IT-project Rijksvastgoedbedrijf schiet tekort, security grootste zorg

Het Adviescollege ICT (AcICT) heeft grote risico’s geconstateerd in het nieuw onderhoudsmanagementsysteem waar het Rijksvastgoedbedrijf aan werkt. Er zijn onder meer zorgen over de kwaliteit van het systeem en de beveiliging ervan, terwijl de deadline van het miljoenenproject nadert.

De IT-waakhond constateert in een advies dat het succes van het 21 miljoen euro kostende programma onzeker is, terwijl de streefdatum al op 1 juli 2024 is. De kwaliteit van het nieuwe systeem is op diverse vlakken nog onder de maat. De organisatie en leveranciers zijn daarnaast niet voorbereid op de nieuwe werkwijze die gepaard gaat met het nieuwe systeem. Het Rijksvastgoedbedrijf geeft bovendien te weinig sturing op doelen en eindbaten.Dat wordt duidelijk uit een advies dat deze week werd gepubliceerd.

Het nieuwe systeem lijkt onder meer niet te gaan voldoen aan enkele eisen op gebied van informatiebeveiliging. In eerste instantie was het de bedoeling dat het systeem zou voldoen aan de eisen van BBN3, waarmee bij het beschermen van vertrouwelijke informatie weerstand geboden moet worden tegen onder meer Advanced Persistant Threats (APT’s), die uitgaat van statelijke actoren en beroepscriminelen. Omdat dit niet haalbaar blijkt wordt er bij ingebruikname een lager beveiligingsniveau gehanteerd: BBN2. Dit wordt gebruikt wanneer bijvoorbeeld ambtenaren informatie of bijzondere persoonsgegevens met een verhoogd vertrouwelijkheidsniveau verwerken.

Beveiligingsniveau te laag  

Maar zelfs dat niveau dreigt in de huidige aanpak niet gehaald te worden, blijkt uit het advies. Er bestaan meerdere risico's. Het is bijvoorbeeld onduidelijk of er ook defensiedata gebruikt wordt in het systeem en hoe risico’s van mobiele apparaten van leveranciers worden verkleind. Deze risico’s voor de beveiliging zijn nu al urgent, omdat het overzetten van data naar de nieuwe omgeving al gestart is.

Ook het ontwikkelen van beveiligde leverancierstoegang wordt volgens AcICT onderschat, terwijl dit cruciaal is voor de ingebruikname. De infrastructuur voor de beoogde VPN-oplossing heeft vertraging opgelopen en moet nog getest worden. Ook is onzeker of alle achthonderd rijks leveranciers wel in staat zijn om deze VPN aan te sluiten. Alternatieven zijn er daarbij niet. Ook zijn er problemen met autorisatie. Het is mogelijk dat sommige gebruikers te ruime toegang krijgen in het systeem omdat de autorisatie-inrichting niet aansluit op nieuwe processen. Ook hier is nog geen plan voor ontwikkeld.

Kwaliteit van data ondermaats

Behalve securityzorgen zijn er nog een tal zorgen over de voorbereiding van eigen medewerkers en leveranciers. Ook kwaliteit van functionele testen blijft achter omdat gebruikers te weinig testkennis hebben en veelal op basis van aannames werken. De kwaliteit van het systeem is onvoldoende omdat de datakwaliteit laag is; er ontbreken veel basisgegevens die nodig zijn voor een correcte werking.

AcICT schrijft in het advies een flink aantal maatregelen voor die ervoor moeten zorgen dat de kwaliteit van het nieuwe onderhoudsmanagement aan de minimale kwaliteitseisen voldoet die nodig zijn bij de ingebruikname. Deze gaan onder meer over de kwaliteit van gegevens, het testen en informatiebeveiliging. “Tref zo snel mogelijk gerichte beveiligingsmaatregelen om vastgoedgegevens voldoende te beschermen op alle omgevingen bij ODC-Noord. Zorg dat gevoelige vastgoedgegevens niet op deze omgevingen worden geplaatst voordat deze maatregelen zijn getroffen”, aldus AcICT.