Tweede Kamer der Staten-Generaal
2
Vergaderjaar 1988-1989
20 904
Computerbeveiliging Beveiliging van gegevens in geautomatiseerde systemen bij de ministeries
Nr. 5
LIJST V A N A N T W O O R D E N Ontvangen 8 mei 1989 Hierbij doe ik u de antwoorden toekomen op de vragen die door de Commissie voor de Rijksuitgaven aan mij en enkele van mijn collega's zijn gesteld met betrekking tot bovengenoemd kamerstuk. Bij elk antwoord is aangegeven door welke minister het antwoord wordt gegeven. De minister van Binnenlandse Zaken, H. van den Broek
913241F
SDU uitgeverij s Gravenhage 1989
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
Antwoord van de minister van Binnenlandse Zaken op vraag 1 Het kabinetsbeleid is, zoals recent is bevestigd in de Beleidsnotitie Informatievoorziening Openbare Sector (BIOS), dat elke minister eerst verantwoordelijk is voor de eigen, intra-departementale informatievoorziening ter ondersteuning van het ministeriële beleid en beheer. Dit geldt ook voor de beveiliging van die informatievoorziening, zoals ik aan de Algemene Rekenkamer heb laten weten. Door elke minister is dan ook afzonderlijk gereageerd op het hem of haar betreffende deel van de nota. Deze reacties zijn door mij samengebundeld tot één gezamenlijke reactie aan de Algemene Rekenkamer, zonder dat daarmee door mij werd getreden in de bevoegdheden van mijn collega's. Aan deze reactie heb ik mijn standpunt als coördinerend bewindsman toegevoegd. In dit standpunt gaf ik mijn commentaar op de algemene bevindingen en conclusies van de Algemene Rekenkamer. Mijn standpunt is afgestemd met de departementen. Antwoord van de minister van Onderwijs en Wetenschappen op vraag 2 De verwijzing in het rapport van de AR naar het door de accountantsdienst uitgevoerde onderzoek in september 1986 heeft betrekking op het onderzoek naar de oorzaken van gesignaleerde fouten in de salarisbetalingen gedurende de eerste maanden van 1986 bij de Centrale Directie Personeelszaken. In het betreffende rapport wordt niet gesignaleerd dat de fysieke beveiliging van personeelsgegevens onvoldoende is. De strekking van de opmerking in het accountantsrapport heeft uitsluitend het karakter van een advies, in de zin dat aan de fysieke beveiliging van personeelsgegevens meer aandacht besteed moet worden. In deze context kan gemeld worden dat de fysieke beveiliging van personeelsgegevens sedert 1986 verbeterd is. Er zijn maatregelen genomen terzake van - de bewaring van magnetische informatiedragers in een kluis; - het verbeteren van de toegangsbeveiliging tot de computer, en - de structurering en versterking van de interne controle, die moet toezien op de beveiliging van vertrouwelijke gegevens. Dit type controles wordt overigens niet jaarlijks uitgevoerd, maar veelal met een periodiciteit van éénmaal per drie jaar. In het controleplan 1989 is het privacy-reglement van de Centrale Directie Personeelszaken opgenomen. Als onderdeel van deze controle zal diepgaand op de aspecten van fysieke beveiliging van personeelsgegevens worden ingegaan. Antwoord van de minister van Onderwijs en Wetenschappen op vraag 3 Op het terrein van de beveiliging van persoonsgegevens wordt door mijn ministerie een aktief beleid gevoerd. Zo is - in verband met onder andere de Aanwijzingen van de minister-president - in 1980 een (onafhankelijke) Commissie van toezicht ingesteld om mij onder andere te adviseren omtrent onderwerpen die samenhangen met de werking van geautomatiseerde systemen (waaronder mede begrepen de beveiligingsaspecten) waarin op de persoon herleidbare gegevens zijn opgeslagen. Daartoe worden bij de invoering en wijziging van dergelijke systemen regelingen met betrekking tot de registratie, de zogenaamde privacyreglementen, opgesteld. Deze regelingen worden ter advisering aan de voornoemde Commissie voorgelegd. De Commissie ziet toe op de naleving van de in de reglementen opgenomen bepalingen. Onlangs is ten behoeve van de Commissie een advies uitgebracht door
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
2
de EDP-audit pool van de Centrale Accountantsdienst van het Ministerie van Financiën over de benodigde maatregelen voor de beveiliging van (persoons)gegevens binnen een verwerkingsorganisatie. Bovendien zijn door de accountantsdienst-O&W onderzoeken uitgevoerd met betrekking tot de naleving van de privacy-reglementen SF en CASO. Het gevoerde beleid is echter (nog) niet tot uitdrukking gebracht in een algemeen beleidsdocument inzake de beveiliging van persoonsgegevens, mede gebaseerd op een meer expliciete risico-afweging, zoals bedoeld door de Rekenkamer. Hieraan zal de komende tijd prioriteit gegeven worden (zie ook mijn antwoord op vraag 4). A n t w o o r d van de minister van Onderwijs en Wetenschappen op vraag 4 Belangrijk punt van kritiek van de Rekenkamer is de afwezigheid van een expliciete risico-afweging aan de hand waarvan plannen en maatregelen getoetst kunnen worden op hun effectiviteit. Buiten hetgeen reeds is aangegeven in paragraaf 7.3 van het AR-rapport heeft de totstandkoming van een dergelijke afweging bij dit ministerie prioriteit. Aan de hand van de resultaten hiervan zal het beveiligingsplan worden vastgesteld en zal worden bezien welke aanvullende maatregelen noodzakelijk zijn. A n t w o o r d van de minister van Financiën op vraag 5 Antwoord voorzover het het kerndepartement betreft
