image

Rekenkamer: informatiebeveiliging Tweede Kamer loopt risico

maandag 25 mei 2020, 11:43 door Redactie, 15 reacties

De informatiebeveiliging van de Tweede Kamer loopt risico, wat gevolgen kan hebben voor het uitwisselen van informatie binnen de Rijksoverheid, zo laat de Algemene Rekenkamer weten in het Resultaten verantwoordingsonderzoek 2019 Staten-Generaal (pdf).

Niet alleen bij de Tweede Kamer is het mis. De Rekenkamer stelt dat de helft van de onderzochte organisaties informatiebeveiliging, op het gebied van governance, de inrichting van de organisatie, het incidentmanagement en het risicomanagement, niet op orde heeft. "Juist in tijden van crisis, zoals bij de coronacrisis, is het van belang dat informatie goed beveiligd is omdat de getroffen maatregelen ervoor zorgen dat de meeste werkzaamheden digitaal moeten plaatsvinden. Denk aan thuiswerken, videobellen en telefonisch overleg", schrijft de Rekenkamer in het onderzoek.

Ondanks de geconstateerde tekortkomingen is er volgens de Rekenkamer wel zichtbaar een stap voorwaarts gemaakt ten opzichte van 2018. Er zijn echter grote verschillen binnen de Rijksoverheid als het om informatiebeveiliging gaat. Dit heeft gevolgen voor het uitwisselen van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie tussen ministeries en andere instanties. "Door de grote verschillen in de niveaus van informatiebeveiliging ontstaan er risico’s bij het uitwisselen van informatie. De zwakste schakel binnen de keten bepaalt de sterkte van de keten als geheel", merkt de Rekenkamer op.

Volgens de Rekenkamer is het belangrijk dat elk ministerie de onderlinge relaties, verschillen en afhankelijkheden tussen de schakels in de keten kent. Op dit moment is het echter onduidelijk wie verantwoordelijk is voor de verschillende ketens van informatiesystemen die departementoverstijgend zijn. De Tweede Kamer vormt een belangrijke schakel in de informatiebeveiligingsketen binnen de Rijksoverheid. Zo wisselen de Kamer en organisaties binnen en buiten de Rijksoverheid veel informatie uit.

De Rekenkamer stelt vast dat het belang van deze rol in het informatiebeveiligingsbeleid van de Tweede Kamer niet duidelijk staat vermeld. Hoewel er binnen de organisatie hier voldoende bewustzijn over is, is niet alles formeel vastgelegd. Zo was het onderdeel risicomanagement vorig jaar nog in ontwikkeling, wat ook geldt voor het overzicht van de belangrijkste systemen van de Tweede Kamer die goed beveiligd moeten worden.

Verder blijkt dat de procedure voor het managen en escaleren van incidenten is beschreven, maar nog niet geformaliseerd. "Doordat het proces niet is geformaliseerd bestaat echter het risico dat het beheer van en de communicatie over beveiligingsincidenten niet consistent is, waardoor mogelijk zwakke plekken in de beveiliging worden gemist", aldus de Rekenkamer, die tot de conclusie komt dat de Tweede Kamer de risico's op het gebied van informatiebeveiliging vorig jaar niet volledig beheerste. Informatiebeveiliging in de Tweede Kamer is dan ook als aandachtspunt voor dit jaar genoemd.

Minister Ollongren van Binnenlandse Zaken laat in een reactie weten dat de Tweede Kamer zich in de bevindingen van de Rekenkamer kan vinden. "In het informatiebeveiligingsbeleid zal expliciet aandacht worden gegeven aan de relatie tussen Tweede Kamer en derden", aldus de minister, die verder aangeeft dat er prioriteit wordt gegeven aan het formaliseren en invoeren van beleidsmatige en procedurele maatregelen op het terrein van risico- en incidentmanagement.

Reacties (15)
25-05-2020, 12:30 door Anoniem
Het is goed dat de informatie van de tweede kamer niet beveiligd is. Want dan kan de politie erbij als dat nodig is.
Bovendien zou de tweede kamer geen geheimen moeten hebben voor de burgers die ze vertegenwoordigen.

