Rekenkamer: informatiebeveiliging Tweede Kamer loopt risico
De informatiebeveiliging van de Tweede Kamer loopt risico, wat gevolgen kan hebben voor het uitwisselen van informatie binnen de Rijksoverheid, zo laat de Algemene Rekenkamer weten in het Resultaten verantwoordingsonderzoek 2019 Staten-Generaal (pdf).
Niet alleen bij de Tweede Kamer is het mis. De Rekenkamer stelt dat de helft van de onderzochte organisaties informatiebeveiliging, op het gebied van governance, de inrichting van de organisatie, het incidentmanagement en het risicomanagement, niet op orde heeft. "Juist in tijden van crisis, zoals bij de coronacrisis, is het van belang dat informatie goed beveiligd is omdat de getroffen maatregelen ervoor zorgen dat de meeste werkzaamheden digitaal moeten plaatsvinden. Denk aan thuiswerken, videobellen en telefonisch overleg", schrijft de Rekenkamer in het onderzoek.
Ondanks de geconstateerde tekortkomingen is er volgens de Rekenkamer wel zichtbaar een stap voorwaarts gemaakt ten opzichte van 2018. Er zijn echter grote verschillen binnen de Rijksoverheid als het om informatiebeveiliging gaat. Dit heeft gevolgen voor het uitwisselen van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie tussen ministeries en andere instanties. "Door de grote verschillen in de niveaus van informatiebeveiliging ontstaan er risico’s bij het uitwisselen van informatie. De zwakste schakel binnen de keten bepaalt de sterkte van de keten als geheel", merkt de Rekenkamer op.
Volgens de Rekenkamer is het belangrijk dat elk ministerie de onderlinge relaties, verschillen en afhankelijkheden tussen de schakels in de keten kent. Op dit moment is het echter onduidelijk wie verantwoordelijk is voor de verschillende ketens van informatiesystemen die departementoverstijgend zijn. De Tweede Kamer vormt een belangrijke schakel in de informatiebeveiligingsketen binnen de Rijksoverheid. Zo wisselen de Kamer en organisaties binnen en buiten de Rijksoverheid veel informatie uit.
De Rekenkamer stelt vast dat het belang van deze rol in het informatiebeveiligingsbeleid van de Tweede Kamer niet duidelijk staat vermeld. Hoewel er binnen de organisatie hier voldoende bewustzijn over is, is niet alles formeel vastgelegd. Zo was het onderdeel risicomanagement vorig jaar nog in ontwikkeling, wat ook geldt voor het overzicht van de belangrijkste systemen van de Tweede Kamer die goed beveiligd moeten worden.
Verder blijkt dat de procedure voor het managen en escaleren van incidenten is beschreven, maar nog niet geformaliseerd. "Doordat het proces niet is geformaliseerd bestaat echter het risico dat het beheer van en de communicatie over beveiligingsincidenten niet consistent is, waardoor mogelijk zwakke plekken in de beveiliging worden gemist", aldus de Rekenkamer, die tot de conclusie komt dat de Tweede Kamer de risico's op het gebied van informatiebeveiliging vorig jaar niet volledig beheerste. Informatiebeveiliging in de Tweede Kamer is dan ook als aandachtspunt voor dit jaar genoemd.
Minister Ollongren van Binnenlandse Zaken laat in een reactie weten dat de Tweede Kamer zich in de bevindingen van de Rekenkamer kan vinden. "In het informatiebeveiligingsbeleid zal expliciet aandacht worden gegeven aan de relatie tussen Tweede Kamer en derden", aldus de minister, die verder aangeeft dat er prioriteit wordt gegeven aan het formaliseren en invoeren van beleidsmatige en procedurele maatregelen op het terrein van risico- en incidentmanagement.
Bovendien zou de tweede kamer geen geheimen moeten hebben voor de burgers die ze vertegenwoordigen.
Dus het is alleen maar goed dat er geen beleid is voor informatiebeveiliging :-) Vooral zo laten!
