Van Huffelen: 'onacceptabel' dat overheden niet aan securityregels voldoen
Forum Standaardisatie - een adviescommissie met deskundigen uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap - concludeerde afgelopen november dat slechts 53% van alle ruim 2.500 gecontroleerde domeinnamen aan alle verplichte websitestandaarden en 44% aan de verplichte e-mailstandaarden voldoet. De deadlines daarvoor liepen al in 2019 en 2021 af.
Experts en Tweede Kamerleden uitten tegenover AG Connect kritiek en Tweede Kamerlid Lisa van Ginneken (D66) stelde naar aanleiding daarvan Kamervragen aan de staatssecretaris en de minister van Justitie en Veiligheid. Van Huffelen benadrukt nu in antwoorden op die vragen - net als eerder tegenover AG Connect - dat de domeinen van de overheid aan alle standaarden moeten voldoen en dat deze correct geconfigureerd moeten zijn.
Tekorten en afhankelijkheden
Dat dit toch nog niet het geval is, heeft meerdere oorzaken, aldus de staatssecretaris. Zo speelt het tekort aan IT'ers bij de Rijksoverheid "in zekere zin" een rol bij het probleem. "Ook het Rijk heeft namelijk te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen." Maar er is geen causaal verband tussen de twee vast te stellen, benadrukt Van Huffelen, omdat er ook andere zaken meespelen.
Allereerst kan de adoptie van sommige standaarden ingewikkeld zijn, wat ook te maken kan hebben met de manier waarop de ICT bij een organisatie is ingeregeld. "Zo is bijvoorbeeld de adoptie (en ‘strenge’ configuratie) van de anti-email-phishing standaard DMARC2 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en enquêtes)."
Daarnaast zijn veel organisaties afhankelijk van hun externe leverancier. "Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM), belegd binnen het ministerie van Justitie en Veiligheid (JenV), verantwoordelijk voor de communicatie met de leveranciers", aldus de minister. "JenV vraagt samen met Forum Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen."
De staatssecretaris benadrukt bovendien dat ook bij een ingewikkeldere implementatie adoptie zeker mogelijk is, "getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht". "Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels gaan voldoen."
Ministerie gaat Kamer informeren
Dat geldt ook voor het ministerie van Justitie en Veiligheid, dat volgens de meest recente meting achterloopt op onder meer de implementatie van anti-phishingstandaarden. "Het is belangrijk dat het ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte open informatieveiligheiddstandaarden van Forum Standaardisatie", aldus Van Huffelen, ook namens de minister van JenV.
De minister informeert de Tweede Kamer na het kerstreces over de termijn waarop alle standaarden geïmplementeerd zijn. "Deze implementatie en het beheer van e-mail-en webdomeinen moet in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk opdat het ministerie van JenV blijft voldoen aan deze standaarden."
Staatssecretaris blijft aandacht vragen
Van Huffelen zegt in haar antwoorden verder dat ze medeoverheden en rijksorganisaties per brief gaat wijzen op het belang te voldoen aan de geldende wet- en regelgeving, ook rondom de informatieveiligheidsstandaarden. "Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen."
Ook zegt ze - net als eerder tegenover AG Connect - dat ze structureel aandacht blijft vragen voor "het belang én toepassing van de informatieveiligheidsstandaarden".
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee