Thuiswerksecurity Rijk gehinderd door gebrek aan eenduidigheid

In antwoord op de vraag of de overheid nu extra, aanvullende maatregelen neemt om rijksmedewerkers veiliger te laten thuiswerken, wordt verwezen naar reeds bestaande acties. "Voortdurend worden maatregelen genomen om risico’s van digitaal werken op afstand te verkleinen of te beheersen", luidt de reactie vanuit het verantwoordelijke ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). "Zo worden meer overheidsorganisaties aangesloten op het Nationaal Detectie Netwerk (NDN), kwetsbaarhedenscans (pen-testen) uitgevoerd en versterkt door rijksoverheidsorganisaties en is op 1 november 2020 de Chief Information Security Officer (CISO) voor de Rijksoverheid gestart."

'Aandacht besteden'

BZK-staatssecretaris Raymond Knops, die een coördinerende verantwoordelijkheid heeft voor ICT binnen de Rijksdienst, verwees al naar een interne campagne die op 21 oktober is gestart. Op de vraag of dat niet wat laat is, gezien het feit dat in Nederland sinds maart aan massaal thuiswerken wordt gedaan, geeft zijn woordvoerder een opsomming van al lopende initiatieven. "Al ruim voor de start van de Covid-19 crisis werd rijksbreed aandacht besteed aan veilig thuiswerken."

"Zo liep in 2019 al het campagne-onderdeel ‘werken buiten kantoor’ waarbij rijksambtenaren werd uitgelegd hoe zij veilig buiten de deur of thuis kunnen werken. Vanwege het massale thuiswerken sinds de coronacrisis is de afgelopen maanden de rijksbrede campagne ‘InformatieThuishouding’ ingezet om de nodige bewustwording te creëren bij de medewerkers van de departementen en de uitvoeringsorganisaties. Met de campagne ‘bewust veilig werken’ die is gestart op 21 oktober wordt hier een vervolg aan gegeven."

Kritisch rapport

Dat vervolg is zeker nodig, gezien de bevindingen van de Algemene Rekenkamer die de risico’s voor digitaal thuiswerken bij de Rijksoverheid heeft onderzocht en belicht in een kritisch rapport. Overigens is het woord 'risico's' nog verwijderd uit de titel en adres van de webpagina waar dat rapport valt te downloaden.

Één van de conclusies is dat de ICT-middelen die rijksambtenaren gebruiken voor thuiswerken, divers zijn en niet in alle gevallen even geschikt. Sommige ambtenaren gebruiken communicatie- en samenwerkingsmiddelen die de veiligheidsrichtlijnen van hun organisaties schenden.

BZK erkent de onderliggende materie wel. "Bewustwording onder ambtenaren over de risico’s van digitaal werken is van belang. Daar werkt de Rijksoverheid aan door bijvoorbeeld aandacht te vragen voor de gevaren van phishing en een uitleg hoe je veilig kunt videobellen."

Maatregelen evalueren

In zijn brief aan de Algemene Rekenkamer stelt staatssecretaris Knops  dat de maatregelen die zijn genomen sinds de beginfase van de coronacrisis niet definitief zijn. Daarvan wordt nog bezien of en hoe ze moeten worden aangepast. Hij geeft hierbij aan dat de maatregelen aangescherpt of juist afgezwakt kunnen worden. Het is niet bekend op welke termijn dit wordt gedaan. Navraag hiernaar levert geen concreet antwoord op. "Alle maatregelen voor digitaal werken op afstand worden periodiek geëvalueerd. Ook als er geen coronacrisis is."

De woordvoerder van de staatssecretaris vervolgt: "Hiervoor zijn er bestaande processen waar de Auditdienst Rijk en de Algemene Rekenkamer bij betrokken zijn. Met deze transparante werkwijze van evaluatie wordt onder meer gekeken naar de vorm, de zwaarte en de urgentie bij maatregelen. Dit gebeurt onder andere met het programma Rijksdienst 2022. In dit programma worden de lessen uit de crisis vertaald naar een visie op grenzeloos, hybride werken binnen de Rijksoverheid."

Niet-eenduidige IT

De Algemene Rekenkamer heeft in het rapport over digitaal thuiswerken bij de Rijksoverheid ook geconstateerd dat er een gebrek is aan duidelijke communicatie. Ambtenaren hebben aangegeven dat ze niet goed weten welke digitale werkmiddelen veilig en toegestaan zijn voor hun eigen organisaties. Dit kan namelijk per overheidsorganisatie en departement verschillen. Deze onwetendheid is mede oorzaak van het gebruik van bijvoorbeeld privé e-mail of WhatsApp voor het uitwisselen van vertrouwelijke informatie.

Een oorzaak van dit communicatieprobleem wordt door BZK aangestipt in de antwoorden op vragen van AG Connect. Het gebrek aan eenduidige communicatie wordt gelinkt aan de diversiteit in de IT-omgevingen van de diverse overheidsonderdelen. "Vanuit de coördinerende rol van BZK op het gebied van digitalisering en informatiebeveiliging zien we dat eenduidige communicatie goed werkt als de digitale werkomgeving ook eenduidig is."

Toewerken naar interoperabiliteit

"Tussen verschillende overheidsorganisaties kan de digitale infrastructuur verschillen. Daarom wordt er door de Rijksoverheid toegewerkt naar uitwisselbaarheid (interoperabiliteit: verschillende systemen kunnen met elkaar met elkaar communiceren), zoals ook de Rekenkamer bepleit."

Verder noemt de woordvoerder dat het communicatietraject ‘Een veilig Rijk’ dit voorjaar is aangepast. Het is uitgebreid naar ‘Een veilig Rijk – ook thuis’. "Hiervoor wordt met alle departementen gewerkt aan passende thuiswerkthema’s waar bewustwording op nodig is."