De rijksoverheid is kwetsbaar voor acute en langdurige uitval van ict-dienstverlening, zo blijkt uit een rapport dat is uitgevoerd in opdracht van het ministerie van Binnenlandse Zaken. Demissionair minister Rijkaart van Binnenlandse Zaken heeft verschillende maatregelen aangekondigd. Aanleiding voor het rapport waren verschillende incidenten waar de ict-dienstverlening de afgelopen jaren mee te maken kreeg.

Het gaat onder andere om de cyberaanval op de TU Eindhoven, de storing met het NAFIN-netwerk, de wereldwijde computeruitval door een defecte update van cybersecuritybedrijf CrowdStrike, de Citrix-problemen die begin 2020 speelden en DigiNotar. "Vaak worden deze incidenten met veel krachtsinspanning binnen dagen of weken opgelost, met nog veel reparatiewerk daarna. De vraag nu is hoe weerbaar overheden zijn als grote ict-incidenten niet binnen weken of maanden kunnen worden opgelost", was de vraag die de onderzoekers stelden.

Volgens de onderzoekers maakt de rijksoverheid steeds meer gebruik van ict-diensten en ict-producten van ict-dienstverleners, maar vergroot dit ook de afhankelijkheid van deze partijen. Er is daarbij geen centraal overzicht van de spreiding van ict-diensten en ict-leveranciers en de achterliggende (internationale) ict-leverketens. "Dit gebrek maakt dat continuïteit- en concentratierisico’s rijksbreed niet effectief beheerst kunnen worden", aldus de onderzoekers.

Primaire processen bij de rijksoverheid blijken niet bestand tegen abrupte en langdurige uitval van ict-diensten, concluderen de onderzoekers. Daarnaast stellen de onderzoekers dat overheidsorganisaties te weinig terugvalopties hebben ingericht om een crisissituatie of acute uitval van hun ict-diensten op te vangen. Er wordt binnen de rijksoverheid wel op operationeel niveau gemonitord op de risico's van uitbestede ict-diensten, maar de strategische risico's van ict-leveranciers en ict-dienstverlening worden te weinig meegewogen.

De onderzoekers merken op dat het binnen de overheid niet ontbreekt aan kennis, wetgeving, good practices en richtlijnen/kaders, maar het ontbreekt aan het op een juiste wijze toepassen hiervan. "Als ict-risicomanagement en de daaruit voortvloeiende mitigerende maatregelen serieus genomen zouden worden, hadden ook risico’s van acute langdurige uitval al reeds onderkend en beheerst kunnen worden."

Maatregelen

Minister Rijkaart zegt het door de onderzoekers geschetste beeld te herkennen en de aanbevelingen over te nemen. Zo wordt er een "Center of Excellence" opgesteld voor het bundelen en bijeenbrengen van kennis, komt er centrale monitoring van leveranciers, worden er overheidsbrede terugvalfaciliteiten voor noodsituaties ontwikkeld, wordt het nakomen van toegepaste kaders, risicomanagement en effectiviteit van mitigerende maatregelen voor digitale weerbaarheid van overheidsprocessen getoetst en zal er worden ingezet op versterking van continuïteitsmanagement, digitaal bewustzijn en leiderschap.

"Met de bestaande toezichthouders, de Algemene Rekenkamer, de Autoriteit Persoonsgegevens en het Adviescollege ICT-Toetsing, ga ik nader in gesprek om effectief toezicht op dit gehele proces en de uitvoering te borgen", aldus minister Rijkaart. "Gezien de geconstateerde urgentie is actie noodzakelijk om de weerbaarheid van de Nederlandse overheid te vergroten, om daarmee ook ontwrichtende situaties in onze samenleving te voorkomen."