De papieren werkelijkheid van politiek Den Haag

pennenbak met briefje password welcome

Anders dan de rest van Nederland is politiek Den Haag nog niet massaal overgestapt op digitaal en remote werken. Security-zorgen bij politici zijn te begrijpen, maar zouden technisch grotendeels gepareerd kunnen worden.

Tijdens ‘verkennergate’ – de discussies naar aanleiding van opmerkingen op stukken van verkenners die de mogelijkheden voor een nieuwe regeringscoalitie onderzochten – werd de papieren werkelijkheid in politiek Den Haag voor iedereen duidelijk. Kamerleden staan met printjes bij de interruptiemicrofoon, ontmoetingen tijdens het formatieproces zijn vrijwel altijd fysiek en alles wordt op papier genotuleerd.

Voor IT-juristen was de faux pas van verkenner Ollongren bijzonder interessant. Als een mailtje met de tekst over een alternatieve functie voor Kamerlid Pieter Omtzigt (CDA) in de openbaarheid was gekomen, dan was sprake geweest van een datalek. Een dergelijk voorval moet, zoals bekend, door ‘de betreffende organisatie’ binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (AP) – en dat gebeurt vaak: in 2020 gemiddeld 65 keer per dag.

Wie doet melding?

Nu zorgen de media er ook in een digitale variant voor dat de betrokken personen razendsnel op de hoogte worden gebracht. Alleen is de formulering dat ‘de betreffende organisatie’ melding moet doen nogal diffuus. Is dat in dit geval Algemene Zaken, verantwoordelijk voor de formatie, of verkende Ollongren op haar account als demissionair minister van Binnenlandse? Maar goed, het ging om een fysiek datalek en de gevolgen zijn bekend. Wel zullen veel Nederlanders hun wenkbrauwen gefronst hebben bij het zien van de vele fractievoorzitters, verkenners en de toenmalige Kamervoorzitter Khadija Arib, die fysiek overlegden met elkaar. Die verbazing zal niet minder zijn geworden toen eind maart duidelijk werd dat de Ministerraad digitaal zou gaan vergaderen. De rest van het land doet dat immers al een jaar. Dit alles is niet zonder reden en heeft vooral te maken met zorgen om IT-security. En met onwil bij verschillende personen, en dan met name voorzitter Arib, om af te zien van fysiek vergaderen en stemmen. Het is volgens ingewijden een van de redenen waarom ze de strijd om het Kamervoorzitterschap verloor.

Vrijgegeven notulen

De ministers aarzelen dus om hun wekelijkse overleg vooral digitaal te laten verlopen. Wat tijdens dit kabinetsoverleg wordt besproken is geheim. De notulen mogen niet in of op publieke online platforms worden opgeslagen. Sterker nog: ook de manier waarop (digitale) documenten worden beveiligd is geheim . Leveranciers van dergelijke oplossingen willen en mogen er doorgaans weinig over zeggen, maar zijn soms toch duidelijk genoeg. Zo schrijft Fox-IT op zijn website: “Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) heeft de Fox Crypto DataDiode van Cybersecuritybedrijf Fox-IT de beveiligingswaarde Zeer Geheim toegekend. Deze hoogst mogelijke kwalificatie betekent dat de Fox Crypto DataDiode door overheidsinstellingen ingezet mag worden voor informatie van de hoogst mogelijke vertrouwelijkheid.”

Eenrichtingverkeer

De mooie term DataDiode springt eruit. In de elektronica is een diode een onderdeel dat (gelijk)stroom slechts in één richting doorlaat, een vorm van eenrichtingverkeer. Zo is het hier ook. Het verhindert dat onbevoegden erbij kunnen komen of dat informatie weglekt. Toen we massaal thuis gingen werken, ontstond er terecht discussie over het securityniveau, zeker wanneer privé draadloze netwerken worden gebruikt. Voor veel van die issues hebben ondernemingen protocollen opgesteld. Dus waarom kan de Ministerraad nu nog steeds niet digitaal vergaderen?

End-to-end encryptie

De overheid werkt voor digitaal overleg liever niet met niet-Europese (lees: Amerikaanse of Chinese systemen) collaboratieplatforms. vanwege achterdeuren waarlangs lokale autoriteiten kunnen inbreken. Het gebruik van mobiele telefoons is een stuk betrouwbaarder – maar niet of minder geschikt om mee te vergaderen in grotere groepen. Je kunt je echter afvragen of dat nu echt een remmende factor moet zijn. Tenslotte hebben de verschillende platforms afgelopen jaar fors en snel geïnvesteerd in beveiliging. Niet voor niets integreerde Zoom de specialistische end-to-end encryptie van het overgenomen Keybase in hun collaboratie-oplossing. Bedrijfsovernames en aandeelhoudersvergaderingen worden digitaal besproken en de Europese Raad, waarvan demissionair Minister President Rutte deel uitmaakt, heeft inmiddels ook uitgebreid ervaring in ‘remote’ contact. Niet zo gek dat er een aantal leden van de Tweede Kamer zich ergeren aan de trage digitalisering rondom stemmen en vergaderen. Leden van de Eerste Kamer doen dat namelijk wel, zonder dat het tot op heden tot problemen leidde.

Investeren in cyberweerbaarheid

Natuurlijk wil de politiek digitale kwetsbaarheid vermijden. Recent werd het komende kabinet op voorhand door de CyberSecurityRaad (CSR) in het adviesrapport ‘Integrale aanpak cyberweerbaarheid’ opgeroepen extra te investeren in een integrale aanpak van de cyberweerbaarheid van ons land. De investering zou bovenop de huidige uitgaven en budgetten moeten komen en is volgens de raad hard nodig omdat “enorm veel bedrijven, instellingen en overheden hun security niet op orde hebben”. Dit is volgens het nationale en onafhankelijke adviesorgaan van kabinet en bedrijfsleven zo ernstig dat het nieuwe kabinet snel moet ingrijpen met een duidelijke cyberweerbaarheidsstrategie en een meerjarenprogramma. In plaats van een Minister Digitale Zaken moet er volgens de CSR direct een ministeriële onderraad digitale zaken komen. Zij moeten kunnen steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid.

Mens als zwakke schakel

Elke CISO en security-leverancier onderkent het belang van IT- en Cyber-beveiliging. Maar zij weten ook dat digitale systemen nooit helemaal dicht te timmeren zijn. Uit onderzoek blijkt immers steeds weer dat de mens bij elke vorm van (IT-)security de zwakste schakel is, vooral als het gaat om datalekken. Bijvoorbeeld doordat een verkenner bij een niet openbare politieke missie zich laat fotograferen met interne documenten onder de arm. Daar helpt zelfs de sterkste IT-beveiliging niet tegen.

Lees ook:

Gerelateerde berichten...