Grote tekortkomingen in informatiebeveiliging Rijksoverheid

Hoewel overheidsorganisaties werk hebben gemaakt van informatiebeveiliging, heeft dat niet geleid tot voldoende beheersing van de risico’s. De onvolkomenheden oftewel ernstige tekortkomingen zijn daarom nog niet opgelost. ‘Over de hele linie gezien is de stand van informatiebeveiliging in 2020 niet anders dan in 2019’, schrijft de Rekenkamer. Het advies is om vakministers hierop aan te spreken.

Whatsapp

Uit onderzoek van de Rekenkamer bleek vorig jaar dat sommige ambtenaren ‘in strijd met de veiligheidsinstructies, privé-e-mail, WhatsApp en onveilige vergaderdiensten gebruikten voor het uitwisselen van vertrouwelijke informatie’. Whatsapp-oplichting, waarbij de hacker een verificatiecode van de gebruiker probeert te bemachtigen, is technisch niet ingewikkeld. ‘Het ging deze hackers om geld, maar het is denkbaar dat het ook om informatie had kunnen gaan.’

Er was een datalek bij het ministerie van Buitenlandse Zaken: ‘Tijdens ons onderzoek naar repatriëring van in het buitenland gestrande reizigers stuitten wij op lijsten met namen, adressen, geboortedata, telefoonnummers, bank- en verzekeringsgegevens van 18.000 personen.’ Buiten een klein aantal gemachtigden konden ook andere medewerkers met een account van het ministerie erbij. Het lek is gedicht en aanvullend onderzoek wees uit dat alleen bevoegden de informatie hadden geraadpleegd.

Op afstand vergaderen

Vanwege de coronacrisis moesten ook ministeries massaal op afstand vergaderen en de Rekenkamer heeft begrip voor de omstandigheden, maar wijst erop dat het afwegen van de risico’s ‘in veel gevallen niet of laat’ gebeurde.

De steunmaatregelen vanwege de coronacrisis zetten niet alleen het beheer van de rijksfinanciën onder druk, maar ook het ict-beheer. Ondanks de tijdstruk zijn er bij de ministeries die de steunmaatregelen troffen geen noemenswaardige problemen ontstaan bij het gebruik van de systemen, maar de toetsing bleef beperkt. ‘Wij hebben er gezien de omstandigheden begrip voor dat toetsing op de IT-systemen beperkt heeft plaatsgevonden. Dat neemt niet weg dat er zo risico’s zijn genomen, bijvoorbeeld waar het gaat om wie toegang heeft tot de systemen.’