Internetveiligheid binnen de overheid? Als het maar niets kost

0

‘Beveiligingslek bij mailservers Tweede Kamer’, we lezen het momenteel overal terug. De security van de e-mailsystemen binnen de Tweede Kamer is ernstig nalatig en kan verstrekkende gevolgen hebben. Zo zou een journalist van Follow the Money de mailservers van de Tweede Kamer gehackt hebben en ingelogd zijn.

Echter blijkt achteraf dat het slechts om het ontbreken van een SPF-record gaat. Nee, dit is niet netjes, maar ook zeker geen halskwestie. Laat staan dat er zorgwekkende politieke consequenties aan vastzitten. Immers, de implementatiegraad van SPF staat wereldwijd op ongeveer 50 procent. Veel lawaai om niets dus. Toch heeft dit me aan het denken gezet, want hoe zit het dan met het gebruik van het ‘pas toe of leg uit’-beleid van Forum Standaardisatie binnen de overheid?

Omzeiling van ‘pas toe of leg uit’-protocollen

Dit beleid met open standaarden moet voor een veilig en toekomstbestendig internet zorgen. De implementatie van SPF maakt hier ook onderdeel van uit. Echter wordt dit beleid slechts door overheidsorganisaties uitgevraagd die een ICT-aanschaf doen van 50.000 euro of meer. Logischerwijs zal het merendeel van de mailtoepassingen deze waarde niet halen. Digitale veiligheid is dus wel belangrijk voor de overheid, maar niet wanneer het goedkope systemen betreft. Dat is vreemd en zorgwekkend, want ook over de ‘goedkope’ systemen lopen datastromen met een groot economisch of maatschappelijk belang. En hebben we het nog niet eens over de privacy van burgers die gepaard gaat met deze datastromen.

Bij BIT zien we dit wel vaker. RFI’s, RFP’s, RFQ’s en aanbestedingen van de overheid spreken niet over de ‘pas toe of leg uit’-lijst. Enerzijds omdat de waarde van minimaal 50.000 euro niet bereikt, maar anderzijds wordt het gewoonweg niet als eis benoemd. Gelukkig zien we nog vaker dat er wel naar de protocollen en standaarden wordt gevraagd die op de lijst staan.

Er blijkt nog veel ruimte in het ‘leg-uit’-gedeelte van het beleid te zitten. Het komt nog te vaak voor dat aanbestedingen worden gegund aan partijen die niet leveren volgens de lijst. Deze gegunde partijen geven aan dat het geen standaarddienstverlening is, maar dat het op speciaal verzoek wel geleverd kan worden. Maar het kan nog erger, want partijen komen ook weg met de uitleg dat het protocol in de testfase zit en in de ‘nabije’ toekomst onderdeel zal zijn van de dienstverlening. Oftewel, het gevraagde protocol kan niet geleverd worden en de ‘nabije’ toekomst kan ook maar zo 10 jaar verder zijn. In de praktijk betekent dit dat protocollen als IPv6 en DNSSEC helemaal niet gebruikt worden.

Sta op voor een veilig internet

Bovenstaande praktijken irriteren mij mateloos. Want bedrijven die wel investeren in een veilig en modern internet maken daar kosten voor, die vervolgens worden doorberekend in de prijs van het product of de dienst. Overheden kiezen daarentegen voor de allergoedkoopste aanbieder, ook als deze onbillijke redenen opwerpt om zich niet aan veilige en moderne standaarden te houden. Wordt het nu niet eens tijd dat het Forum Standaardisatie voldoende middelen en tanden krijgt om zich écht hard te maken voor een beter internet?

Door Wido Potters, manager Support & Sales bij BIT

BIT
BIT beheert een drietal datacenters in Ede en is gespecialiseerd in colocatie, internetverbindingen, managed hosting en outsourcing voor zakelijke gebruikers van het internet. BIT levert aan kwaliteitsbewuste organisaties de ruggengraat voor hun IT- en internet-infrastructuur. Betrouwbaarheid is het uitgangspunt van de dienstverlening, zodat klanten zich zorgeloos met hun kernactiviteiten bezig kunnen houden. BIT onderscheidt zich door een hoog kennisniveau, jarenlange ervaring en een pragmatische aanpak. BIT is ISO 27001 gecertificeerd. Meer informatie over BIT is te vinden op www.bit.nl of volg BIT via twitter.com/bitnl.