'Rijksoverheid kwetsbaar voor acute en langdurige uitval ict-dienstverlening'
De rijksoverheid is kwetsbaar voor acute en langdurige uitval van ict-dienstverlening, zo blijkt uit een rapport dat is uitgevoerd in opdracht van het ministerie van Binnenlandse Zaken. Demissionair minister Rijkaart van Binnenlandse Zaken heeft verschillende maatregelen aangekondigd. Aanleiding voor het rapport waren verschillende incidenten waar de ict-dienstverlening de afgelopen jaren mee te maken kreeg.
Het gaat onder andere om de cyberaanval op de TU Eindhoven, de storing met het NAFIN-netwerk, de wereldwijde computeruitval door een defecte update van cybersecuritybedrijf CrowdStrike, de Citrix-problemen die begin 2020 speelden en DigiNotar. "Vaak worden deze incidenten met veel krachtsinspanning binnen dagen of weken opgelost, met nog veel reparatiewerk daarna. De vraag nu is hoe weerbaar overheden zijn als grote ict-incidenten niet binnen weken of maanden kunnen worden opgelost", was de vraag die de onderzoekers stelden.
Volgens de onderzoekers maakt de rijksoverheid steeds meer gebruik van ict-diensten en ict-producten van ict-dienstverleners, maar vergroot dit ook de afhankelijkheid van deze partijen. Er is daarbij geen centraal overzicht van de spreiding van ict-diensten en ict-leveranciers en de achterliggende (internationale) ict-leverketens. "Dit gebrek maakt dat continuïteit- en concentratierisico’s rijksbreed niet effectief beheerst kunnen worden", aldus de onderzoekers.
Primaire processen bij de rijksoverheid blijken niet bestand tegen abrupte en langdurige uitval van ict-diensten, concluderen de onderzoekers. Daarnaast stellen de onderzoekers dat overheidsorganisaties te weinig terugvalopties hebben ingericht om een crisissituatie of acute uitval van hun ict-diensten op te vangen. Er wordt binnen de rijksoverheid wel op operationeel niveau gemonitord op de risico's van uitbestede ict-diensten, maar de strategische risico's van ict-leveranciers en ict-dienstverlening worden te weinig meegewogen.
De onderzoekers merken op dat het binnen de overheid niet ontbreekt aan kennis, wetgeving, good practices en richtlijnen/kaders, maar het ontbreekt aan het op een juiste wijze toepassen hiervan. "Als ict-risicomanagement en de daaruit voortvloeiende mitigerende maatregelen serieus genomen zouden worden, hadden ook risico’s van acute langdurige uitval al reeds onderkend en beheerst kunnen worden."
Maatregelen
Minister Rijkaart zegt het door de onderzoekers geschetste beeld te herkennen en de aanbevelingen over te nemen. Zo wordt er een "Center of Excellence" opgesteld voor het bundelen en bijeenbrengen van kennis, komt er centrale monitoring van leveranciers, worden er overheidsbrede terugvalfaciliteiten voor noodsituaties ontwikkeld, wordt het nakomen van toegepaste kaders, risicomanagement en effectiviteit van mitigerende maatregelen voor digitale weerbaarheid van overheidsprocessen getoetst en zal er worden ingezet op versterking van continuïteitsmanagement, digitaal bewustzijn en leiderschap."Met de bestaande toezichthouders, de Algemene Rekenkamer, de Autoriteit Persoonsgegevens en het Adviescollege ICT-Toetsing, ga ik nader in gesprek om effectief toezicht op dit gehele proces en de uitvoering te borgen", aldus minister Rijkaart. "Gezien de geconstateerde urgentie is actie noodzakelijk om de weerbaarheid van de Nederlandse overheid te vergroten, om daarmee ook ontwrichtende situaties in onze samenleving te voorkomen."
Daarmee zit je zit meer (volledig) vast aan een leverancier.
Nu blijft de leverancier/programmeur de auteursrechten houden, en daar begint de vendor-lock-in, die we juist kwijt willen.
Oh jéé. Doet mij denken aan de door Joop den Uyl (1974) afgeschafte voormalige aanspreektitel 'zijne Excellentie' voor het huidige 'de Minister'.
Zodra ik het woord excellent of een afleide daarvan - ook als angliscisme - lees, gaan mijn wenkbrauwen fronsen. Zeker met het 3x demissionaire 'vooruitschuif' kabinet Schoof' dat excelleert(de) in één ding; ruzie maken i.p.v. beleid.
Ingangsdatum... 2030?...
...
@Ron625
Het automatisch opensource maken van alle overheidssoftware klinkt aantrekkelijk vanuit het oogpunt van transparantie en vendor lock-in, maar is in de praktijk niet altijd verstandig.
Een paar redenen:
- Beveiliging en dreigingsbeeld: broncode openbaar maken vergroot ook de kans dat kwaadwillenden kwetsbaarheden sneller vinden, zeker bij systemen die (direct of indirect) de vitale infrastructuur raken. Niet alles kan direct publiek gedeeld worden zonder voorafgaande security-assessments en hardening.
- Complexe afhankelijkheden: veel software voor de overheid bouwt voort op commerciële componenten of licenties van derden. Het automatisch opensourcen kan daar juridisch of contractueel helemaal niet.
- Kosten en onderhoud: open source zonder een actief community- en beheerplan zorgt juist voor risico’s. Code die niemand onderhoudt, veroudert sneller en vormt een kwetsbaarheid. Het idee dat de “gemeenschap” dat wel oppakt, is vaak te optimistisch.
- Continuïteitsmanagement: belangrijker dan automatisch open source is dat de overheid eenduidige afspraken maakt met leveranciers over eigendom, escrow, documentatie en terugvalopties. Daarmee verklein je vendor lock-in zonder dat alle code publiek hoeft.
Kortom: open source kan waardevol zijn (zeker voor niet-kritische of generieke componenten), maar een generieke verplichting om álles automatisch open te gooien levert meer risico’s op dan het oplost.
Daarnaast regelmatig je uitwijk procedures testen. En niet alleen op papier.
Daarmee zit je zit meer (volledig) vast aan een leverancier.
Nu blijft de leverancier/programmeur de auteursrechten houden, en daar begint de vendor-lock-in, die we juist kwijt willen.
Ja en nee, het nadeel van open source is ook weer dat een andere (kwaadwillende) partij ook de source code bezit. Daarmee dus nog makkelijker manieren kan zoeken om in te breken in jouw systemen. Ik weet niet of ik dit zonder meer zou willen of dat ze binnen de overheid bijvoorbeeld gewoon de source laten zien en dit niet publiekelijk delen.
Daarmee zit je zit meer (volledig) vast aan een leverancier.
Nu blijft de leverancier/programmeur de auteursrechten houden, en daar begint de vendor-lock-in, die we juist kwijt willen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?