Management
Meer dan duizend overheidswebsites nog altijd slecht beveiligd
Verplichte security-standaarden worden niet nageleefd.
Verplichte security-standaarden worden niet nageleefd.
De overheid wordt regelmatig getroffen door phishing-aanvallen, toch lijkt er weinig prioriteit te zijn om de beveiliging van e-mail en websites te verbeteren. Uit de laatste meting van Forum Standaardisatie wordt duidelijk dat de helft van alle domeinnamen nog steeds niet voldoet aan verplichte security-standaarden.
Forum Standaardisatie voerde in mei 2022 nog een meting uit onder 550 domeinnamen voor e-mail en websites. In november 2022 werden er meer dan 2500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Voor het eerst werd er bij een meting van Forum Standaardisatie met zo’n grote set domeinnamen gewerkt.
Uit de nieuwste meting wordt duidelijk dat de nieuw toegevoegde domeinnamen minder goed scoren dan domeinnamen die al onderdeel uitmaakten van eerdere metingen. Daarnaast is opvallend dat ministeries met een beperkt domeinnaamportfolio of actieve sturing op toepassing van standaarden over het algemeen een hogere adoptiegraad bereiken.
E-mail scoort nog slechter
Slechts 53% van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid. Voor e-mail is dat percentage nog lager: slechts 44 procent voldoet aan de afspraken. De deadlines voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken. Deze dateren respectievelijk uit 2019 en 2021.
Wat verder ook opvalt is dat de regie op domeinnamen bij decentrale overheden vaak flink achterloopt, waardoor er in de metingen bij gemeenten, provincies en waterschappen alleen primaire domeinennamen zijn meegenomen, terwijl het aannemelijk is dat decentrale overheden ook veel andere domeinnamen hebben. Bij centrale overheden zijn meer domeinnamen meegenomen. Het valt Forum Standaardisatie op dat gemeenschappelijke regelingen duidelijk achterblijven qua adoptie van de verplichte standaarden.
Samenwerkingen falen
“Hieruit blijkt dat de verantwoordelijkheid voor adoptie van verplichte standaarden bij veel van deze samenwerkingen niet goed is belegd. Het Forum adviseert gemeenschappelijke regelingen op dit punt duidelijk afspraken te maken.”
In de nieuwe meting is ook een overzicht van scores per ministeries te vinden. Daaruit wordt duidelijk dat het ministerie van Justitie en Veiligheid het meest achterloopt van alle ministeries op gebied van adroptie van anti-phising standaarden. Het ministerie van Algemene Zaken scoort het beste op dit gebied.
In deze wereld van toenemende onzekerheid is de overheid voor veel mensen nog het enige houvast. En hoewel de overheid in het algemeen ook moeite doet om die rol in te vullen laten de feiten een ander beeld zien. De opeenstapeling van beleidsfouten, vastgelopen projecten op ICT gebied en de daardoor veroorzaakte vertrouwens- en imagoschade doen de overheid geen goed. En daar hebben wij als burgers van dit land steeds meer last van. Het is al lang geen verrassing meer dat gemaakte afspraken niet worden nagekomen. De inmiddels respectabele stapel rapporten, waarin voor de zoveelste keer wordt aangetoond dat de overheid haar beloftes niet nakomt, zou de verantwoordelijke managers en bestuurders onderhand toch aan het denken moeten zetten. Ik ga me langzamerhand ook afvragen of de mensen die over ICT-standaarden en IT beveiliging bij de overheid gaan wel geschikt zijn voor hun taak. Naarmate er meer rapporten verschijnen groeit mijn argwaan: er gebeurt namelijk niet veel.
Veel van hetgeen in dit geval het Forum Standaardisatie rapporteert heeft te maken met de ICT-infrastructuur van de overheid: zeg maar het digitale wegennet waarop allerlei toepassingen draaien en gegevens worden uitgewisseld. Dat is hoe je het ook wendt of keert niet op orde en daardoor steeds kwetsbaarder. Standaardisatie is op die ICT Infrastructuur cruciaal. En als je dan toelaat dat een groot aantal overheidsorganisaties de invoering van verplichte standaarden aan hun laars lapt, dan hebben we er als publiek direct of indirect last van. Tekenend in dit geheel is dat staatssecretaris van Huffelen onlangs haar Werkagenda Digitalisering heeft gepresenteerd. Daarin gaat zij ervan uit dat de ICT-infrastructuur naar behoren functioneert. Maar rapportages als de onderhavige laten keer op keer het tegendeel zien. Waarom is ICT-infrastructuur dan geen apart agendapunt?
Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) is waarschijnlijk ook ten einde raad en riep onlangs op om de verplichte standaarden dan maar via een wet af te dwingen. Afgezien van het feit dat het wel even duurt voordat in dit land een wet van kracht wordt is en blijft een van de problemen dat handhaving ontbreekt. De vrijheid die allerlei overheidsgeledingen hebben om zelf beleid te maken is in ieder geval op ICT-infrastructuur gebied te groot en leidt tot een steeds kwetsbaardere situatie. Maar kennelijk dringt dat niet door tot de verantwoordelijke bestuurders en managers.
Het is tijd om de structurele fout in de ICT-infrastructuur van de overheid aan te pakken. Het feit dat vrijwel iedere zichzelf respecterende overheidsorganisatie op het gebied van ICT-infrastructuur eigen beleid voert is levensgevaarlijk. Als wij het fysieke wegen- water- en spoorwegnet zo zouden organiseren en managen, dan zou dit land volledig tot stilstand komen. Gelukkig zijn er steeds meer bestuurders en IT-specialisten die dat doorhebben. Nu maar hopen dat onze bestuurders en topmanagers ook tot inzicht komen.
Forum Standaardisatie heeft toch de Pas Toe Of Leg Uit - lijst (PTOLU Lijst) ?
Waarom gaat men niet eens over tot het 'Leg Uit' stuk ? Want blijkbaar heeft het opleggen van 'Pas Toe' verhaal onvoldoende effect..