aan het Korte Voorhout
Ten aanzien van de in het rapport beschreven maatregelen die bij het kerndepartement getroffen zouden worden is de situatie als volgt. Beveiligingsmedewerker,
beveiligingsplan,
risico-analyse
In oktober 1988 is op het kerndepartement een beveiligingsmedewerker aangetrokken. De Secretaris-Generaal heeft hem de operationele verantwoordelijkheden met betrekking tot beveiliging van de geautomatiseerde informatieverwerking toebedeeld. Deze medewerker heeft inmiddels het beveiligingsbeleid geformuleerd en een concept-beveiligingsplan opgesteld. Het beveiligingsplan is juni 1989 gereed. Met betrekking tot de risico-afweging heeft medio 1988 een inventarisatie bij de lijn plaatsgevonden. Deze dient momenteel als basis voor een nadere risico-afweging. Het calamiteitenplan wordt gefaseerd ingevoerd. De laatste fase van invoering vindt plaats bij de ingebruikname van de tweede computerruimte in augustus 1989. Noodvernietigingsplan Tot op heden ontbrak het aan tijd om uit te zoeken of een noodvernietigingsplan nodig is. Dit onderzoek zal in de tweede helft van 1989 plaatsvinden. Screening
personeel
Screening van automatiseringspersoneel heeft nog niet plaats gevonden. In april 1989 wordt in overleg met BiZa nagegaan in welke mate screening van automatiseringspersoneel kan en mag plaatsvinden.
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
3
Toegang tot en gebruik van gegevens Regels met betrekking tot het verlenen van toegang en het gebruik van gegevens zijn vastgelegd in het Handboek Rekencentrum Korte Voorhout (voorheen omschreven als Handboek Systeembeheer). Deze regels zijn in de loop van 1988 verder aangepast en uitgewerkt. Fysieke beveiliging Momenteel wordt gewerkt aan de totstandkoming van een tweede computerruimte. De bouw hiervan zou in oktober 1988 gereed zijn. Deze datum is te optimistisch gebleken. De geplande opleveringsdatum is nu augustus 1989. Vanaf die datum zullen beide computerruimten bij calamiteiten als eikaars uitwijk fungeren. De toegang tot de computerruimte is in november 1988 naast een electronisch toegangs- en registratiesysteem tevens van visuele bewakingsapparatuur voorzien. In de tweede helft van 1988 zijn naast interne ook externe opslagruimten (buiten het departement) in de backup-procedures opgenomen. Antwoord
voorzover het de Belastingdienst
betreft
Ten aanzien van de in het rapport beschreven maatregelen die binnen de Belastingdienst zouden worden getroffen is de stand van zaken als volgt. Ad. 1. Actualisering van de beveiligingsplannen op de aandachtsgebieden fysieke beveiliging en technische voorzieningen. In 1988 is in samenwerking met de Rijksgebouwendienst gewerkt aan de totstandkoming van een programma van eisen voor de fysieke beveiliging en de daarmede verband houdende technische voorzieningen van gebouwen in gebruik bij de Belastingdienst. Het programma van eisen is in zijn definitieve vorm gereed. Ad. 2. Een nadere detaillering van de risico-analyses per informatiesysteem leidend tot een continuïteits- en calamiteitenplan. In 1988 zijn alle bestaande maatregelen op het terrein van de continuïteitsbeveiliging geïnventariseerd en per informatiesysteem gerubriceerd naar risicofactoren. Op grond van deze voorbereidende werkzaamheden werkt de Directie Automatisering Rijksbelastingen thans aan een geïntegreerd continuïteits- en calamiteitenplan, dat per 1 mei 1989 gereed zal zijn. Ad. 3. Een nadere classificatie van gegevens om de gevoeligheidsgraad van gegevens te bepalen en het nader uitwerken van begrippenkaders omtrent eigenaarschap en houderschap van gegevens. De gegevensclassificatie betreft een omschrijving van welke functionarissen welke gegevens (bestanden) mogen raadplegen c.q. wijzigen. Begin 1988 zijn de voorschriften met betrekking tot de toegang tot een aantal specifieke direct toegankelijke gegevensbestanden, zoals het centrale ontvangersbestand, aanzienlijk verscherpt. Een afzonderlijke werkgroep heeft daarnaast inmiddels de bovenbedoelde begrippenkaders uitgewerkt. Een integraal beleidsconcept en de bijbehorende uitvoeringsmaatregelen op het terrein van de logische toegangsbeveiliging zijn per 1 mei 1989 gereed. Ad. 4. Het uitwerken van voorschriften met betrekking tot beveiligingsaspecten van het gebruik van personal computers. In 1988 is een aantal organisatorische en technische maatregelen getroffen om te voorkomen dat door het gebruik van personal computers gegevens in centrale computerbestanden worden aangetast. Ook met betrekking tot gegevens die in de p.c.'s zelf zijn opgenomen zijn beschermende maatregelen getroffen.
