image

Rekenkamer: overheid heeft informatiebeveiliging niet op orde

woensdag 15 mei 2019, 14:10 door Redactie, 8 reacties

De rijksoverheid heeft de informatiebeveiliging nog steeds niet op orde. Zo zijn beveiligingsmaatregelen die voor de overheid verplicht zijn gesteld, bij meerdere ministerie niet genomen. Dat laat de Rekenkamer vandaag weten. Bij 11 organisaties van de rijksoverheid signaleert de Algemene Rekenkamer grote problemen in de informatiebeveiliging. Een verslechtering ten opzichte van vorig jaar.

Het gaat bijvoorbeeld om het ministerie van Algemene Zaken. Zo heeft het ministerie onvoldoende voortgang geboekt met het formaliseren en documenteren van het informatiebeveiligingsbeleid. Daarnaast zijn drie van de vier onderzochte aandachtsgebieden van de Baseline Informatiebeveiliging Rijksdienst in onvoldoende mate uitgerold.

Ook de ministeries van Binnenlandse Zaken en Justitie en Veiligheid voldoen nog niet op alle onderdelen aan de baseline. De baseline biedt afspraken om gegevens binnen de Rijksoverheid op het juiste beveiligingsniveau uit te wisselen. Het gaat dan bijvoorbeeld om het toepassen van e-mailstandaarden zoals STARTTLS.

Een ander ministerie waar de informatiebeveiliging volgens de Rekenkamer niet op orde is, is het ministerie van Onderwijs. "De minister van OCW heeft geen visie en geen vastgesteld beleid voor informatiebeveiliging. Op dit moment loopt de minister van OCW het risico verrast te worden door ongewenste ontwikkelingen op het gebied van informatiebeveiliging binnen haar eigen organisatie", zo laat de Rekenkamer weten.

Accreditaties

Bij het ministerie van Defensie constateert de Rekenkamer dat er nog een stap moet worden gezet om de accreditaties van kritieke systemen af te ronden. Het gaat hier om machtigingen en goedkeuringen om kritieke systemen te mogen gebruiken. Het ministerie werd hier in 2017 door de Rekenkamer op gewezen. De toen gedane aanbevelingen over de accreditering zijn vorig jaar nog niet afgerond. Daarom is er volgens de rekenkamer sprake van een "onvolkomenheid op informatiebeveiliging". Het ministerie verwacht de accreditering dit jaar af te ronden.

Ook bij het ministerie van Buitenlandse Zaken heeft de Rekenkamer een onvolkomenheid in de informatiebeveiliging vastgesteld. Het gaat dan met name om accreditaties van informatiesystemen, waarmee wordt aangegeven of het systeem doet wat het moet doen. Deze accreditaties zijn onder meer nodig voor het digitaal uitwisselen van informatie met de Europese Unie en de NAVO. Het risico hierbij is dat de minister van Buitenlandse Zaken de noodzakelijke EU- en NAVO-informatie niet meer digitaal kan ontvangen, zo waarschuwt de Rekenkamer.

Om de informatiebeveiliging bij de overheid te verbeteren kijkt de Rekenkamer naar de minister van Binnenlandse Zaken. Zij zou de mogelijkheid moeten krijgen om informatiebeveiliging van andere ministeries te agenderen en te bespreken in de ministerraad. "Dit is van belang om op het hoogste niveau informatiebeveiliging bespreekbaar te maken en zo te kunnen verbeteren", aldus de Rekenkamer.

Reacties (8)
15-05-2019, 16:12 door [Account Verwijderd]
Ze kunnen karma4 inhuren, die is expert op het gebied van informatieveiligheid.
15-05-2019, 16:35 door Ron625
Door Kili Manjaro: Ze kunnen karma4 inhuren, die is expert op het gebied van informatieveiligheid.
Maar dan moeten ze wel volledig met Microsoftware werken, zodra er een Linux server tussen staat, is deze door Karma4 niet meer te beveiligen :-)
15-05-2019, 20:51 door karma4 - Bijgewerkt: 15-05-2019, 20:52
Door Ron625:
Door Kili Manjaro: Ze kunnen karma4 inhuren, die is expert op het gebied van informatieveiligheid.
Maar dan moeten ze wel volledig met Microsoftware werken, zodra er een Linux server tussen staat, is deze door Karma4 niet meer te beveiligen :-)

Ik heb niets met microsoft, wel iets tegen evangelisten die het informatiebeveiligingsbeleis saboteren.
Zet er oss en linux evangelisten aan het security by design is met het geloof verdwenen.
Grappig dat jullie zo alert reageren op dat woord. Ik zie dat de open standaarden Nora niet opgevolgd worden. Daar zou iemand zich druk over moeten maken in plaats zich met merk antiverslaving bezig te houden.

Intussen staat het bit ter discussie.
15-05-2019, 22:01 door Anoniem
En dan komt nu de BIO als opvolger van de BIR. Gaat ook niet lukken.
16-05-2019, 07:41 door Anoniem
Door karma4:
Door Ron625:
Door Kili Manjaro: Ze kunnen karma4 inhuren, die is expert op het gebied van informatieveiligheid.
Maar dan moeten ze wel volledig met Microsoftware werken, zodra er een Linux server tussen staat, is deze door Karma4 niet meer te beveiligen :-)

Ik heb niets met microsoft, wel iets tegen evangelisten die het informatiebeveiligingsbeleis saboteren.
Zet er oss en linux evangelisten aan het security by design is met het geloof verdwenen.
Grappig dat jullie zo alert reageren op dat woord. Ik zie dat de open standaarden Nora niet opgevolgd worden. Daar zou iemand zich druk over moeten maken in plaats zich met merk antiverslaving bezig te houden.

Intussen staat het bit ter discussie.

<OFF TOPIC>
Tja, gezien de reactie richting @karma4 zijn er hier mensen die niet weten wat informatiebeveiligingsbeleid (die het woord soms niet eens goed weten te schrijven) inhoudt.
</OFF TOPIC>

De grap is natuurlijk dat dit niet alleen voor de overheid geldt. Het is bij de overheid alleen volledig inzichtelijk als er iets misgaat/niet goed ingeregeld is.
16-05-2019, 10:39 door Ron625
Kijk naar het UWV, die valt ook onder het rijk.
Daarvan wordt bijna dagelijks een datalek gerapporteerd, dus logisch dat e.e.a. niet goed is.

@Karma4: het was bedoeld als grapje, mocht ik je beledigd hebben, dan mijn excuus.
16-05-2019, 10:39 door Ron625 - Bijgewerkt: 16-05-2019, 10:40
Was dubbel.
16-05-2019, 19:53 door karma4
Door Ron625: Kijk naar het UWV, die valt ook onder het rijk.
Daarvan wordt bijna dagelijks een datalek gerapporteerd, dus logisch dat e.e.a. niet goed is.

@Karma4: het was bedoeld als grapje, mocht ik je beledigd hebben, dan mijn excuus.
Geen probleem.
Ik heb mijn ergernissen uit het verleden van al die zaken die in de organisaties niet goed gingen.
Het went wel, de huid is erg dik geworden. Het went ook weer niet, dat je het fout ziet blijven gaan.
Menselijk gemotiveerd heet zoiets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.