Rekenkamer: overheid heeft informatiebeveiliging niet op orde
De rijksoverheid heeft de informatiebeveiliging nog steeds niet op orde. Zo zijn beveiligingsmaatregelen die voor de overheid verplicht zijn gesteld, bij meerdere ministerie niet genomen. Dat laat de Rekenkamer vandaag weten. Bij 11 organisaties van de rijksoverheid signaleert de Algemene Rekenkamer grote problemen in de informatiebeveiliging. Een verslechtering ten opzichte van vorig jaar.
Het gaat bijvoorbeeld om het ministerie van Algemene Zaken. Zo heeft het ministerie onvoldoende voortgang geboekt met het formaliseren en documenteren van het informatiebeveiligingsbeleid. Daarnaast zijn drie van de vier onderzochte aandachtsgebieden van de Baseline Informatiebeveiliging Rijksdienst in onvoldoende mate uitgerold.
Ook de ministeries van Binnenlandse Zaken en Justitie en Veiligheid voldoen nog niet op alle onderdelen aan de baseline. De baseline biedt afspraken om gegevens binnen de Rijksoverheid op het juiste beveiligingsniveau uit te wisselen. Het gaat dan bijvoorbeeld om het toepassen van e-mailstandaarden zoals STARTTLS.
Een ander ministerie waar de informatiebeveiliging volgens de Rekenkamer niet op orde is, is het ministerie van Onderwijs. "De minister van OCW heeft geen visie en geen vastgesteld beleid voor informatiebeveiliging. Op dit moment loopt de minister van OCW het risico verrast te worden door ongewenste ontwikkelingen op het gebied van informatiebeveiliging binnen haar eigen organisatie", zo laat de Rekenkamer weten.
Accreditaties
Bij het ministerie van Defensie constateert de Rekenkamer dat er nog een stap moet worden gezet om de accreditaties van kritieke systemen af te ronden. Het gaat hier om machtigingen en goedkeuringen om kritieke systemen te mogen gebruiken. Het ministerie werd hier in 2017 door de Rekenkamer op gewezen. De toen gedane aanbevelingen over de accreditering zijn vorig jaar nog niet afgerond. Daarom is er volgens de rekenkamer sprake van een "onvolkomenheid op informatiebeveiliging". Het ministerie verwacht de accreditering dit jaar af te ronden.
Ook bij het ministerie van Buitenlandse Zaken heeft de Rekenkamer een onvolkomenheid in de informatiebeveiliging vastgesteld. Het gaat dan met name om accreditaties van informatiesystemen, waarmee wordt aangegeven of het systeem doet wat het moet doen. Deze accreditaties zijn onder meer nodig voor het digitaal uitwisselen van informatie met de Europese Unie en de NAVO. Het risico hierbij is dat de minister van Buitenlandse Zaken de noodzakelijke EU- en NAVO-informatie niet meer digitaal kan ontvangen, zo waarschuwt de Rekenkamer.
Om de informatiebeveiliging bij de overheid te verbeteren kijkt de Rekenkamer naar de minister van Binnenlandse Zaken. Zij zou de mogelijkheid moeten krijgen om informatiebeveiliging van andere ministeries te agenderen en te bespreken in de ministerraad. "Dit is van belang om op het hoogste niveau informatiebeveiliging bespreekbaar te maken en zo te kunnen verbeteren", aldus de Rekenkamer.
Ik heb niets met microsoft, wel iets tegen evangelisten die het informatiebeveiligingsbeleis saboteren.
Zet er oss en linux evangelisten aan het security by design is met het geloof verdwenen.
Grappig dat jullie zo alert reageren op dat woord. Ik zie dat de open standaarden Nora niet opgevolgd worden. Daar zou iemand zich druk over moeten maken in plaats zich met merk antiverslaving bezig te houden.
Intussen staat het bit ter discussie.
Ik heb niets met microsoft, wel iets tegen evangelisten die het informatiebeveiligingsbeleis saboteren.
Zet er oss en linux evangelisten aan het security by design is met het geloof verdwenen.
Grappig dat jullie zo alert reageren op dat woord. Ik zie dat de open standaarden Nora niet opgevolgd worden. Daar zou iemand zich druk over moeten maken in plaats zich met merk antiverslaving bezig te houden.
Intussen staat het bit ter discussie.
<OFF TOPIC>
Tja, gezien de reactie richting @karma4 zijn er hier mensen die niet weten wat informatiebeveiligingsbeleid (die het woord soms niet eens goed weten te schrijven) inhoudt.
</OFF TOPIC>
De grap is natuurlijk dat dit niet alleen voor de overheid geldt. Het is bij de overheid alleen volledig inzichtelijk als er iets misgaat/niet goed ingeregeld is.
Daarvan wordt bijna dagelijks een datalek gerapporteerd, dus logisch dat e.e.a. niet goed is.
@Karma4: het was bedoeld als grapje, mocht ik je beledigd hebben, dan mijn excuus.
Daarvan wordt bijna dagelijks een datalek gerapporteerd, dus logisch dat e.e.a. niet goed is.
@Karma4: het was bedoeld als grapje, mocht ik je beledigd hebben, dan mijn excuus.
Ik heb mijn ergernissen uit het verleden van al die zaken die in de organisaties niet goed gingen.
Het went wel, de huid is erg dik geworden. Het went ook weer niet, dat je het fout ziet blijven gaan.
Menselijk gemotiveerd heet zoiets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