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
4
Overigens zal een aantal van de maatregelen welke door de in het vorige punt genoemde werkgroep worden voorbereid ook van toepassing zijn voor de beveiliging van gegevens in personal computers. Tot slot is en wordt veel aandacht besteed aan de totstandkoming van de reglementen op de grond van de Wet Persoonsregistraties. Ad. 5. Een formele institutionalisering en invoering van de beveiligingsorganisatie bij de Belastingdienst. Inmiddels gerealiseerd. A n t w o o r d van de minister van Defensie op vraag 6 Het noodvernietigen van geautomatiseerde bestanden, inclusief die op de (diverse) uitwijklocaties, moet zo snel en volledig kunnen worden uitgevoerd dat een en ander niet meer is te reconstrueren. De meest efficiënte methode zou zijn om hiervoor gebruik te maken van een «geautomatiseerde» noodvernietiging. Hiertoe moet een aantal functionarissen (systeemeigenaren) op sleutelpunten beschikken over vergaande automatiseringsbevoegdheden om met de uitvoering van het noodvernietigingsplan te kunnen beginnen. Sommige bestanden mogen beslist niet worden vernietigd. Een voorbeeld daarvan vormen tandheelkundige bestanden die met het oog op de identificatie van slachtoffers behouden moeten blijven. Veelvuldig vinden binnen het Ministerie van Defensie functiewisselingen en overplaatsingen plaats, terwijl ook functionarissen (speciaal automatiseringsdeskundigen) naar functies buiten het Ministerie vertrekken. Hierdoor groeit de groep van «deskundigen» - kennisdragenden van het noodvernietigingsmechanisme. Indien «know how» onverhoopt in verkeerde handen raakt zou zeer ernstige en onherstelbare schade kunnen worden toegebracht. In verband met het bovenstaande wordt een (geautomatiseerd) noodvernietigingsprogramma niet toegepast. Een betere oplossing is de bestanden te laten vernietigen door demolitieploegen, welke dan fysieke vernietigingsmethoden toepassen. Deze demolitieploegen moeten dan over de juiste middelen ter vernietiging beschikken (bijvoorbeeld zeer grote capaciteit «erasors»). Een nader onderzoek hiernaar zal op korte termijn beginnen. A n t w o o r d van de minister van Verkeer en Waterstaat op vraag 7 Voorzover thans nog te achterhalen hebben interne communicatiestoornissen ertoe geleid dat de AR tijdens het onderroek niet in contact is gebracht met de beveiligingsambtenaar van het ministerie van Verkeer en Waterstaat. A n t w o o r d van de minister van Verkeer en Waterstaat op vraag 8 Mede als gevolg van de resultaten van het rapport van de Algemene Rekenkamer is binnen het ministerie van Verkeer en Waterstaat een werkgroep belast met een onderzoek naar de meest wenselijke vorm van toezicht op beveiliging van gegevensbestanden in geautomatiseerde systemen. De mate van centrale sturing zal daarbij zeker aan de orde komen. A n t w o o r d van de minister van Landbouw en Visserij op vraag 9 Zoals aangegeven in de reactie aan de Algemene Rekenkamer van 28 maart 1988 zal binnen het Ministerie van Landbouw en Visserij de beveiliging van gegevens in geautomatiseerde systemen bij voortduring de
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
5
aandacht genieten. In dit kader is inmiddels besloten tot de aanstelling van een beveiligingsambtenaar. Conform de voorschriften terzake worden de centrale richtlijnen op het gebied van de beveiliging van gegevens in geautomatiseerde systemen thans nader ingevuld en geformaliseerd. Afweging van risico's en maatregelen op decentraal niveau zijn in dit verband mede aan de orde. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 10 Het beleid van het kabinet is er op gericht dat iedere minister eerst verantwoordelijk is voor de informatievoorziening binnen zijn of haar departement en dus ook voor de beveiliging daarvan. Dit betekent dat iedere minister zelf dient te bepalen op welke wijze hij of zij die beveiliging wenst vorm te geven en wenst toe te zien op de naleving van het departementale beveiligingsbeleid. Het zal van de feitelijke situatie afhangen of een departementbrede risico-afweging noodzakelijk en ook haalbaar is. Indien de departementale diensten op een dermate grote afstand van elkaar functioneren dat er geen informatische relaties zijn te onderkennen moet een departementbrede risico-afweging minder zinvol worden geacht en kan deze beter op een lager niveau plaatsvinden. In het departementale beveiligingsbeleid kunnen hiervoor, evenals voor andere aangelegenheden, interne richtlijnen worden gegeven. In het algemeen ben ik overigens de mening toegedaan dat het uitvoeren van risico-afwegingen een nuttig hulpmiddel is bij het bepalen van wat valt te noemen «zwakke plekken» in de informatievoorziening. De resultaten van deze afwegingen kunnen vervolgens worden gehanteerd bij het verder vormgeven van het beveiligingsbeleid van de organisatie-eenheid. Er dient echter wel voor te worden gewaakt dat het beveiligingsbeleid teveel als iets afzonderlijks wordt gezien. Het dient deel uit te maken van het algemene informatievoorzieningsbeleid van de organisatie-eenheid en er zijn samenhangen met onderwerpen als ontwerpmethodieken, systeemevaluatie (ex post en ex ante) en interne en externe controle ((EDP-)auditing); onderwerpen die gericht zijn op de kwaliteitsbeheersing van de informatievoorziening in het algemeen. Wat betreft deze kwaliteitsbeheersing heeft de Centrale Commissie Overheidsinformatievoorziening (CCOI) het voornemen op korte termijn een advies aan mij uit te brengen. