ICT~Office positief over DigiNotar-rapport

De Onderzoeksraad voor Veiligheid concludeert in haar rapport dat de overheid met succes een maatschappelijke ontwrichting heeft voorkomen door snel en goed te improviseren toen de crisis in volle omvang zichtbaar werd. De les die uit dit incident getrokken moet worden, is dat de overheid beter voorbereid dient te zijn op diverse scenario’s van ICT-verstoring en maatregelen paraat moet hebben.

Aanbevelingen Onderzoeksraad

De oorzaak van het incident rondom DigiNotar is volgens de Onderzoeksraad van structurele aard en ligt in “een gebrekkig zicht op de risico’s bij bestuurders en ambtelijk opdrachtgevers” en het “bestuurlijk onvermogen tot het nemen van verantwoordelijkheid”. Zij dienen meer kennis te hebben op het gebied van digitale risico’s en de preventieve maatregelen die hiertegen genomen kunnen worden. Het risicobewustzijn is wel aanwezig in de ICT-organisatie, maar nauwelijks bij de top van overheidsorganisaties. Door onvoldoende inzicht in digitale veiligheid ontstaat volgens de Onderzoeksraad ook gebrekkig opdrachtgeverschap. Het is belangrijk dat overheden de kennis in huis hebben om de juiste vragen aan de markt te kunnen stellen.

De Onderzoeksraad voor Veiligheid beveelt aan dat:

1. bestuurders van alle overheidsorganisaties hun verantwoordelijkheid nemen voor het beheersen van digitale veiligheid.
2. de juiste voorwaarden worden geschapen voor het systematisch beheersen van digitale veiligheid, waaronder het toepassen van beveiligingsstandaarden.
3. een veiliger uitgifte en gebruik van digitale certificaten wordt gerealiseerd.

ICT~Office ondersteunt belangrijkste conclusies en aanbevelingen

ICT~Office heeft een groot deel van de conclusies van de Raad eerder benoemd, onder meer in het recent gepubliceerde Cyber Security Manifest maar ook in de in 2011 gepubliceerde reactie op het DigiNotarincident.

Enkele aanbevelingen van ICT~Office die aansluiten bij de conclusies van de Onderzoeksraad zijn:

1. Zorg in de aanpak van digitale veiligheid voor een goed inzicht in welke belangen (systemen en data) een organisatie heeft, aan welke bedreigingen deze bloot staan en – op basis van die risicoanalyse – welke maatregelen er voor passende beveiliging zorgen.
2. Voor informatiebeveiliging is de juiste kennis en expertise bij de overheid en goed opdrachtgeverschap richting de markt nodig. Informatiebeveiliging dient standaard meegenomen te worden in aanbestedingen.
3. Beveiliging en continuïteit dienen in iedere organisatie en bij ieder management en project te zijn geïntegreerd met effectieve en werkelijke eindverantwoordelijkheid op het hoogste niveau.

De aanbevelingen gelden ook voor ICT-gebruikers in het bedrijfsleven. De overheid heeft hierin echter een voorbeeldfunctie. ICT~Office vindt het van belang dat de constructieve samenwerking tussen ICT-branche en overheid verder wordt uitgebouwd op het gebied van informatiebeveiliging, zodat er van de kennis en expertise van het bedrijfsleven kan worden geleerd.