Van de nood een deugd maken

If you can’t beat them, join them, moet minister van Binnenlandse Zaken Piet Hein Donner vorige week gedacht hebben. Na een voor wat betreft IT-veiligheid rampzalig verlopen maand, waarin Iraanse (?) hackers ongestraft de beveiligingscertificaten van Internet Trust Provider DigiNotar bleken te hebben gekraakt en de Miljoenennota weer eens te vroeg op straat kwam te liggen, maakte de bewindsman eind vorige week een nieuw initiatief voor data sharing bekend.

Op het Amsterdamse PICNIC-festival, een evenement gericht op de ontwikkeling van creatieve en innovatieve oplossingen voor mens, maatschappij en bedrijfsleven, richtte Donner zich met een videoboodschap tot de deelnemers, om bekend te maken dat de overheid via een nieuw op te zetten portaal openbare overheidsgegevens gaat delen met de burgers.

Via deze toegangspoort moeten zogenaamde open data, gegevens van de overheid die door iedereen gebruikt en verspreid mogen worden, gedeeld gaan worden. De verwachting is dat hieruit nieuwe toepassingen ontwikkeld kunnen worden, zoals op dit moment al gebeurt met data van het KNMI en de RDW. Op zichzelf een mooi initiatief, maar de timing was, op zijn zachts uitgedrukt, nogal ongelukkig. Een slechter moment om te gaan experimenteren met grootschalige data-sharing had Donner wat mij betreft niet kunnen bedenken.

Uit de perikelen rond DigiNotar was namelijk al duidelijk geworden dat de overheid nauwelijks grip lijkt te hebben op de veiligheid van haar IT-toepassingen. Het had weinig gescheeld of de situatie was echt uit de hand gelopen. Het doemscenario werd vooral voorkomen door ingrijpen van private bedrijven, zoals het Delftse beveiligingsbedrijf Fox-IT en softwareontwikkelaar Microsoft, die Nederland op uitdrukkelijk verzoek oversloeg in zijn patch-ronde en daarmee voorkwam dat overheidsinstanties niet meer met elkaar zouden kunnen communiceren.

En DigiNotar was geen opzichzelfstaande kwestie. Eerder al bleken de Sdu-stemcomputer, de OV-chipkaart en het Elektronisch Patiëntendossier niet of op zijn best niet volledig waterdicht te zijn. En dat zijn nog maar de meest in het oog springende recente voorbeelden. Want ook andere grote IT-projecten, zoals de automatisering bij de Belastingdienst en C2000, het haperende communicatiesysteem van de hulpdiensten, liepen al spaak. Als er één les kan worden geleerd uit de DigiNotar-zaak is het dus dat de overheid buitengewoon terughoudend moet zijn met nieuwe, grote IT-projecten.

Immers, zolang de beveiliging van de meest cruciale portals en communicatielijnen niet 100% gegarandeerd kan worden, en de overheid moet vertrouwen op private partijen voor ontwerp en beheer van de beveiligingssystemen, zijn nieuwe initiatieven bijna bij voorbaat gedoemd te mislukken. Een portal, waarop de overheid openbare data gaat delen met de samenleving -het lijkt de goden verzoeken. Laat het kabinet de aandacht voor de buitengrenzen dus zo snel mogelijk verleggen naar het eigen IT-systeem en dergelijke innovatieve initiatieven even op de lange baan schuiven.

  1. 1

    @bram: sinds wanneer kan ooit 100% beveiliging gegarandeerd worden?

    Nieuwe initiatieven moeten niet en masse worden gestopt. Juist niet, zou ik zeggen, want nieuwe kennis wordt hiermee gecreeerd.

    Het is nu heel belangrijk om uit te vinden waardoor de overheid zo slecht scoort op zijn IT-systemen. Niet alleen zijn ze vrijwel altijd veel te duur, zijn ze vrijwel altijd jaren over tijd, zijn ze vrijwel altijd incompatibel met andere systemen (en hun voorgangers en hun opvolgers), en zijn ze vrijwel altijd gebruikersonvriendelijk (voor ambtenaren en burgers).

    Een handjevol redenen:
    – onvoldoende IT-expertise bij de overheid (voor het maken van de systemen, maar ook voor het duidelijk krijgen wat nu precies de behoefte is)
    – te veel eisen, die ook nog eens gedurende de looptijd veranderen
    – te veel politiek en te weinig bedrijsvoering
    – veiligheid stond nooit bovenaan de lijst
    – te weinig inkoop-expertise (aanbestedingen gaan uiteindelijk vaak alleen over prijs, en paradoxaal genoeg blijkt dat dus achteraf het duurst!)

    Volgens mij moet er gepleit worden voor een CIO bij de overheid.

    Informatie heeft een dusdanig groot belang voor de overheid, dat daar misschien eens een aparte pijler voor opgericht moet worden.
    En dat moet niet een Donner zijn, die dit als een bijtaakje heeft (en het zo ziet), en vooral geen kaas van de materie heeft gegeten.

    Zie je bij Microsoft een (wetgevings)jurist als CIO?

  2. 2

    @ avanaa
    die 100% veiligheid is natuurlijk wat gechargeerd gesteld, maar een aanzienlijk grotere databeveiliging en risicobewustzijn zijn mijns inziens cruciaal, zeker nu de ernstige incidenten zich blijven opstapelen (zie het NRC van vanavond voor weer een voorbeeld van datamisbruik via DigiD). Dat moet een eerste aandachtspunt zijn, alvorens er ambitieuze nieuwe projecten worden bedacht.

    Ik deel je analyse dat IT niet langer een ondergeschoven kindje zou moeten zijn, maar ik vraag me af of een CIO, hoe nuttig ook, levensvatbaar zou zijn, juist in een dergelijk verkokerde en gepolitiseerde omgeving. En dat is jammer, want de overheid heeft, zoals je terecht opmerkt, een zeer belangrijke rol bij het verspreiden van kennis. Een voorlopige oplossing is misschien IT-veiligheid en -beheer van alle ministeries onder te brengen bij het ministerie van Economische Zaken?

  3. 3

    @bram

    Mee eens dat een hogere databeveiliging en een hoger risicobewustzijn nodig zijn. Overigens blijkt bij de meeste IT-fails dat de menselijke factor degene is die de fail veroorzaakt.
    Dat pleit dus voor een integrale aanpak.
    Bij die aanpak dient rekening gehouden te worden met de realiteit dat veiligheid door veel organisaties (profit en non-profit) gezien wordt als een kostenpost. Soms wel een noodzakelijke kostenpost, maar wel vaak als een slechts een vervelende bijzaak.

    Juist bij Economische Zaken zou ik derhalve niet het IT-primaat willen neerleggen. EZ is niet meer dan een verlengstuk van VNO-NCW.

    Overigens:
    “Het doemscenario werd vooral voorkomen door ingrijpen van private bedrijven, zoals het Delftse beveiligingsbedrijf Fox-IT en softwareontwikkelaar Microsoft”

    De overheid blijkt dus wel degelijk de juiste kennis uit de markt te kunnen inhuren. Waarom deden ze dat dan niet eerder?
    Wat zou Fox-IT gekost hebben?