2019: https://www.rekenkamer.nl/actueel/nieuws/2019/05/15/rijksoverheid-heeft-informatiebeveiliging-en-it-beheer-nog-niet-op-orde
2019: https://www.rekenkamer.nl/publicaties/rapporten/2019/05/15/resultaten-verantwoordingsonderzoek-2018-staten-generaal
2018: https://www.rekenkamer.nl/actueel/nieuws/2018/10/16/minister-bzk-verscherpt-sturing-op-informatiebeveiliging-na-rapport-rekenkamer
2018: https://www.rekenkamer.nl/actueel/nieuws/2018/05/16/rekenkamer-dwingt-stevige-verbeterslag-ict-beveiliging-rijksdienst-caribisch-nederland-af
2018: https://www.rekenkamer.nl/publicaties/rapporten/2018/05/16/resultaten-verantwoordingsonderzoek-2017-bij-koninkrijksrelaties-en-bes-fonds
2018: https://www.rekenkamer.nl/publicaties/rapporten/2018/05/16/resultaten-verantwoordingsonderzoek-2017-bij-het-ministerie-van-binnenlandse-zaken-en-koninkrijksrelaties
2017: https://www.rekenkamer.nl/publicaties/rapporten/2017/05/17/resultaten-verantwoordingsonderzoek-2016-bij-de-staten-generaal
2016: https://www.rekenkamer.nl/publicaties/rapporten/2017/05/17/resultaten-verantwoordingsonderzoek-2016-bij-het-ministerie-van-veiligheid-en-justitie
Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.
Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.
Je wordt er verdrietig van.
Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.
Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.
Je wordt er verdrietig van.
Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.
Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.
Je wordt er verdrietig van.
https://fd.nl/economie-politiek/1329700/hoe-kon-het-zo-misgaan-bij-de-belastingdienst
Interessante passage:
Ze kijken naar de risico's zoals het hebben van een behoorlijk DR plan en of het uitvoerig getest is volgens dat plan.
De BIO bevat een deel daarvan (pas toe of leg uit) zoals het privileged identity management, functiescheiding etc. Die richtlijn BIO heeft als achtergrond het risicobeheersing.
Het gaat gewoonlijk op de vloer en iets daarboven volledig mis door een technologie verblinding waardoor de risico's niet meer gezien worden. Erger een lockin bij serverside processing via dienstverleners die wel voorschrijven hoe een en ander gedaan moet worden.
Ze kijken naar de risico's zoals het hebben van een behoorlijk DR plan en of het uitvoerig getest is volgens dat plan.
De BIO bevat een deel daarvan (pas toe of leg uit) zoals het privileged identity management, functiescheiding etc. Die richtlijn BIO heeft als achtergrond het risicobeheersing.
Het gaat gewoonlijk op de vloer en iets daarboven volledig mis door een technologie verblinding waardoor de risico's niet meer gezien worden. Erger een lockin bij serverside processing via dienstverleners die wel voorschrijven hoe een en ander gedaan moet worden.
het gaat fout omdat hoogover baasjes tegenstrijdig beleid opstellen dat niet uitvoerbaar is in de reele wereld waar we met techniek, wiskunde of natuur wetten te maken hebben. zeg maar net zo iets als die australiers die boven wiskunde denken te staan en encryptie willen die wel-niet-toch-wel-alleen-voor-hen te kraken is.:
https://www.independent.co.uk/news/malcolm-turnbull-prime-minister-laws-of-mathematics-do-not-apply-australia-encryption-l-a7842946.html
https://fee.org/articles/australia-s-unprecedented-encryption-law-is-a-threat-to-global-privacy/
https://www.theverge.com/2018/12/7/18130806/australia-access-and-assistance-encryption-bill-2018-facebook-google-apple-respond
met daarin
"“Well the laws of Australia prevail in Australia, I can assure you of that. The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia," he said."
dat is het gevaar bij mensen die inhoudelijk NIETS snappen of blijven volhouden dat als hun plannetje/ideetje niet kan of lukt, dat dat door fouten bij anderen komt, he karma?
De Tweede Kamer is een "Hoog college van Staat", een overheidsorganisatie (bron: https://www.parlement.com/id/vh8lnhrqszxh/hoge_colleges_van_staat).
De Tweede Kamer is als organisatie meer dan de 150 leden van de volksvertegenwoordiging.
Mijn ervaring met de controles van de Algemene Rekenkamer is dat deze vooral ingaan op de implementatie van het proces rondom de BIO, niet op de implementatie van de maatregelen op zich. Feitelijk zegt het iets over de besturing van het informatiebeveiligingsproces.
Het NCSC heeft inderdaad geen mandaat over de informatiebeveiliging van de Tweede Kamer of andere onderdelen van de overheid. Het NCSC heeft een zeer nuttige en specifieke focus op het vlak van digitale aanvallen vanuit het internet. En informatiebeveiliging omvat zoveel meer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