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 11 Door mij is eind 1987 opdracht gegeven tot het uitvoeren van een onderzoek naar de beveiliging van de openbare informatievoorziening. Na consultatie van de departementen over het doel en de richting van het onderzoek en na de gebruikelijke offerte-ronde is de opdracht medio 1988 verstrekt aan een externe onderzoeksinstantie. Het onderzoeksvoorstel is ter kennisneming bijgevoegd. Het onderzoek wordt begeleid door een kleine interdepartementaal samengestelde begeleidingsgroep van waaruit contacten worden onderhouden met organisatie-eenheden en overlegverbanden die zich richten op (deelaspecten van de beveiliging van) de openbare informatievoorziening. De conclusies en aanbevelingen van de Algemene Rekenkamer zijn zodra deze bekend waren door mij aan de onderzoekers ter hand gesteld met de opdracht hiermee rekening te houden bij de eerste aanzet voor een concept-beleidsplan. De invalshoek die is gekozen voor het onderzoek is de kwetsbaarheid van de maatschappij als gevolg van bedreigingen waaraan informatiesystemen, en dan vooral die bij de overheid, bloot staan. Het is de verwachting dat het onderzoek begin juni 1989 zal zijn afgerond en de
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
6
eerste aanzet zal leveren voor een concept-beleidsplan. Vervolgens zal op basis van deze resultaten door mij verder vorm en inhoud worden gegeven aan een beleidsplan waarna ik het in het Kabinet zal brengen ter bespreking en besluitvorming. Het lijkt mij goed dat de Tweede Kamer wordt geïnformeerd over de uiteindelijke beleidsconclusies van het Kabinet. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 12 Allereerst dient te worden opgemerkt dat, zoals in de Beleidsnotitie Informatievoorziening Openbare Sector (BIOS) reeds werd geconstateerd, de Aanwijzingen van de minister-president door de technologische ontwikkelingen inmiddels enigszins achterhaald zijn. Waar in de aanwijzingen nog wordt gesproken van G-gehelen (zoals fysiek goed afschermbare rekencentra) hebben technologische ontwikkelingen als datacommunicatie en de opkomst van kleine computers er inmiddels toe geleid dat steeds meer taken op het gebied van de informatievoorziening buiten die G-gehele voorkomen. Door mij is dan ook opdracht gegeven in het voornoemde onderzoek tevens aandacht te besteden aan de noodzaak de aanwijzingen bij te stellen. Het kabinetsbeleid dat is gericht op zelfbeheer, deregulering, decentralisatie, etc. maakt het de verantwoordelijkheid van ieder departement te bepalen op welke wijze men invulling geeft aan de Aanwijzingen van de minister-president. Hierbij dient niet uit het oog te worden verloren dat de aanwijzingen een zeer algemeen karakter hebben en deze door ieder departement dienen te worden toegespitst op de eigen situatie. Dit kan ertoe leiden dat er grote verschillen bestaan tussen departementen maar ook tussen eenheden binnen een departement met betrekking tot de wijze waarop invulling is gegeven aan de aanwijzingen. Het past mij niet om hierop corrigerende acties te ondernemen, nog afgezien van het feit dat ik niet beschik over de voor deze acties benodigde middelen. Zoals overigens uit de reacties van een aantal van de betrokken bewindslieden blijkt worden er op de departementen wel maatregelen genomen of voorbereid om een verdere invulling te geven aan de aanwijzingen. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 13 Voorop dient te worden gesteld dat de waarde van een betrouwbaarheidsonderzoek beperkt is. Het kan geen absolute garantie bieden. Het is een momentopname, waarmee voor een beperkte periode een inschatting van de betrouwbaarheid kan worden gegeven. Het zou slechts kunnen dienen als sluitstuk op de beveiliging in een omgeving, waar met behulp van organisatorische en materiële maatregelen het risico onvoldoende kan worden afgedekt. Minimalisering van risico's zal in de eerste plaats bereikt moeten worden door het creëren van functiescheidingen. Van groot belang is in dit verband de fysieke en organisatorische scheiding tussen systeembeheer (systeemontwikkeling en -onderhoud) en informatiebeheer (de activiteiten m.b.t. het gebruik van het systeem). Indien gewenst kan dit verder worden doorgevoerd door bijvoorbeeld binnen de systeemontwikkeling nog een scheiding aan te brengen tussen systeemontwerp en systeembouw. Wat betreft de door U gevraagde hoeveelheid ambtenaren in geding bij de conclusie van de Algemene Rekenkamer wil in de eerste plaats opmerken dat in principe natuurlijk ten aanzien van alle personeelsleden risico kan worden gelopen. Dit geldt niet alleen voor de overheid, maar ook voor de particuliere sector en niet alleen voor automatiseringspersoneel, maar voor al het personeel. Hiermee wil ik overigens niet ontkennen dat zich met betrekking tot automatiseringsfuncties bijzondere
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
7
