Tweede Kamer der Staten-Generaal
2
Vergaderjaar 2000–2001
26 643
Informatie- en communicatietechnologie (ICT)
Nr. 26
BRIEF VAN DE MINISTER VOOR GROTE STEDEN- EN INTEGRATIEBELEID Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 23 maart 2001 Vanaf de lente van het voorgaande jaar, is de aandacht met enige regelmaat gericht op computerincidenten door virussen, wormen en gebreken in netwerksoftware. Aan oplossingen of althans verbetering in de situatie wordt vanuit verschillende invalshoeken gewerkt. Bijgevoegd «Plan van aanpak virusbestrijding en informatiebeveiliging overheid» maakt duidelijk welke koers is uitgezet om er voor te zorgen dat de overheid zelf voldoende weerbaar is tegen de onvolkomenheden van ICT en degenen die daarvan gebruik en/of misbruik maken. Het spreekt voor zich dat de activiteiten van de overheid ook van nut kunnen zijn voor andere Internet-actoren zoals de burgers en het bedrijfsleven. Dat geldt in eerste instantie vooral voor de oprichting van een Computer Emergency Response Team (CERT) dat adequate berichtgeving over het optreden van virussen en dergelijke als haar primaire taak krijgt. Door de staatssecretaris van Verkeer & Waterstaat wordt op dit moment een beleidsnota opgesteld over de kwetsbaarheid van het Internet voor de Nederlandse samenleving als geheel en de te nemen maatregelen daartegen. De Minister voor Grote Steden- en Integratiebeleid, R. H. L. M. van Boxtel
KST52221 ISSN 0921 - 7371 Sdu Uitgevers ’s-Gravenhage 2001
Tweede Kamer, vergaderjaar 2000–2001, 26 643, nr. 26
1
PLAN VAN AANPAK VIRUSPROBLEMATIEK & INFORMATIEBEVEILIGING OVERHEID Aanleiding Het «I love you» virus bracht in het voorjaar van 2000 aan het licht dat overheidorganisaties sterk uiteenlopend «last» hadden van malicious software1. Dit verschijnsel bemoeilijkt de voortvarende introductie van nieuwe ICT-toepassingen in de openbare sector zoals voorgestaan in verschillende kabinetsnotities in het bijzonder «Contract met de Toekomst» en «De Digitale Delta». Ook bestaan er verschillen van inzicht over het tempo waarin state-of-the-art experimenten ter hand genomen kunnen worden, zoals Kiezen op Afstand en elektronische dienstverlening door de overheid. In deze notitie wordt een plan van aanpak gepresenteerd voor het omgaan met de onzekerheden die de kwetsbaarheid van de elektronische overheid met zich meebrengt. Innovatie en onzekerheden De virusproblematiek heeft de aandacht kortstondig gelegd op de zwakke plek van het toepassen van ICT door de overheid: het beheersmatig op een goede manier omgaan met informatietechnologie. In de visies op de elektronische overheid worden tal van vergezichten geschetst die nu binnen het bereik komen. Meer informatie voor de burger, een transparante overheid die straks 24 uur per dag bereikbaar is en een overheid die in een semi permanente interactie met haar omgeving staat. Dat kan alleen als ICT goed ingebed wordt in de staande organisaties. Bij het in gang zetten van nieuwe ICT-toepassingen wordt aan die inbedding veelal minder aandacht besteed. Dat is begrijpelijk omdat projectgerichte teams zich eerst concentreren op het overwinnen van weerstanden tegen het nieuwe en zich pas daarna over het consolideren van de verworven resultaten kunnen buigen. Over de consolidatie van succesvolle projecten bestaat echter in de praktijk veel onzekerheid. Die onzekerheid wordt eerder vermeerderd dan verminderd door de steeds terugkerende golven van innovaties: «wat hebben ze nu weer bedacht?». Virussen en andere «lastige» zaken Het gebruik van Internet op de werkplek is zo’n innovatie van de laatste drie jaar. Het legt overheidsorganisaties open voor de buitenwereld en maakt het mogelijk dat we snel informatie kunnen vergaren en veel sneller dan vroeger met elkaar kunnen communiceren. Maar naast gewenste (en soms ongewenste) informatie ontvangen we nu ook kwaadwillende informatie in de vorm van virussen. Of we downloaden zelf software die onze PC of zelfs het netwerk van onze organisatie in de war kunnen schoppen. Dat is in de praktijk niet alleen een zaak voor ICT-beheer of de lokale informatiebeveiliger. Het is ook een zaak van elke gebruiker. Zoals nu bekend is, zou een groot deel van de overlast van het «I love you» virus niet zijn opgetreden als de bewuste attachments aan de E-mail berichten niet waren geopend. En bij een volgend virus is er weer iets anders dat we hadden moeten nalaten. De ICT-beheerders kunnen daar alleen maar honderd procent bescherming tegen bieden door onze Internet-verbindingen qua functionaliteit sterk in te perken. Maar daarmee wordt het kind met het badwater weggegooid. 1
Andere incidenten betroffen de «aanvallen» op enige grote Amerikaanse websites in februari 2000, problemen bij de Fortis bank in België in 1999 en (andere) problemen bij elektronisch bankieren bij ABN/AMRO in de zomer van 2000.