Dus het is alleen maar goed dat er geen beleid is voor informatiebeveiliging :-) Vooral zo laten!
25-05-2020, 12:50 door Anoniem
Je zou er bijna Fox-IT of Centric (Rian van Rijbroek) voor inhuren. :-)
25-05-2020, 13:22 door Anoniem
Een mooie gelegenheid om hier een commissie voor in te stellen die dit gaat onderzoeken en oplossen. Er is vast ong wel een oud politicus die voorzitter kan worden. Vervolgens een IT bedrijf inhuren die tegen een riante vergoeding het probleem gaat oplossen. Vervolgens wordt dan over een jaar of tig verder dat er honderden miljoenen verspild zijn en dat het project met onmiddellijke ingang wordt stop gezet.
25-05-2020, 13:23 door Anoniem
Door Anoniem: Je zou er bijna Fox-IT of Centric (Rian van Rijbroek) voor inhuren. :-)
Eerst een commissie optuigen
25-05-2020, 13:26 door karma4
Door Anoniem: Je zou er bijna Fox-IT of Centric (Rian van Rijbroek) voor inhuren. :-)
Alleen geschikt voor supercomputers en waar een universiteit niet meer weet wat informatiebeveiliging is.
25-05-2020, 13:36 door Overcome
Zoals informatiebeveiliging bij de overheid heel vaak niet op orde is. Een snelle zoektocht via Google geeft de volgende links, en dat na 4 minuten zoeken. De periode vóór 2016 zal niet anders zijn. Wederom worden de vooroordelen die veel (vak)mensen hebben over informatiebeveiliging en IT bij de overheid weer bevestigd. Als dit nieuws jaar in jaar uit naar voren komt en er wordt maar mondjesmaat vooruitgang geboekt, dan zit er structureel iets fout.

2019: https://www.rekenkamer.nl/actueel/nieuws/2019/05/15/rijksoverheid-heeft-informatiebeveiliging-en-it-beheer-nog-niet-op-orde
2019: https://www.rekenkamer.nl/publicaties/rapporten/2019/05/15/resultaten-verantwoordingsonderzoek-2018-staten-generaal

2018: https://www.rekenkamer.nl/actueel/nieuws/2018/10/16/minister-bzk-verscherpt-sturing-op-informatiebeveiliging-na-rapport-rekenkamer
2018: https://www.rekenkamer.nl/actueel/nieuws/2018/05/16/rekenkamer-dwingt-stevige-verbeterslag-ict-beveiliging-rijksdienst-caribisch-nederland-af
2018: https://www.rekenkamer.nl/publicaties/rapporten/2018/05/16/resultaten-verantwoordingsonderzoek-2017-bij-koninkrijksrelaties-en-bes-fonds
2018: https://www.rekenkamer.nl/publicaties/rapporten/2018/05/16/resultaten-verantwoordingsonderzoek-2017-bij-het-ministerie-van-binnenlandse-zaken-en-koninkrijksrelaties

2017: https://www.rekenkamer.nl/publicaties/rapporten/2017/05/17/resultaten-verantwoordingsonderzoek-2016-bij-de-staten-generaal

2016: https://www.rekenkamer.nl/publicaties/rapporten/2017/05/17/resultaten-verantwoordingsonderzoek-2016-bij-het-ministerie-van-veiligheid-en-justitie
25-05-2020, 13:55 door Anoniem
Door Overcome: Zoals informatiebeveiliging bij de overheid heel vaak niet op orde is. Een snelle zoektocht via Google geeft de volgende links, en dat na 4 minuten zoeken. De periode vóór 2016 zal niet anders zijn. Wederom worden de vooroordelen die veel (vak)mensen hebben over informatiebeveiliging en IT bij de overheid weer bevestigd. Als dit nieuws jaar in jaar uit naar voren komt en er wordt maar mondjesmaat vooruitgang geboekt, dan zit er structureel iets fout.

Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.

Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.