risico's kunnen voordoen. Niet voor niets worden in de Aanwijzingen van de minister-president richtlijnen gegeven met betrekking tot dit personeel en wordt dit onderwerp betrokken bij het onderzoek dat thans in mijn opdracht wordt uitgevoerd. Op dit moment is nog niet te zeggen om hoeveel functies het in deze sector zou kunnen gaan. De bijzondere voorziening in de vorm van een vertrouwensfunctie kan slechts worden getroffen, indien de veiligheid van de Staat, dan wel een daarmee vergelijkbaar gewichtig belang in het geding is. Dit laatste is onder meer het geval, indien sprake is van een onderdeel van de overheid of van het bedrijfsleven, dat van vitaal belang is voor de instandhouding van het maatschappelijk leven. Tot op heden ben ik er als minister van Binnenlandse Zaken in één geval toe over gegaan een automatiseringsorganisatie van vitaal belang te verklaren in de hiergenoemde zin. Het betreft het Rijks Computercentrum, alwaar dan ook daadwerkelijk circa 180 vertrouwensfuncties zijn gecreëerd in verband met het vitale karakter. Naar mijn mening dient er rekening mee te worden gehouden dat één en ander zich in de toekomst meer zal voordoen. Ik heb echter het vaste voornemen, overeenkomstig het meermalen uitgesproken regeringsbeleid, ook in de automatiseringssector het aantal vertrouwensfuncties bij de overheid tot het strikt noodzakelijke te beperken. Ik ga ervan uit dat een eventuele toename een fractie zal bedragen van het huidige en toekomstige aantal vertrouwensfuncties, waarover ik de Kamer onlangs per brief heb geïnformeerd. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 14 Zoals aan de Algemene Rekenkamer medegedeeld en overigens ook verwoord in de Beleidsnotitie Informatievoorziening Openbare Sector (BIOS) heb ik het voornemen nog dit jaar een onderzoek te doen uitvoeren naar de noodzaak van en de mogelijkheden om te komen tot een uitwijkregeling voor kritische informatiesystemen. Met de aanvang van dit onderzoek wil ik echter wachten totdat de resultaten van het meer algemene onderzoek dat thans in mijn opdracht wordt uitgevoerd bekend zijn, hetgeen naar verwachting begin juni 1989 het geval zal zijn. Op deze wijze wordt een goede aansluiting tussen beide onderzoeken bereikt zonder dat overlappingen kunnen ontstaan. Ik heb het voornemen om na afronding van het onderzoek naar de noodzaak van en mogelijkheden om te komen tot een uitwijkregeling voor kritische informatiesystemen, de resultaten daarvan ter bespreking en verdere besluitvorming in het Kabinet te brengen. Het lijkt mij goed alsdan de Tweede Kamer te informeren over de beleidsconclusies. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 15 Ik heb het voornemen om over het eventueel uitbreiden van de centrale (bovendepartementale) regelgeving terzake van computerbeveiliging tot alle soorten gegevens die de Algemene Rekenkamer in haar onderzoek heeft betrokken, een standpunt in te nemen nadat het onderzoek dat thans in mijn opdracht wordt uitgevoerd is afgerond. De reden daarvoor is dat dit onderzoek het fundament moet vormen voor een beleidsplan op basis waarvan in het Kabinet nadere besluitvorming kan plaatsvinden. Het lijkt mij niet aan te bevelen hier één aspect van beveiliging uit te lichten en dat met voorrang te behandelen, dan zou de samenhang verloren gaan. Overigens is het wel zo dat zowel bij de verdere uitwerking van het,interdepartementale programma voor de documentaire informatievoorziening als bij de interdepartementale personeelsinformatievoorziening ook aandacht wordt geschonken aan beveiliging. Ten aanzien van de financiële administratie heeft de minister van
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
8
Financiën mij laten weten dat in het concept van de regeling «departementale begrotingsadministratie» een passage is opgenomen die ministers voorschrijft dat zij moeten zorgen voor een adequate beveiliging van geautomatiseerde informatiesystemen op financieel gebied. Deze concept-regeling is gebaseerd op de Comptabiliteitswet en is op 3 februari 1989 voor advies toegezonden aan de Algemene Rekenkamer. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 16 Binnen de zeer beperkte middelen die mij als coördinerend bewindsman ter beschikking staan heb ik in 1988 een half mensjaar en f 200 000 vrijgemaakt voor het algemene beleid op het gebied van beveiliging. Deze financiële middelen zijn volledig aangewend ten behoeve van het thans lopende onderzoek. Voor 1989 zijn door mij f 270 000 en wederom een half mensjaar vrijgemaakt voor deze bovendepartementale beveiligingstaak. Bij de begrotingsvoorbereiding voor 1990 zal worden bekeken in hoeverre de inzet van menskracht en andere middelen kan worden uitgebreid. Daarnaast is de beveiliging van de informatievoorziening vanuit mijn departement onder meer aan de orde in het overleg van de departementale O&l-hoofden Computercentra. Tevens heeft in het voorjaar van 1989 een congres plaatsgevonden getiteld «Gegevensbescherming een managementvraagstuk», dat mede was georganiseerd door het Rijks Computercentrum. Ook is beveiliging aan de orde gesteld op de workshop Kwaliteitsbeheersing die op instigatie van de Centrale Commissie Overheidsinformatievoorziening was georganiseerd. A n t w o o r d van de minister van Binnenlandse Zaken op vraag 17 Gelet op het Kabinetsbeleid dat is gericht op zelfbeheer en deregulering ligt het op dit moment voor mij niet in de rede een inspectie voor de beveiliging van de