Veilig(heid)?

Geen uitspraak ten tijde van de ‘koude oorlog’ maar een essentieel onderwerp in de ontwikkeling van de elektronische overheid. De Algemene Inlichtingen en -veiligheidsdienst (AIVD) concludeert in zijn recent gepubliceerde ‘kwetsbaarheids analyse spionage’ dat we langzaam maar zeker moeten wennen aan het idee dat ook de e-overheid niet langer meer voorbij kan gaan aan nieuwe fenomenen als cybercrime en cyberwarfare. Deze ontwikkelingen kunnen op termijn het functioneren van de overheid bedreigen als daar nu niet adequaat op ingespeeld wordt. Ook in de realisatie van het Nationaal Uitvoeringsprogramma betere dienstverlening en e-overheid (NUP) zal aan het onderwerp veilig(heid) meer aandacht moeten worden besteed.

De AIVD stelt vast dat de Nederlandse overheid al dan niet gecentraliseerd beschikt over veel gegevens van burgers. Verschillende databanken waarin deze gegevens zijn vastgelegd, kunnen rekenen op belangstelling van buitenlandse inlichtingendiensten.

De Gemeentelijke Basis Administratie (GBA) komt hiervoor als grote gegevensverzameling zeker in aanmerking. GBA-gegevens kunnen informatie verschaffen over personen waarvoor belangstelling bestaat en hoe deze personen doeltreffend geïdentificeerd kunnen worden. Ook zijn deze gegevens privacygevoelig en dus kwetsbaar. Weglekken van deze informatie naar bijvoorbeeld buitenlandse mogendheden kan op termijn het vertrouwen van de burger in de (rijks)overheid ernstig aantasten en daarmee een bedreiging vormen voor de nationale veiligheid.

De toenemende risico’s ontstaan veelal in het kader van de e-overheid. De ontwikkeling van de e-overheid vraagt om steeds meer verbindingen tussen verschillende databestanden van overheidsorganisaties. Met behulp van deze verbindingen wordt steeds meer informatie tussen overheidsorganisaties uitgewisseld en gedeeld. Door het uitwisselen en delen van informatie neemt weliswaar de gebruiksvriendelijkheid voor overheden en burgers toe, maar het maakt deze informatie ook kwetsbaarder voor onbevoegden.

Er ontstaan namelijk meerdere ingangen om de beschikbare informatie te benaderen. Via het minst beveiligde onderdeel in die keten van overheidsorganisaties kan toegang worden verkregen tot gegevens die moeilijk direct benaderbaar zijn. Het hele netwerk is dus zo sterk als de zwakste schakel. Uit de met elkaar verbonden informatie is bovendien veel specifieke kennis te verkrijgen over individuen en organisaties. Juist de gecombineerde informatie kan daarmee voor derden waardevolle inzichten opleveren.

Volgens de inlichtingen- en veiligheidsdienst realiseren veel publieke en private organisaties zich onvoldoende wat de waarde van de informatie is waarover zij beschikken of toegang toe kunnen verschaffen. Het ontbreken van bewustzijn van deze ontwikkelingen leidt er toe dat de zwakste schakel in het netwerk zich vaak buiten het zicht van de eigenaar van de informatie bevindt.

De kwetsbaarheid is dan groter dan de eigenaar zou vermoeden op grond van de beveiliging op het eigen systeem. Het is dan ook niet verbazingwekkend dat de AIVD vaststelt dat het bewustzijn voor veiligheid actief versterkt moet gaan worden. Daarbij zijn gebruikers, de inrichting van gegevensstromen, databases en de gebruikte detectie van incidenten belangrijke aandachtspunten. Voor de betrouwbaarheid van de elektronische overheid is het dus noodzakelijk om nu actie te ondernemen. Helaas besteedt de verantwoordelijke staatssecretaris van Binnenlandse Zaken en

Koninkrijksrelaties (BZK), Ank Bijleveld, hier bij realisatie van het NUP (nog) geen aandacht aan. De staatssecretaris rept met geen woord over het onderwerp veiligheid in haar brief over de toekomst van het NUP naar aanleiding van het harde oordeel van de Gateway-review. Tijd dus om binnen het departement af te stemmen tussen de demissionaire minister (veiligheid) en de staatssecretaris (overheidsdienstverlening). Het zou een gemiste kans zijn om dit door de AIVD zeer urgente probleem nu niet aan te pakken.