DUO niet goed beveiligd
“Gezien de maatschappelijke ontwikkelingen, de vastgestelde tekortkomingen door de Algemene Rekenkamer, de uitkomsten van Digi-D onderzoek en onze eerdere bevindingen zijn wij van mening dat DUO Groningen voortdurend risico’s op het gebied van informatiebeveiliging loopt.” De auditdienst ADR slaat alarm bij het kabinet, nu blijkt dat ondanks herhaalde uitingen van zorg en waarschuwingen, ook van de Algemene Rekenkamer, de aanpak bij DUO niet fundamenteel verbetert. Een reeks overheidsorganen heeft te maken gehad met ‘inbraken’ en ‘aanvallen’ in cyberspace en de ADR is daarom ook over DUO zeer bezorgd.
Zichtbare betrokkenheid
De Groningse uitvoeringsorganisatie van OCW beheert onder meer de persoonsgegevens van de vele honderdduizenden studenten die een studiebeurs en/of –lening hebben en van diegenen die beschikken over een OV-Studentenkaart. Over de beveiliging hiervan is de ADR allerminst gerust en ook kritisch wat betreft de daadkracht waarmee de problemen tot nu toe zijn aangepakt. Zo zegt men scherp: “Een essentieel element om deze aanbevelingen te realiseren is de zichtbare betrokkenheid van het management.”
De ADR wijst er tevens op dat zijn signaal er een is in een reeks van de voorbije jaren. Sinds 2011 wordt DUO er afwisselend door de Rekenkamer en de Auditdienst rijksoverheid op gewezen dat de beveiliging van het informatiesysteem van DUO niet op orde is en dat DUO ernstige risico’s loopt. Droogjes formuleert de ADR het zo: “Wij benadrukken dat door de vele klantrelaties en vertrouwelijkheid ervan en de sterke afhankelijkheid van ICT dit geen gewenste situatie is voor DUO.”
Niet volledig
“DUO heeft onvoldoende vooruitgang geboekt bij inrichting van tactisch securitymanagement. In 2011 heeft de ADR vastgesteld dat het informatiebeveiligingsplan van DUO Groningen niet volledig afgerond was. Enkele onderdelen die nog ontbraken waren: Koppeling met het OCW Informatiebeveleiligingsbeleid, een controlecyclus rond de informatiebeveiliging en een beveiligingsbewustzijnprogramma.”
Een eigen conceptrapport vanuit DUO over de stand van zaken verscheen eind 2012. “Uit deze rapportage constateren wij dat deze niet volledig is en dat in 2012 het beveiligingsbewustzijnprogramma niet volledig is uitgevoerd,” stelt de ADR scherp vast. Daarop trekt zij een alarmerende conclusie. “Gezien de maatschappelijke ontwikkelingen, de vastgestelde tekortkomingen door de Algemene Rekenkamer, de uitkomsten van Digi-D onderzoek en onze eerdere bevindingen zijn wij van mening dat DUO Groningen voortdurend risico’s op het gebied van informatiebeveiliging loopt. “
Groot politiek afbreukrisico
Een plan om hier met hoge prioriteit tot verbeteringen te komen is er achter nog steeds niet gekomen. De ADR wijst er daarom nu op dat de gevolgen van een “manifestatie van een calamiteit” tot grote gevolgen zou leiden. “Het niet hebben van een volledig BCP [bedrijfscontinuïteitsplan] vergroot het risico- bij manifestatie van een calamiteit- dat niet de meest doelmatige procedures worden gevolgd. Hierdoor kan de calamiteit groeien tot een groot politiek afbreukrisico. Wij adviseren u om in 2013 capaciteit vrij te maken voor het opstellen van een overkoepelend BCP.”
De ADR geeft minister Bussemaker daarom een indringend advies. “Daarom willen wij u adviseren om concrete acties te ondernemen om het tactische securitymanagement te verbeteren. De Baseline Informatiebeveiliging Rijksoverheid (BIR) als uitgangspunt te nemen, duidelijke keuzes te maken, prioritieten te stellen, de voortgang te bewaken en te borgen door het uitvoeren van periodieke controles controlecyclus. Een essentieel element om deze aanbevelingen te realiseren is de zichtbare betrokkenheid van het management.”
Niet op orde
De problematiek bij DUO had ook de Rekenkamer al verontrust. De Tweede Kamer heeft de Rekenkamer daarover zeer recent ook al nader bevraagd. De AR zei toen onomwonden dat de geconstateerde gebreken gevolgen kunnen hebben voor “de betrouwbaarheid, integriteit en vertrouwelijkheid van informatie.”
In het rapport bij het jaarverslag van OCW over 2012 had de Rekenkamer namelijk gemeld: “Net als in 2011 hebben wij ook in 2012 onvolkomenheden geconstateerd op het gebied van de informatiebeveiliging bij het Ministerie van OCW. De problemen doen zich onder meer voor bij de directie Facilitair Management en ICT (FM/ICT). Deze directie is ervoor verantwoordelijk dat de informatie waarmee binnen het Ministerie van OCW wordt gewerkt beschikbaar en betrouwbaar is en niet door onbevoegde personen kan worden geraadpleegd. Juist deze directie dient daarom haar zaken op orde te hebben. Ook de informatiebeveiliging van DUO was in 2012 nog niet op orde. DUO heeft in 2012 een verbeterplan opgesteld.”
