De informatiebeveiliging van het Rijk is niet op orde. Dat stelt de Algemene Rekenkamer in een rapport In 2020 zijn er bij ministeries en de Hoge Colleges van Staat een aantal incidenten geweest rond informatiebeveiliging.
Zo bleek uit het onderzoek dat WhatsApp-accounts van zowel Eerste als Tweede Kamerleden en ambtenaren van ministeries een tijd door criminelen waren overgenomen. verder was bij het Ministerie van Buitenlandse Zaken sprake van een mogelijk datalek. Over algemeen was ook het veilig gebruik van applicaties voor videovergaderingen onvoldoende.
Wereldwijd zijn overheden vrijwel dagelijks doelwit van cyberaanvallen. Nederland is daarop geen uitzondering. Het massale thuiswerken in 2020 bracht nieuwe risico´s met zich mee. In het licht van deze en andere permanente dreigingen oordeelt de Algemene Rekenkamer over de informatiebeveiliging van ministeries en Hoge Colleges van Staat. Bij 11 van de 18 onderzochte organisaties is die nog niet op orde.
WhatsApp-accounts
Uit het rijksbrede onderzoek blijkt dat afgelopen jaar criminelen erin slaagden de WhatsApp-accounts te hacken van tenminste vijf Tweede Kamerleden, een Eerste Kamerlid, topambtenaren van het Ministerie van EZK en verschillende medewerkers van bijna alle ministeries. Het ging de aanvallers om geld, maar het is denkbaar dat het ook om informatie had kunnen gaan. Dit onderstreept het belang van permanente aandacht en bewustwording voor veilig gebruik van WhatsApp op alle niveaus binnen de rijksoverheid.
De Algemene Rekenkamer vond bij het Ministerie van Buitenlandse Zaken een mogelijk datalek. Het ging om persoonsgegevens zoals namen, adressen, bankgegevens en medische informatie van ruim 18.000 personen die tijdens de coronacrisis in het buitenland verbleven en terug wilden keren naar Nederland.
Deze vertrouwelijke gegevens mogen eigenlijk alleen toegankelijk zijn voor een kleine groep gemachtigden. Ze bleken echter ook in te zien door veel andere medewerkers van het Ministerie van Buitenlandse Zaken. Het ministerie heeft het datalek gedicht. Aanvullend technisch onderzoek wees uit dat in de praktijk alleen bevoegden de informatie hadden geraadpleegd.
Het voorval leidde tot nader onderzoek naar het bredere vraagstuk van de informatiebeveiliging op het ministerie. De Algemene Rekenkamer trof daarop een soortgelijk risico aan bij een ander ICT-systeem van het Ministerie van Buitenlandse Zaken.
Zoekopdrachten met termen als ‘privé’ en ‘geheim’ leverden vertrouwelijke documenten op zoals notulen van buitenlandse posten en inloggegevens van het officiële twitteraccount van een ambassade. Deze informatie was toegankelijk voor vrijwel alle medewerkers van het ministerie. De gegevens werden op basis van het onderzoek later afgeschermd.
Videovergaderen
Ook ministeries moesten in 2020 vanwege de coronacrisis plotseling massaal gebruik maken van programma’s voor videovergaderen, zoals WebEx en MS Teams. De Algemene Rekenkamer heeft begrip voor de omstandigheden waaronder videobellen mogelijk werd gemaakt, maar wijst er ook op dat organisaties van het Rijk bij ingebruikname van een nieuwe applicaties de risico’s rond informatiebeveiliging expliciet moeten afwegen en maatregelen treffen om veilig gebruik te waarborgen. Dit is in veel gevallen niet of laat gebeurd.
Vrijwel alle organisaties die deze en andere aspecten van informatieveiligheid, zoals incidentmanagement, risicoanalyse en inrichting van systemen, in 2019 niet op orde hadden, hebben hier in 2020 werk van gemaakt. Dit heeft echter nog niet geleid tot beheersing van de risico’s. De Algemene Rekenkamer constateert dat de vakministers nog onvoldoende invulling geven aan hun informatieplicht aan de minister van BZK om op basis van de aanwezige risico’s per ministerie de informatiebeveiliging rijksbreed te kunnen verbeteren. Om deze reden herhaalt de Algemene Rekenkamer de aanbeveling van vorig jaar aan de minister van BZK om de vakministers hierop aan te spreken.
Lees ook:
- CISO’s: Merendeel organisaties niet voorbereid op cyberaanvallen
- Veilig digitaal thuiswerken vereist een sterke ‘menselijke’ firewall
