Regering: cloud is onveilig en meldplicht ministeries

Opzienbarende uitspraken van staatsecretaris Ank Bijleveld van Binnenlandse Zaken over de veiligheid en beveiliging in ict.

"De overheid moet haar informatiesystemen beter beschermen. Staatssecretaris Ank Bijleveld (Binnenlandse Zaken) wil daarom dat de ICT-veiligheid periodiek wordt gecontroleerd. Ook bekijkt ze of het mogelijk is een wettelijke meldplicht in te voeren voor ICT-incidenten bij de rijksoverheid."

Dat berichtte het ANP over een congres over beveiliging van overheidsclub voor it-beveiliging Govcert. Die zet daarover werkelijks niets op haar eigen site, het zij zo.

Maar de toespraak van Bijleveld staat wel online bij haar ministerie, in het Engels. We lezen ten eerste:

"And then there is cloud-computing: cooperating and sharing information through the internet. It offers wonderful and promising possibilities but it is unprotected. Therefore it is unfit for private or confidential information and thus – at least for now - not suitable for official business, for local or national government."

Dat is warempel een nogal majeure uitspraak. Recent schreef onze Ron Tolido de column De cloud komt van links, een in mijn ogen onzinnige poging om een politieke richting te betrekken bij cloud computing. Dat is immers niet waar het om gaat.

Maar wat Ank Bijleveld nu roept namens Binnelandse Zaken (zelf heeft ze er weinig verstand van zegt ze immers eerlijk) raakt de kern van de zaak wel degelijk: kunnen we onze IT voor een belangrijk deel overbrengen naar webdiensten? Niet dus, vinden de beveiligers. Want het internet is volstrekt onveilig.

De Amerikaanse regering denkt daar heel anders over en begon al met de opzet van een centrum voor webdiensten samen met onder meer Google.

CIO moet beter opletten en melden

Maar in die betrekkelijk korte toespraak staat nog meer van belang, zoals dit de bekentenis dat de overheid onveilig bezig is met onze data: "People have to trust us with their information; they often have no other choice. We are therefore obliged to provide the optimal security. That means – in all honesty - that we have to do better than now."

En uiteindelijk zijn de chief information officers die de departementen tegenwoordig hebben, daarvoor verantwoordelijk: "All government departments have a CIO, a chief information officer. From them I expect a significant technical and organisational step forward. They have to build prominent security organisations for which patch management is a critical issue. And the advice and instructions of Govcert should be considered. We have to better; to reach higher, than we do now. Security must get a more prominent and permanent place in our organisation."
En heeft Binnenlandse Zaken er ook vertrouwen in dat de CIO's van ministeries zich van die taak zullen kwijten? Nee hoor, we moeten hen controleren en een wettelijke meldplicht instellen: "To ensure this I will propose periodic audits in this field as well as a legal obligation to report incidents."

Want, zegt Bijleveld, er zijn de afgelopen tijd te veel incidenten geweest en eigenlijk is het maar op het nippertje goed gegaan steeds: "This summer, here in the Netherlands, we witnessed several incidents that showed the vital importance of ICT-security."

(Dat Govcert mogen wij ook wel wat beter volgen overigens. Nu valt het oog op een boeiend stuk over TCP-kwetsbaarheden, dus in de internetverbindingen.)