Beveiliging informatie geen prioriteit bij Ministerie van Buitenlandse Zaken
Het Ministerie van Buitenlandse Zaken doet te weinig om de beveiliging op orde te brengen van de informatiesystemen die onder meer gebruikt worden voor diplomatenpost en documentenverkeer met de Europese Unie en de NAVO. Voor de Algemene Rekenkamer is de ernst en de hardnekkigheid van dit probleem reden om dit als een ernstige onvolkomenheid aan te merken.
Ewout Irrgang, collegelid Algemene Rekenkamer:
De Algemene Rekenkamer heeft onderzoek gedaan naar de informatiebeveiliging bij het ministerie van Buitenlandse Zaken. En we hebben vastgesteld dat de kwaliteit van die informatiebeveiliging al een aantal jaren tekort schiet. Het gaat om gevoelige informatie die wordt uitgewisseld binnen de Europese Unie, maar ook binnen de NAVO. En dit jaar hebben we de tekortkomingen in die informatiebeveiliging gekwalificeerd als een ernstige onvolkomenheid. Informatiebeveiliging heeft onvoldoende prioriteit bij het ministerie van Buitenlandse Zaken. Over dit geheel wordt ook een te positief beeld geschetst door de minister van Buitenlandse Zaken. Informatiebeveiliging bij het ministerie van Buitenlandse Zaken is belangrijk, omdat niet alleen criminele hackers zich toegang kunnen verschaffen tot gevoelige informatie, maar bijvoorbeeld ook medewerkers van geheime diensten van buitenlandse staten. Daarom moet de informatiebeveiliging bij het ministerie van Buitenlandse Zaken echt verbeteren.
In mei 2019 rapporteerde de Algemene Rekenkamer al dat de informatiebeveiliging van Buitenlandse Zaken onvoldoende was. Op 20 mei 2020 blijkt bij de publicatie van het verantwoordingsonderzoek dat dit ministerie de vorig jaar gedane aanbevelingen nog niet heeft afgerond. Bovendien voldoet het Ministerie van Buitenlandse Zaken voor het derde jaar op rij niet aan de regelgeving die voor alle ministeries voor informatiebeveiliging geldt. Verder stelt de Algemene Rekenkamer vast dat de minister de Tweede Kamer een erg positief beeld geeft van deze problematiek.
Eén van 11 gebruikte systemen volledig goedgekeurd
Vanuit het ministerie in Den Haag hebben de ruim 2.200 medewerkers contact met andere ministeries, buitenlandse ambassades en de 144 eigen ambassades en consulaten. Dat aantal neemt over de wereld toe door extra investeringen; er werken daar nog eens ruim 2.800 diplomaten en lokaal personeel. Het is voor dit ministerie een kerntaak om te overleggen met internationale partners. Met EU-instellingen, zoals de Europese Commissie, en met de Noord-Atlantische Verdragsorganisatie (NAVO) gebeurt dat intensief. Geregeld gaat het dan om het uitwisselen van vertrouwelijke informatie. In 2019 werkte het Ministerie van Buitenlandse Zaken met 11 informatiesystemen. Slechts 1 daarvan is volledig geaccrediteerd. Accreditatie is een vereiste van de EU of NAVO en behelst een machtiging en goedkeuring om een systeem (veilig) te mogen gebruiken.
Onderzoek toont omvang van probleem aan
In een brief van 9 december 2019 aan de Tweede Kamer schrijft de minister dat voor 4 gebruikte informatiesystemen een tijdelijke accreditatie is afgegeven en voor 6 aan afronding wordt gewerkt. De Algemene Rekenkamer stelt iets anders vast: voor 3 systemen is een tijdelijke accreditatie met een geldigheidsduur van 1 jaar afgegeven, 2 systemen zitten nog in een voorfase en voor 5 van de 11 gebruikte systemen bestaat helemaal geen geldige machtiging en goedkeuring. Een dergelijke volledige accreditatie is er maar voor 1 systeem.
In zijn Kamerbrief heeft de minister, zonder dit nader te specificeren, geschreven dat hij kan terugvallen op de traditionele manier van communiceren als het ministerie informatie van de EU en de NAVO niet meer digitaal zou kunnen ontvangen vanwege het uitblijven van accreditaties. Het erg positieve beeld dat de minister aan de Kamer schetst is illustratief voor het gebrek aan erkenning van het belang van goede informatiebeveiliging.
Aanvallen op overheidssystemen
Digitale verstoring, diefstal en lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie kunnen de rijksoverheid ernstig treffen, en ook burgers en bedrijven raken. Dat is vorig jaar onder meer gebleken toen criminele hackers aanvallen uitvoerden op de door de overheid veelgebruikte Citrix-systemen en gijzelsoftware plaatsten bij de Universiteit Maastricht. Van de rijksbreed werkende overheidsorganisaties heeft de helft de informatiebeveiliging niet op orde, zo stelt de Algemene Rekenkamer vast. Het Ministerie van Buitenlandse Zaken heeft op het gebied van informatiebeveiliging risico’s in de governance, de inrichting van de organisatie en op het terrein van risicomanagement. Accreditaties vallen onder risicomanagement. Het beleid voor informatiebeveiliging is bij dit ministerie niet op tijd geëvalueerd. Het is niet duidelijk wie op het gebied van informatiebeveiliging waarvoor verantwoordelijk is. Verder ontbreekt het aan een jaarplan waarin budget, bemensing en benodigdheden zijn vastgelegd.
Reactie minister en nawoord Rekenkamer
In reactie op deze bevindingen stelt de minister dat informatiebeveiliging essentieel is en er afgelopen jaar aan verbeteringen is gewerkt. De nieuwe aanbevelingen van de Rekenkamer onderschrijft de minister.
In haar nawoord geeft de Algemene Rekenkamer aan dat met deze ambitie de minister een bestuurlijk signaal geeft aan zijn departement dat verbetering van de informatiebeveiliging bij het Ministerie van Buitenlandse Zaken een prioriteit moet zijn.