Rijksoverheid belicht belang versterking van digitale weerbaarheid
De cybersecurity situatie anno 2021 in Nederland is ernstig zo staat te lezen in I-strategie Rijk 2021 – 2025. De adviezen aan de overheid over informatiebeveiliging zijn alarmerend en urgent. Incidenten die in het nieuws komen hebben ernstige gevolgen: zowel financieel als voor het vertrouwen in de overheid. De digitale weerbaarheid moet daarom sterker. “Digitale weerbaarheid gaat zeker ook over menselijk gedrag - en vraagt alleen al daarom bestuurlijke aandacht” aldus Emine Özyenici hoofddirecteur Bedrijfsvoering en CIO ministerie van Justitie en Veiligheid & portefeuillehouder Digitale weerbaarheid.
I-strategie Rijk 2021 – 2025 meldt het volgende over digitale weerbaarheid:
Het Cyber Security Beeld Nederland 2021 laat zien dat er acute dreiging is van statelijke en criminele actoren. Eerder signaleerde het CSBN dat de overheid achterloopt in de organisatie van digitale weerbaarheid. En ook de aanpak
van privacy is nog niet op orde. En dat terwijl digitalisering cruciaal is voor het behalen van de strategische en maatschappelijke doelstellingen van de rijksoverheid en hand in hand gaat met een goed en betrouwbaar functionerende informatievoorziening. De rijksoverheid móet een inhaalslag maken.
Strategisch belang
Dit alles maakt digitale weerbaarheid - waaronder informatiebeveiliging, cybersecurity en privacy - van strategisch belang. De rijksoverheid moet borgen dat (basis) informatie onder alle omstandigheden beschikbaar is: tijdig, correct en volledig en alleen toegankelijk voor de juiste personen. En als er onverhoopt iets misgaat, wordt dat snel opgemerkt en is het herstelbaar. Ook het sterk toenemende dreigingsniveau speelt een rol bij de digitale weerbaarheid. Burgers en bedrijven ondervinden aan den lijve welke impact cybercriminaliteit heeft.
De inlichtingendiensten waarschuwen daarbij specifiek voor de risico’s van geavanceerde bedreigers en cyberspionage die grote impact hebben op onze nationale en economische belangen. Deze gevaren verdwijnen niet, maar nemen juist toe en veranderen steeds. Digitale weerbaarheid is een dynamisch en nooit volledig afgerond proces; het vereist blijvende aandacht.
Ontwikkelingen
Soevereiniteit rijksoverheid en digitale monoculturen In een sterk verknoopte digitale omgeving is het van belang om zicht en zeggenschap te houden over gegevens, algoritmes, systemen en netwerken. Beïnvloeding door statelijke
actoren - niet zelden van buiten de Europese Economische Ruimte (EER) - vormt een risico voor de digitale soevereiniteit van de rijksoverheid. Onvoldoende verspreiding over dienstverleners is ook een risico; het aantal Nederlandse leveranciers van cryptomiddelen is nu bijvoorbeeld nog zeer beperkt, wat spreiding lastig maakt. We moeten waken voor grote afhankelijkheden in een digitale monocultuur, waar een kwetsbaarheid in één product een groot deel van de overheid en het bedrijfsleven kan raken. Voorbeelden zijn de Citrix-kwetsbaarheden (2020) en de achterdeur in SolarWinds Orion (2021). Het is belangrijk dat deze sourcing- en ketenrisico’s voldoende beheerst worden.
Flexibele werkomstandigheden
Medewerkers bepalen steeds meer zelf waar, wanneer en waarmee ze werken. De rijksoverheid stimuleert dat. Dit alles is door corona in een stroomversnelling geraakt. En dat verandert de wijze waarop we omgaan met privacy en informatiebeveiliging. Denk maar eens aan de inzet van eigen apparatuur en Wifi, videovergaderen met een kijkje in de keuken thuis (soms letterlijk!). Dit alles stelt bijvoorbeeld extra eisen aan authenticatie van personen, de context (apparatuur en locatie) waarin de informatie gebruikt wordt, en aandacht voor bewustwording daarbij. Tegelijkertijd moeten we oog blijven hebben voor de gebruiksvriendelijkheid van onze systemen.
Schaalbaarheid en wendbaarheid informatievoorziening en cloud
Aanschaf, inrichting en het in gebruik nemen van informatie - voorzieningen kost tijd. En onze bedrijfsvoering is vaker ingericht met het oog op zorgvuldigheid dan vanuit het perspectief van wendbaarheid. Die wendbaarheid en ook schaalbaarheid zijn voor de informatievoorziening wel noodzakelijk - bijvoorbeeld voor pilots en plotselinge extra taken. We maken daarvoor steeds vaker gebruik van clouddiensten die wel wendbaar en schaalbaar zijn. De grote ITbedrijven bedienen hun klanten dan ook het liefst vanuit de cloud. Verschillende departementen zetten al stappen op dit gebied. Werken in de cloud stelt weer andere eisen aan digitale weerbaarheid dan het ‘klassieke’ on-premise-concept.
Snelle technologische ontwikkelingen
De rijksoverheid past meer dynamische en kort-cyclische ontwikkelaanpakken toe voor IV en ICT. Vaak geeft dat wrijving met de weinig flexibele en monolithische kaders en goedkeuringsprocessen. Daardoor bevatten die voorzieningen regelmatig kwetsbaarheden of ze hebben niet het juiste goedkeuringstraject doorlopen. Daarbij moeten we rekening houden met de snelle ontwikkelingen rond quantum computing: daarvoor is actualisering van kaders en goedkeuringsprocessen noodzakelijk.
Digitale slagkracht op orde
De Nederlandse Cybersecurity Agenda (NCSA) van het Kabinet vormt sinds 2018 de basis van de Nederlandse aanpak van cybersecurity. Ambitie is om de digitale slagkracht op orde te brengen. Hierin wordt de overheid opgeroepen om de cybersecurity van de eigen processen op orde te houden en als launching customer het goede voorbeeld te geven.
Lees verder alle details op I-strategie Rijk 2021 – 2025.
