'Softwarelicenties zijn nu een veiligheidskwestie'
Digitale dreigingen en nieuwe wetgeving dwingen overheden om een beter overzicht te krijgen van alle software die ze in huis hebben.
Een gesprek over softwarelicenties gaat al snel over hoeveel ze de overheid kosten, maar nog veel te weinig over digitale weerbaarheid. Dat stelt Olivier van der Post, senior beleidsmedewerker CIO Rijk. Volgens hem is er veel meer aandacht nodig voor het in kaart brengen van alle software en hardware waarover een overheid beschikt. Softwarelicenties zijn nu een veiligheidskwestie. En er moet nog ontzettend veel gebeuren.
Overzicht ontbreekt
‘Met de huidige digitale dreigingen, zoals staatshackers, moet je met één klik op de knop alle componenten van bijvoorbeeld Huawei of Kaspersky kunnen vinden,' zegt Olivier van der Post. 'Als er kwetsbaarheden in veelgebruikte software zijn, wil je meteen weten waar deze zich bevinden. Dat overzicht is er nu nog lang niet bij de overheid.’
Voor CIO Rijk probeert Van der Post daaraan bij te dragen. Zijn grootste uitdaging is het harmoniseren van de omgang met informatie over ict-middelen, aangezien de departementen vaak verschillende tools gebruiken om hun al hun ict-middelen, inclusief licenties, in kaart te brengen. Van der Post werkte daarom een visiedocument uit dat voor de gehele rijksoverheid geldt.
‘Ik zie het als een stip aan de horizon waar alle departementen van overheid qua beleid met softwarelicenties op termijn naartoe moeten’, aldus Van der Post. ‘Iets verplichten werkt vaak niet in overheidsland, in dit document schetsen we daarom stappen die departementen kunnen nemen om zich op hun eigen tempo goed voor te bereiden op nieuwe ontwikkelingen.’
Dubbele licenties
Het rijk heeft een gigantische hoeveelheid softwarelicenties. Veel ervan worden niet gebruikt, zegt hij. ‘Er is veel laaghangend fruit. We weten bijvoorbeeld niet hoeveel ambtenaren momenteel een ‘dubbel’ account hebben met meerdere softwarelicenties voor één programma. Wie bijvoorbeeld voor JenV werkt, krijgt een account met een eigen e-mailbox en applicaties.’ Volgens zijn schatting werkt zo’n 20 procent van alle rijksambtenaren echter voor meerdere ministeries, met meerdere licenties voor dezelfde programma’s. ‘Dit kun je oplossen met nieuwe manieren van inloggen en identiteitsmanagement.’
We weten niet hoeveel ambtenaren momenteel een ‘dubbel’ account hebben met meerdere softwarelicenties voor één programma.
Verouderde systemen
Meer grip op de enorme hoeveelheid aan IT-assets is ook nodig vanuit het oogpunt van veiligheid én omdat voorkomen moet worden dat de IT van de overheid uitvalt. Want volgens Van der Post is dit van levensbelang voor de verzameling verouderde overheidssystemen. ‘Het lifecyclemanagement is niet op orde. We werken met verouderde programmatuur. Nu gaat de overheid er vaak nog vanuit dat de leverancier wel zorgt voor updates en patches, maar wanneer een Java-softwarepakket geen updates krijgt of een IT-leverancier failliet gaat, dan werkt software niet meer.’
Het grote probleem is dat er geen of weinig geharmoniseerd inzicht is in wat de overheid in huis heeft aan ict, vertelt Van der Post. Er moet binnen de overheid gezamenlijk worden nagedacht over manieren om dit te verkrijgen, vindt hij. ‘Harmonisering van de informatie over ict-middelen was bij het rijk tot nu toe altijd lastig, juist omdat ieder departement zijn eigen werkwijze heeft. Het is nu zaak om alles op één lijn te krijgen. Zodat we centraal beleid kunnen maken en toepassen met dezelfde tools.’
Het grote probleem is dat er geen of weinig geharmoniseerd inzicht is in wat de overheid in huis heeft aan ict.
NIS2 vraagt om overzicht
Ondertussen dringt de de tijd. Niet alleen omdat er vele buitenlandse staatshackers aan de digitale sloten van Den Haag morrelen, ook omdat het rijk in een situatie zit waarin het door wetten ‘gedwongen’ wordt om alle software tot in detail in kaart te brengen. ‘NIS2 bonkt op de deur. Wanneer deze van kracht is, valt geen overzicht hebben niet uit te leggen.’ Van der Post wijst ook op de bijkomende verantwoordelijkheid om securitydata gestandaardiseerd met de hele informatieketen uit te wisselen. ‘Alleen op je eigen afdeling zitten gaat niet meer. Er is inzicht nodig over alle partijen waarmee je gegevens uitwisselt, dus ook alle toeleveranciers.’
Zonder geharmoniseerd inzicht is de kans dat de overheid op tijd aan cybersecuritywetgeving voldoet nihil, vreest Van der Post. Bovendien ontbreekt het aan mankracht om deze enorme klus uit te voeren. ‘Dat is ook de reden dat we met CIO Rijk voor een visie hebben gekozen en niet voor hard beleid. Zo kan iedere organisatie in zijn eigen tempo toch kleine stappen maken in de juiste richting.’
Gemiste kans
Het visiedocument zorgt er ook voor dat ambtenaren naar hun bestuur kunnen stappen met een verzoek om investeringen. Als dit gebeurt, verwacht Van der Post een grote impact. ‘Al in 2016 was ik hier al mee bezig voor JenV. Toen was al duidelijk dat het op een dag noodzaak was om alle software en hardware van de overheid in kaart te brengen. Vanuit kostenoogpunt zijn destijds andere keuzes gemaakt. Een enorme gemiste kans, blijkt nu.’ Dat digitale dreigingen zo heftig zouden worden, was bovendien ook al lang voorspeld. Ik baal ervan dat we nu moeten ‘puinruimen’, tegelijkertijd geeft het ook nieuwe energie om vanaf nu te voorkomen dat we in de toekomst opnieuw zwalken.’
Dit artikel verscheen eerder bij iBestuur.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.