Je wordt er verdrietig van.
25-05-2020, 14:14 door Anoniem
Het rapport waar naar verwezen wordt in het artikel bevat maar bar weinig over informatiebeveiliging. Daarnaast ben ik benieuwd hoe de Rekenkamer getoetst heeft. Op de implementatie van BIO maatregelen of op mitigatie van risico's. Ik vrees het eerste, wat het meer een compliancy toets maakt dan een toets op beveiliging en dus minder spannend.
25-05-2020, 14:52 door Anoniem
Door Anoniem:
Door Overcome: Zoals informatiebeveiliging bij de overheid heel vaak niet op orde is. Een snelle zoektocht via Google geeft de volgende links, en dat na 4 minuten zoeken. De periode vóór 2016 zal niet anders zijn. Wederom worden de vooroordelen die veel (vak)mensen hebben over informatiebeveiliging en IT bij de overheid weer bevestigd. Als dit nieuws jaar in jaar uit naar voren komt en er wordt maar mondjesmaat vooruitgang geboekt, dan zit er structureel iets fout.

Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.

Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.

Je wordt er verdrietig van.
Het is vaak niet het top management waar het probleem zit. Ze zein er wel verantwoordelijk voor. Maar het werkelijke issue zit vaak gewoon op de afdelingen of net daar boven.
25-05-2020, 15:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Overcome: Zoals informatiebeveiliging bij de overheid heel vaak niet op orde is. Een snelle zoektocht via Google geeft de volgende links, en dat na 4 minuten zoeken. De periode vóór 2016 zal niet anders zijn. Wederom worden de vooroordelen die veel (vak)mensen hebben over informatiebeveiliging en IT bij de overheid weer bevestigd. Als dit nieuws jaar in jaar uit naar voren komt en er wordt maar mondjesmaat vooruitgang geboekt, dan zit er structureel iets fout.

Goede architecten worden genegeerd, experts & enthousiastelingen worden eruit getreiterd, en er worden domme spelletjes gespeeld in de managementlaag. Dat is mijn ervaring.

Neem de Belastingdienst; veel leuke mensen die hun best doen; maar het top-management is vooral met zichzelf bezig.

Je wordt er verdrietig van.
Het is vaak niet het top management waar het probleem zit. Ze zijn er wel verantwoordelijk voor. Maar het werkelijke issue zit vaak gewoon op de afdelingen of net daar boven.


https://fd.nl/economie-politiek/1329700/hoe-kon-het-zo-misgaan-bij-de-belastingdienst

Interessante passage:
De radicale reorganisatie, die in 2002 van start gaat, moet de fiscus klantvriendelijk maken maar het resultaat is een verweesde dienst. In het nieuwe collegiaal bestuur verdwijnt de hiërarchie en is het management vooral met zichzelf bezig. Medewerkers worden aan hun lot overgelaten in zelfsturende teams. En de burger, de klant waar het allemaal om begon, raakt alleen maar verder buiten beeld.
25-05-2020, 16:04 door Prx
Het interessante is dat de Tweede Kamer helemaal geen overheid is, het is een volksvertegenwoordiging. Een orgaan als het NCSC heeft dan ook geen mandaat over de Tweede Kamer. Als ze in die kamer met zijn allen supergeheime informatie gaan uitwisselen op briefjes, dan is dat aan de kamer. Ze op één grote hoop gooien met de ministeries gaat dan ook wat ver, aangezien die twee apart werken.
25-05-2020, 16:40 door karma4
Door Anoniem: Het rapport waar naar verwezen wordt in het artikel bevat maar bar weinig over informatiebeveiliging. Daarnaast ben ik benieuwd hoe de Rekenkamer getoetst heeft. Op de implementatie van BIO maatregelen of op mitigatie van risico's. Ik vrees het eerste, wat het meer een compliancy toets maakt dan een toets op beveiliging en dus minder spannend.
https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2020/05/20/staat-van-de-rijksverantwoording-2019/SRV-wr.pdf Een rekenkamer is technologieneutraal.
Ze kijken naar de risico's zoals het hebben van een behoorlijk DR plan en of het uitvoerig getest is volgens dat plan.
De BIO bevat een deel daarvan (pas toe of leg uit) zoals het privileged identity management, functiescheiding etc. Die richtlijn BIO heeft als achtergrond het risicobeheersing.