openbare informatievoorziening in te richten. Daarvoor ontbreken mij overigens ook de benodigde middelen. Ik geef er de voorkeur aan dat de verantwoordelijkheid voor de beveiliging van informatiesystemen door of namens de verantwoordelijke minister wordt neergelegd waar deze het beste kan worden neergelegd, namelijk bij de beheerder van een systeem. Een eventuele inspectie of toetsing kan dan ook het beste worden uitgevoerd door of namens de verantwoordelijke minister. Wel ben ik van mening dat het in bepaalde specifieke gevallen nuttig kan zijn op bovendepartementaal niveau bepaalde activiteiten te ondernemen. Voorbeeld daarvan zijn de Aanwijzingen van de minister-president en het onderzoek dat thans in mijn opdracht wordt uitgevoerd en dat dient uit te monden in een algemeen beveiligingsbeleid voor de overheid. Daarnaast en aanvullend worden er momenteel door mij activiteiten ondernomen die zijn gericht op het verbeteren van de openbare informatievoorziening als zodanig. In dit verband kunnen worden genoemd de contra-expertise, als voorgesteld in de Beleidsnotitie Informatievoorziening Openbare Sector en opgenomen in de schets van het Besluit IVR-1989 en de evaluatie van informatiesystemen. Voor beide onderwerpen zullen door mij aanbevelingen worden uitgebracht waarin ook aandacht zal worden besteed aan beveiligingsaspecten.
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
9
Bijlage bij het antwoord op vraag 11 Onderzoeksvoorstel Inleiding De openbare sector wordt in toenemende mate afhankelijk van de geautomatiseerde informatievoorziening bij de uitvoering van haar taken. De oorzaken daarvan is dat bij bijna alle activiteiten gebruik wordt gemaakt van computers en dat computertoepassingen steeds meer samenhang zijn gaan vertonen. Hierdoor is het noodzakelijk ook steeds meer aandacht te besteden aan de beveiliging van de gebruikte geautomatiseerde gegevensverwerkende systemen en de zich daarin bevindende gegevens, tegen fouten, storingen, oneigenlijk gebruik, misbruik, sabotage e.d. Beveiliging Bij beveiliging gaat het om het waarborgen van de continuïteit van het verwerkingsproces en om het tegengaan van: - menselijke fouten die zich kunnen voordoen bij het bedienen van apparatuur en het ontwikkelen van programmatuur; - sabotage en diefstal (waaronder het ongeautoriseerd invoeren, wijzigen en verwijderen van gegevens); - technische storingen in de apparatuur, de stroomvoorziening of de eventueel gebruikte lijnen; - calamiteiten als brand, explosie, wateroverlast e.d. Onregelmatigheden in de voor de overheid essentiële processen van informatievoorziening kunnen niet alleen leiden tot aantasting van de persoonlijke levenssfeer (privacy) maar ook en vooral tot grote maatschappelijke en financieel-economische schades. Voorbeelden zijn: - het optreden van vertragingen of fouten bij het doen van uitkeringen van allerlei aard; en - het optreden van verstoringen in het rechtsverkeer op alle mogelijke gebieden. Beide kunnen worden veroorzaakt door het optreden van storingen in het verwerkingsproces of het ongeautoriseerd vernietigen of op andere wijze verloren gaan van bepaalde gegevens. Ontwikkelingen Dat de beveiliging van de informatievoorziening toenemende aandacht vraagt wordt versterkt door een aantal technische, maatschappelijke en organisatorische ontwikkelingen die de laatste jaren hebben plaatsgevonden en in de komende jaren steeds verder zullen doorwerken op de inrichting van de informatievoorziening. Deze ontwikkelingen kunnen als volgt kort worden weergegeven: - Door de toepassing van datacommunicatie is het informatiebeheer (d.w.z. de activiteiten bij het gebruik van het informatiesysteem) in belangrijke mate buiten de in informatievoorziening gespecialiseerde eenheden (de rekencentra) komen te liggen. Gebruikers brengen m.b.v. eindtoestellen op afstand gegevens in en onttrekken gegevens aan centraal aanwezige bestanden, zonder dat daar altijd voldoende controle op wordt uitgeoefend. De beveiliging (afscherming) van de transmissielijnen tegen het door onbevoegden aftappen van signalen en het tegengaan van het door onbevoegden binnendringen in bestanden (het zogenaamde «kraken» zijn hierbij aparte maar minstens zo grote problemen. - Het systeembeheer (d.w.z. het bouwen en onderhouden van infor-
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
10
matiesystemen) vindt eveneens gedeeltelijk plaats buiten de rekencentra. Hierbij kan worden gedacht aan gebruikers die zelf bepaalde programma's ontwikkelen m.b.v. zogenaamde vierde generatie talen en aan het uitbesteden van ontwikkelingswerk aan derden. Ook hierbij wordt vaak te weinig (geen) aandacht besteed aan beveiliging. - De verschuiving van zowel het systeembeheer als het informatiebeheer van de rekencentra naar de gebruiker wordt versterkt door het gedeconcentreerd opstellen van apparatuur (de afdelings- en persoonlijke computers). Ook dan is beveiliging vaak een punt dat onvoldoende aandacht krijgt. - Op één computer kunnen meerdere informatiesystemen t.b.v. meerdere organisatie-eenheden worden verwerkt die allemaal hun eigen afzonderlijke beveiligingseisen stellen en één informatiesysteem kan van meerdere computers bij meerdere autonome organisatie-eenheden gebruik maken. Dit maakt het beheer en de beveiliging