Het Ministerie van Buitenlandse Zaken doet te weinig om de beveiliging van de informatiesystemen op orde te brengen. Dat stelt de Algemene Rekenkamer in een rapport vandaag op ‘verantwoordingsdag’. Het ministerie gebruikt de systemen vooral voor diplomatenpost en documentenverkeer met de Europese Unie en de NAVO.
In mei 2019 rapporteerde de Rekenkamer al dat de informatiebeveiliging van Buitenlandse Zaken niet op orde was. Het ministerie heeft nog te weinig gedaan met de aanbevelingen van vorig jaar. Bovendien voldoet Buitenlandse Zaken voor het derde jaar op rij niet aan de regelgeving die voor alle ministeries voor informatiebeveiliging geldt. De minister geeft de Tweede Kamer bovendien een veel te positief beeld van deze problematiek.
Goedgekeurd
De externe contacten van Buitenlandse Zaken zijn talrijk. Medewerkers hebben contact met andere ministeries, buitenlandse ambassades en de 144 eigen ambassades en consulaten. Dat aantal neemt over de wereld toe door extra investeringen. Er werken daar nog eens ruim 2.800 diplomaten en lokaal personeel. Het is voor dit ministerie een kerntaak om te overleggen met internationale partners. Daar hoort goede beveiliging bij.
Met EU-instellingen, zoals de Europese Commissie, en met de Noord-Atlantische Verdragsorganisatie (NAVO) gebeurt dat intensief. Geregeld gaat het dan om vertrouwelijke informatie.
In 2019 werkte Buitenlandse Zaken met 11 informatiesystemen. Slechts 1 daarvan is volledig geaccrediteerd. Dit laatste is een vereiste van de EU of NAVO. Pas dan heb je een machtiging en goedkeuring om een systeem (veilig) te mogen gebruiken.
Brief
In een brief van 9 december 2019 aan de Tweede Kamer schrijft de minister dat voor vier gebruikte informatiesystemen een tijdelijke accreditatie is afgegeven en voor zes aan afronding wordt gewerkt.
De Algemene Rekenkamer stelt echter iets anders vast. Voor drie systemen is een tijdelijke accreditatie met een geldigheidsduur van een jaar afgegeven. Twee systemen zitten nog in een voorfase en voor vijf van de 11 gebruikte systemen bestaat helemaal geen geldige machtiging en goedkeuring. Een dergelijke volledige accreditatie is er maar voor 1 systeem.
Terugvallen
In zijn Kamerbrief heeft de minister, zonder dit nader te specificeren, geschreven dat hij kan terugvallen op de traditionele manier van communiceren als het ministerie informatie van de EU en de NAVO niet meer digitaal zou kunnen ontvangen vanwege het uitblijven van accreditaties. Het erg positieve beeld dat de minister aan de Kamer schetst is illustratief voor het gebrek aan erkenning van het belang van goede informatiebeveiliging.
Aanvallen op overheidssystemen
Digitale verstoring, diefstal en lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie kunnen de rijksoverheid ernstig treffen, en ook burgers en bedrijven raken. Dat is vorig jaar onder meer gebleken toen criminele hackers aanvallen uitvoerden op de door de overheid veelgebruikte Citrix-systemen en gijzelsoftware plaatsten bij de Universiteit Maastricht. Van de rijksbreed werkende overheidsorganisaties heeft de helft de informatiebeveiliging niet op orde, zo stelt de Algemene Rekenkamer vast.
Het Ministerie van Buitenlandse Zaken heeft op het gebied van informatiebeveiliging risico’s in de governance, de inrichting van de organisatie en op het terrein van risicomanagement. Accreditaties vallen onder risicomanagement. Het beleid voor informatiebeveiliging is bij dit ministerie niet op tijd geëvalueerd. Het is niet duidelijk wie op het gebied van informatiebeveiliging waarvoor verantwoordelijk is. Verder ontbreekt het aan een jaarplan waarin budget, bemensing en benodigdheden zijn vastgelegd.
Reactie minister
In reactie op deze bevindingen stelt de minister dat informatiebeveiliging essentieel is en er afgelopen jaar aan verbeteringen is gewerkt. De nieuwe aanbevelingen van de Rekenkamer onderschrijft de minister.
In haar nawoord geeft de Algemene Rekenkamer aan dat met deze ambitie de minister een bestuurlijk signaal geeft aan zijn departement dat verbetering van de informatiebeveiliging bij het Ministerie van Buitenlandse Zaken een prioriteit moet zijn.
Kritisch
De Rekenkamer laat zich regelmatig kritisch uit over de prestaties en beveiliging van systemen van overheidsinstellingen. Zo stelde de Rekenkamer in februari van dit jaar het gebruik van algoritmes door de rijksoverheid te onderzoeken. Naast in kaart brengen gaat de Rekenkamer ook toetsen. Dit is het eerste onderzoek naar algoritmes waarin het maatschappelijke effect centraal staat.
De Rekenkamer stelt dat een scherper inzicht in welke typen algoritmes de overheid toepast belangrijk is. Verder wordt ook bekeken voor welke activiteiten de overheid ze gebruikt en wat hun impact is op de maatschappij. Hoe het met dit onderzoek staat is nog niet duidelijk.