Informatiebeveiliging Virussen vormen één van de meer dan honderd aandachtspunten waarmee informatiebeveiliging zich bezighoudt. Andere betreffen het voorkomen van inbraken op netwerken, het verhinderen van ongeautori-
Tweede Kamer, vergaderjaar 2000–2001, 26 643, nr. 26
2
seerd gebruik van gegevens (privacy, staatsgeheimen), het ontwerpen van plannen voor het geval er een calamiteit uitbreekt (denk aan stroomuitval). Informatiebeveiliging is een wat «onzichtbaar» onderdeel van het gebruik en de inzet van ICT-voorzieningen dat zich richt op de continuïteit, de integriteit en de vertrouwelijkheid van informatie en informatiestromen. Daarmee wordt een groot deel van de organisatie van de informatievoorziening in organisaties bestreken. Nooit klaar Bij elke introductie van nieuwe technologie moet de beveiliger weer nagaan wat het gebruik daarvan voor zijn of haar organisatie aan risico’s kan opleveren. Wat gebeurt er wanneer we Windows 2000 nu installeren (want het blijkt dat daarin nogal wat beveiligingslekken zitten), wat is momenteel een adequaat anti-virus programma, wat gebeurt er als ik de wens naar streaming audio honoreer en vooral: zou een hacker nu bezig zijn mijn netwerk aan te vallen omdat we pretenderen alles goed voor elkaar te hebben (hackers worden getriggered door organisaties die zo’n pretentie hebben). Op zijn minst een ondankbare taak, bijvoorbeeld omdat er honderden of soms wel duizenden maatregelen zijn die in de gaten gehouden moeten worden. En het is welhaast onmogelijk om honderd procent zekerheid te verkrijgen. Wat is de situatie? Een bekende groep van enige honderden internationals doet tweejaarlijks een «survey» om de stand van zaken met betrekking tot informatiebeveiliging boven water te krijgen. Daarvoor hanteert zij een vragenlijst van meer dan duizend vragen. Dat illustreert nog eens de omvang van de activiteiten van een informatiebeveiliger. Andere meer kwalitatieve «metingen» zoals die verleden jaar nog door het Informatiebeveiligingsberaad is uitgevoerd, geven een verbale doorsnede van de stand van zaken. Daarin is veel gedetailleerde informatie te vinden maar valt alleen een heel globaal beeld uit te destilleren: we liggen achter bij de invoering van de relevante regelgeving. De Algemene Rekenkamer daarentegen komt in haar beoordeling van de situatie tot een uniforme kwalificatie van «matig» voor alle overheidsorganisaties. Daarmee mag afdoende geïllustreerd zijn dat er zelfs voor de deskundigen weinig zekerheden zijn over wat nu precies de stand van zaken met betrekking tot informatiebeveiliging is. Persoonlijke meningen zijn er te over, gedeelde en onderbouwde kwalificaties ontbreken. Actie 1: benchmarking
1
Recent is door de CIO’s van de federale overheid van de Verenigde Staten een voorstel tot een instrument voor assessment van de beveiligingssituatie gedaan dat voor benchmarking ingezet kan worden. De methodologische discussie is daar nog niet afgerond. 2 Tekenend voor de situatie is voorts de aandacht in de Verenigde Staten voor het gebrek aan beveiligingsdeskundigen, zowel op het niveau van masters, promovendi en hoogleraren. 3 Onder de werktitel «Tien Punten Plan».
Zonder een betrouwbare meting van de stand van zaken kan de onzekerheid met betrekking tot informatiebeveiliging niet gereduceerd worden. De eerste activiteit in dit plan van aanpak bestaat dan ook uit het inzichtelijk krijgen van de feitelijke stand van zaken met betrekking tot informatiebeveiliging. Daarvoor is een handzaam instrument nodig waarmee overheidsorganisaties relatief eenvoudig kunnen worden «doorgemeten» (respectievelijk een self-assesment kunnen uitvoeren) en een verantwoorde vergelijking met andere, soortgelijke (overheids)organisaties mogelijk wordt. Merkwaardig genoeg bestaat zo’n instrument specifiek voor informatiebeveiliging tot dusverre niet terwijl op verwante terreinen juist aan benchmarking veel aandacht wordt besteed1, 2. Inmiddels is de eerste aanzet3 voor een instrument voor benchmarking beschikbaar. Het wordt in de eerste maanden van het jaar 2001 geoperationaliseerd. Daarbij zal ook de positionering van de benchmark in de internationale context aan de orde komen.