gecompliceerder dan voorheen het geval was. Maatregelen ter beveiliging Tot voor kort waren de maatregelen die in het kader van beveiliging werden genomen voornamelijk gericht op de fysieke afscherming van de rekencentra en de daar opgestelde systemen tegen onbevoegden. De hierboven geschetste ontwikkelingen maken het echter noodzakelijk dat andere en extra maatregelen worden genomen. Hierbij kan worden gedacht aan het afschermen van datacommunicatielijnen tegen inbreuken van buitenaf en het uitoefenen van controle op de werkzaamheden die door gebruikers worden verricht. De te nemen maatregelen kunnen naar de volgende categorieën worden onderscheiden: - fysieke en organisatorische maatregelen (bijv. toegangscontrole en functiescheiding zowel bij systeembeheer als bij informatiebeheer); en - technische maatregelen (bijv. in de programmatuur en in manuale procedures in te bouwen controles). Fysieke en organisatorische maatregelen kunnen voor één organisatieeenheid van kracht zijn (bijv. afscherming van de computerruimte van een rekencentrum) of voor één informatiesysteem (bijv. organisatieeenheid A controleert wat door organisatie-eenheid B is uitgevoerd). Een vergelijkbaar onderscheid kan worden gemaakt bij de technische maatregelen. Deze kunnen van toepassing zijn op één computer en alle daarop verwerkte informatiesystemen (bijv. bepaalde voorziening in het besturingssysteem) of op één informatiesysteem en alle daarvoor gebruikte hulpmiddelen (bijv. in de toepassingsprogrammatuur ingebouwde controles). Probleemstelling De geschetste ontwikkelingen en het brede scala van mogelijk te nemen maatregelen maken het noodzakelijk dat inzicht wordt verkregen in de kwetsbaarheden van de informatievoorziening binnen de overheid, de mogelijke (maatschappelijke) gevolgen daarvan en de te nemen maatregelen. Om dit inzicht te verkrijgen heeft de minister van Binnenlandse Zaken, als algemeen coördinerend bewindsman voor de openbare informatievoorziening, besloten tot het laten uitvoeren van een inventariserend onderzoek en het opstellen van concept-beleidsplan.
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
11
1. Aanpak Het onderzoek naar beveiliging van de overheidsinformatievoorziening zou als volgt gefaseerd kunnen worden uitgevoerd: Fase 0: opzetten conceptueel kader Door middel van bestudering van bestaande literatuur dient een conceptueel kader voor het denken over beveiliging te worden opgezet. In dit conceptueel kader dient te worden aangegeven: - een taxonomie voor de verschillende soorten bedreigingen waaraan organisaties en informatiesystemen bloot staan; - de begrippen die dienen te worden gehanteerd bij het denken over beveiliging; - een indeling van soorten maatregelen. Fase 1: inventariseren van de stand van zaken Voor een aantal rijksrekencentra en een aantal belangrijke ontwikkelingsprojecten buiten deze rekencentra dient te worden nagegaan aan welke bedreigingen de in gebruik zijnde informatiesystemen bloot staan en wat daarvan de (maatschappelijke) gevolgen kunnen zijn. Het is hierbij niet de bedoeling dat een diepgaand onderzoek wordt uitgevoerd naar de stand van zaken m.b.t. beveiliging, hierover zijn rapporten beschikbaar die aan de onderzoeker ter hand zullen worden gesteld. De doelstelling van dit deel van het onderzoek is vooral het verkrijgen van een globaal inzicht in de kwetsbaarheid van de overheidsinformatievoorziening en de (maatschappelijke) gevolgen daarvan. Door de onderzoeker dient tevens te worden aangegeven in hoeverre de thans binnen de Rijksdienst geldende richtlijnen nog voldoen gezien de onder «Ontwikkelingen» geschetste veranderingen. Het gaat hierbij met name om de volgende richtlijnen: - het voorschrift inzake de beveiliging van gerubriceerde gegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid (besluit van de ministerraad van 25 maart 1980); - de aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid (besluit van de ministerraad van 16 juli 1982). Hierbij dient ook aandacht te worden besteed aan eventueel te verwachten effecten van de wet op de persoonsregistraties. Fase 2: Opstellen concept-beleidsplan Op basis van de in fase 1 onderkende kwetsbaarheden en de mogelijke (maatschappelijke) gevolgen daarvan dient een conceptbeleidsplan te worden opgesteld waarin dit wordt aangegeven. Vervolgens dient te worden aangegeven welke maatregelen kunnen worden genomen door de coördinerend bewindsman voor de openbare informatievoorziening, de rekencentra en andere organisatie-eenheden betrokken bij de opzet en exploitatie van informatiesystemen, om deze kwetsbaarheden weg te nemen. Tevens dient te worden aangegeven op welke wijze deze maatregelen kunnen worden gerealiseerd. Gezien de strekking van het concept-beleidsplan dienen de maatregelen die daarin worden aangegeven algemeen toepasbaar te zijn, uitwerking kan plaatsvinden op grond van een goedgekeurd beleidsplan. Wel dient het concept-beleidsplan voor de reeds van kracht zijnde aanwijzingen en het voorschrift (als genoemd onder fase 1) aan te geven of deze dienen te worden aangepast aan veranderde omstandigheden en zo ja, op welke wijze. Ook dient te worden aangegeven of aanvullende richtlijnen noodzakelijk zijn en welke vorm (aanbeveling, bindend voorschrift) en inhoud deze dienen te hebben.
