgen. In haar conclusie ten aanzien van die vraag toont de OVV zich zeer bewust van de uitgangspunten: “De basis voor effectief veiligheidsmanagement is het kennen van de risico’s. Alleen dan is het mogelijk een goede veiligheidsaanpak op te stellen, deze uit te voeren en stelselmatig te verbeteren.” Naar aanleiding van haar onderzoek concludeert de OVV dat bij de betrokken partijen onvoldoende zicht bestaat op de risico’s die de betrouwbaarheid van digitale certificaten bedreigen. De basis is dus al niet goed, zo concludeer ik daaruit. In het bijzonder, zo merkt de OVV op, lijkt Logius – de dienst digitale overheid van het Ministerie van Binnenlandse Zaken – zich niet bewust te zijn van zijn cruciale rol als opdrachtgever met betrekking tot PKI-overheid. Er ontbreekt een aantoonbare, samenhangende aanpak die de veiligheid van digitale certificaten – en daarmee veilig elektronisch gegevensverkeer met de overheid – beheerst. Daar waar er aandacht was voor veiligheid, leek het alsof deze zich te eenzijdig erop richtte om te voorkomen dat een certificaatdienstverlener gecompromitteerd raakte. Wat te doen als het daadwerkelijk mis ging, daar leek men geen rekening mee te houden. In het verlengde daarvan concludeert de OVV dat overheidsorganisaties niet alleen het inzicht niet hebben, maar zich ook niet in staat achten het te verwerven. De OVV ziet een taak voor de  Minister weggelegd om de voorwaarden te scheppen waaronder afzonderlijke overheidsorganisaties in staat zijn om optimaal invulling te geven aan hun eigen verantwoordelijkheid voor digitale veiligheid.

De verkenning naar digitale veiligheid bij overheidsorganisaties in een breder perspectief, die de OVV heeft uitgevoerd, leidt tot vergelijkbare conclusies, hoe verschillend de organisaties en observaties ook waren. Alle organisaties gaven aan niet voorbereid te zijn geweest op het Diginotar-incident en hebben dit als een “wake up call” gezien om het onderwerp digitale veiligheid hoog op de agenda te krijgen. De kwetsbaarheid zit met name in de staat van digitale veiligheid van derde partijen waarmee de organisaties digitaal communiceren en het digitale veiligheidsbewustzijn van de eigen medewerkers.

De OVV is van mening van de rijksoverheid een stelselverantwoordelijkheid heeft voor digitale veiligheid bij overheidsorganisaties. Een doortastender invulling door de rijksoverheid (en in uitvoerende zin de Minister(s)) op dit gebied is gewenst. De aanbevelingen in het rapport richten zich hier ook op:

-       Zorg dat de bestuurders van alle overheidsorganisaties hun verantwoordelijkheid nemen voor het beheersen van digitale veiligheid;

-       Schep voorwaarden zodat overheidsorganisaties hun digitale veiligheid systematisch beheersen;

-       Realiseer een veiliger uitgifte en gebruik van digitale certificaten.

Een degelijk rapport met heldere conclusies en concrete aanbevelingen. Nu is het wachten of de rijksoverheid deze aanbevelingen ter harte neemt. Als het DigiNotar-incident nog niet een afdoende “wake up call”  was, dan moet dit rapport van de OVV het zeker zijn. Man en paard worden genoemd en kunnen zich niet (langer) onwetend en onverantwoordelijk houden!

Lees hier het bericht op e-overheid.nl. Download hier het rapport van OVV en hier (linkje onderaan de pagina) het rapport van IVenJ. Afbeelding pand DigiNotar: NoordHollands Dagblad.

BRON: e-overheid.nl en rapporten OVV en IVenJ


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.