Tweede Kamer, vergaderjaar 2000–2001, 26 643, nr. 26
3
Actie 2: kennisbank, -netwerk, CIRT en quick-scans In de beleidsnotitie «Contract met de Toekomst» werd reeds een verkennend onderzoek aangekondigd naar de opzet van een kennisbank om de betrouwbaarheid van elektronische activiteiten te verzekeren. Dat onderzoek is inmiddels van start gegaan. De resultaten zullen in januari 2001 beschikbaar komen. Daarnaast wordt een verkenning uitgevoerd naar de opzet van een «computer emergency response team» (CERT) voor – in eerste instantie – de rijksoverheid. In dat onderzoek wordt nagegaan op welke gebieden het delen van kennis op het gebied van informatiebeveiliging verbetering behoeft en hoe dat organisatorisch vorm gegeven kan worden in de ICT-uitvoeringsorganisatie (ICTU). Een aantal voorbeelden van die gebieden is: • het beschikbaar zijn van een centraal punt waar beveiligingsincidenten gerapporteerd kunnen worden; • het creëren van een netwerk tussen de beveiligingsdeskundigen; • het verspreiden van informatie over beschermingsmaatregelen tegen bestaande of verwachte bedreigingen; • het verschaffen van training met het oog op het verhogen van het beveiligingsbewustzijn en het verhogen van het kennisniveau; • het opbouwen en in stand houden van samenwerkingsverbanden met andere instanties zoals opsporingsdiensten en service providers. In het genoemde onderzoek wordt tevens aandacht besteed aan de mogelijkheid om op aanvraag van een overheidsorganisatie een «quick scan» uit te voeren. Daarbij gaat het om het snel en actiegericht signaleren van de voornaamste lacunes in het stelsel van beveiligingsmaatregelen van een overheidsorganisatie. Actie 3: herijking regelgeving voor de rijksoverheid Er is sprake van een gebrek aan eensgezindheid over de interpretatie van de regelgeving voor de rijksoverheid voor informatiebeveiliging (het Voorschrift Informatiebeveiliging Rijksdienst, VIR). Dat uit zich bij de departementen zelf (achterstanden bij de implementatie van de regelgeving) alsook bij de controlerende instanties (accountsdiensten en Algemene Rekenkamer). Dat leidt ertoe dat de inspanningen van overheidsorganisaties om de van toepassing zijnde regelgeving te implementeren vaak niet voldoende worden geapprecieerd. In de afgelopen herfst zijn de knelpunten die de departementen ervaren geïnventariseerd en zijn de oplossingsrichtingen in kaart gebracht. De voorlopige conclusie is dat er geen aanleiding bestaat om de bestaande regelgeving bij te stellen. In een tweede gespreksronde die vanaf januari plaats vindt, zal met de controlerende instanties worden overlegd over de knelpunten die zij bij hun controle-activiteiten ondervinden.
1
De baseline is in de Gebruikersraad Informatiebeveiliging aan de orde gesteld. Vaststelling zal in ieder geval via deze Gebruikersraad, het ICT-coördinatorenoverleg en het ICT-beraad plaatsvinden.
De doelstelling is dat bestaande misinterpretaties worden weggewerkt en dat binnen ongeveer één jaar de implementatie van de regelgeving de toets der kritiek van de controlerende instanties, waaronder de Algemene Rekenkamer, kan doorstaan. Van belang is voorts dat meerdere departementen nadrukkelijk de behoefte hebben geuit aan een gemeenschappelijk te definiëren en na te leven beveiligingsniveau (een zogeheten baseline). In het eerstkomende formele overleg1 met vertegenwoordigers van de departementen is in december een voorstel voor het realiseren van zo’n overheidsbaseline aan de orde gesteld en is deze behoefte bevestigd. Eventuele realisatie voor alle of een substantieel deel van de departementen van deze overheidsbaseline zou medio 2001 een feit kunnen zijn.
Tweede Kamer, vergaderjaar 2000–2001, 26 643, nr. 26
4
Actie 4: communicatie In de interdepartementale oriëntatie is sterk naar voren gekomen dat eenmalige aandacht voor het «I love you» virus niet ten koste moet gaan van structurele aandacht voor de beheersing van ICT-toepassingen. Informatiebeveiliging is sterk afhankelijk van het bewustzijn van zowel de «dagelijkse» gebruikers als van het verantwoordelijke lijnmanagement. Daarom wordt voorgesteld om een bijeenkomst voor het algemeen management van de overheid te organiseren waarbij met name de toekomstgerichte aspecten van informatiebeveiliging aan de orde worden gesteld (informatiebeveiliging als «enabler» voor e-overheid). Gedacht wordt aan een of twee sprekers die vanuit hun visie op de elektronische samenleving aandacht kunnen besteden aan de interactie tussen de sociale en technologische aspecten van informatiebeveiliging. Dat onderwerp is nu eenmaal niet eenvoudig op te lossen door de eenmalige aankoop van een beveiligingsproduct maar vereist herbezinning op de wijze waarop mensen en organisaties elektronisch met elkaar omgaan.
Tweede Kamer, vergaderjaar 2000–2001, 26 643, nr. 26
5