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
12
Tenslotte dient te worden nagegaan of het wenselijk is dat tot een ondersteunend bureau voor de beveiliging van de overheidsinformatievoorziening wordt gekomen en welke taken (bijv. bijhouding van richtlijnen en controle op de toepassing daarvan) en vorm dit bureau dan dient te hebben. 2. Organisatie van het onderzoek Het onderzoek wordt uitgevoerd door (een) medewerker(s) van de in te zetten onderzoeksinstantie en eventueel enkele medewerkers van de onderwerp van onderzoek zijnde rijksrekencentra en projecten. De eerste verantwoordelijkheid berust bij de onderzoeksinstantie. 3. Begeleiding van het onderzoek Ten behoeve van de sturing van het onderzoek wordt een begeleidingsgroep gevormd uit medewerkers van DGOB/DIBI, uit de kring van de rijksrekencentra en uit de Stuurgroep Voorschriften Bescherming en Beveiliging Geautomatiseerde Gegevensverwerkende Systemen bij de Rijksoverheid, ook wel aangeduid als de Stuurgroep Voorschriften Computer Beveiliging (SVCB). De projectleiding overlegt met de begeleidingsgroep over de aanpak, bijstelling en richting van het onderzoek. 4. Kosten van het onderzoek De verdeling van de kosten van het onderzoek is als volgt: - de medewerkende overheidsinstanties: de kosten en uitgaven van de eigen medewerkers; - DGOB/DIBI: tevens voor de kosten van de externe onderzoeksinstantie. Als inspanning voor de onderzoeksinstanties wordt gedacht aan: - voor fase 0 één manmaand; - voorfase 1 twee manmaanden; en, - voor fase 2 twee manmaanden. 5. Tijdsplanning In overleg met de projectleiding zal de doorlooptijd worden ingevuld. Het streven zal erop gericht dienen te zijn dat de eindrapportage begin vierde kwartaal van 1988 zal zijn vastgesteld. 6. Algemene voorwaarden De onderzoeksopdracht zal worden opgedragen onder de «Algemene voorwaarden voor overeenkomsten tussen de Rijksoverheid en particuliere organisatie- en/of automatiseringsadviesbureaus (AVOA)», indien vergunning plaatsvindt aan een particulier onderzoekbureau. Begripsomschrijvingen Teneinde aansluiting te vinden bij de bij de Rijksoverheid gebruikelijke termen wordt het op prijs gesteld als in de rapportage de volgende begrippen worden gehanteerd: Beveiliging: de technische en organisatorische maatregelen die nodig zijn om een informatiesysteem te beschermen tegen opzettelijke en niet opzettelijke wijziging, vernietiging of openbaarmaking van informatie. Centralisatie/decentralisatie: de mate waarin activiteiten vanuit een
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
13
kleiner of groter aantal organisatorische punten (organen, personen) worden bestuurd. Concentratie/deconcentratie: de mate waarin activiteiten op een kleiner of groter aantal geografisch gespreide plaatsen worden uitgevoerd. Informatiebeheer: het gebruiken en exploiteren van een informatiesysteem inclusief het uitoefenen van de gebruiksbevoegdheden m.b.t. de informatie (zie ook systeembeheer). Systeembeheer: het tot stand brengen, verwerven, in stand houden en uitbreiden van een informatiesysteem inclusief het opstellen en onderhouden van de procedures voor het informatiebeheer (zie ook informatiebeheer). Informatiesysteem: een geheel van gegevensverzamelingen, van programmatuur met bijbehorende opslag-, verwerkings- en communicatie apparatuur, en van personen met de procedures volgens welke zij werken. Rekencentrum: algemene aanduiding voor elke organisatie-eenheid die is gespecialiseerd in het ontwerpen of het exploiteren van informatiesystemen (maar die niet noodzakelijkerwijze alle fasen uitvoert van alle informatiesystemen waarbij zij is betrokken).
Tweede Kamer, vergaderjaar 1988-1989, 20 904, nr. 5
14