Het gaat gewoonlijk op de vloer en iets daarboven volledig mis door een technologie verblinding waardoor de risico's niet meer gezien worden. Erger een lockin bij serverside processing via dienstverleners die wel voorschrijven hoe een en ander gedaan moet worden.
25-05-2020, 21:31 door Anoniem
Door karma4:
Door Anoniem: Het rapport waar naar verwezen wordt in het artikel bevat maar bar weinig over informatiebeveiliging. Daarnaast ben ik benieuwd hoe de Rekenkamer getoetst heeft. Op de implementatie van BIO maatregelen of op mitigatie van risico's. Ik vrees het eerste, wat het meer een compliancy toets maakt dan een toets op beveiliging en dus minder spannend.
https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2020/05/20/staat-van-de-rijksverantwoording-2019/SRV-wr.pdf Een rekenkamer is technologieneutraal.
Ze kijken naar de risico's zoals het hebben van een behoorlijk DR plan en of het uitvoerig getest is volgens dat plan.
De BIO bevat een deel daarvan (pas toe of leg uit) zoals het privileged identity management, functiescheiding etc. Die richtlijn BIO heeft als achtergrond het risicobeheersing.

Het gaat gewoonlijk op de vloer en iets daarboven volledig mis door een technologie verblinding waardoor de risico's niet meer gezien worden. Erger een lockin bij serverside processing via dienstverleners die wel voorschrijven hoe een en ander gedaan moet worden.

het gaat fout omdat hoogover baasjes tegenstrijdig beleid opstellen dat niet uitvoerbaar is in de reele wereld waar we met techniek, wiskunde of natuur wetten te maken hebben. zeg maar net zo iets als die australiers die boven wiskunde denken te staan en encryptie willen die wel-niet-toch-wel-alleen-voor-hen te kraken is.:

https://www.independent.co.uk/news/malcolm-turnbull-prime-minister-laws-of-mathematics-do-not-apply-australia-encryption-l-a7842946.html
https://fee.org/articles/australia-s-unprecedented-encryption-law-is-a-threat-to-global-privacy/
https://www.theverge.com/2018/12/7/18130806/australia-access-and-assistance-encryption-bill-2018-facebook-google-apple-respond

met daarin

"“Well the laws of Australia prevail in Australia, I can assure you of that. The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia," he said."

dat is het gevaar bij mensen die inhoudelijk NIETS snappen of blijven volhouden dat als hun plannetje/ideetje niet kan of lukt, dat dat door fouten bij anderen komt, he karma?
26-05-2020, 09:23 door Anoniem
Door Prx: Het interessante is dat de Tweede Kamer helemaal geen overheid is, het is een volksvertegenwoordiging. Een orgaan als het NCSC heeft dan ook geen mandaat over de Tweede Kamer. Als ze in die kamer met zijn allen supergeheime informatie gaan uitwisselen op briefjes, dan is dat aan de kamer. Ze op één grote hoop gooien met de ministeries gaat dan ook wat ver, aangezien die twee apart werken.

De Tweede Kamer is een "Hoog college van Staat", een overheidsorganisatie (bron: https://www.parlement.com/id/vh8lnhrqszxh/hoge_colleges_van_staat).

De Tweede Kamer is als organisatie meer dan de 150 leden van de volksvertegenwoordiging.

Mijn ervaring met de controles van de Algemene Rekenkamer is dat deze vooral ingaan op de implementatie van het proces rondom de BIO, niet op de implementatie van de maatregelen op zich. Feitelijk zegt het iets over de besturing van het informatiebeveiligingsproces.
Het NCSC heeft inderdaad geen mandaat over de informatiebeveiliging van de Tweede Kamer of andere onderdelen van de overheid. Het NCSC heeft een zeer nuttige en specifieke focus op het vlak van digitale aanvallen vanuit het internet. En informatiebeveiliging omvat zoveel meer.
26-05-2020, 16:56 door Anoniem
Nou daar heeft die rekenkamer behoorlijk lang over gerekend... proest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.