Dit jaar werd bekend dat het aantal meldingen van digitale aanvallen op website en systemen van de Nederlandse overheid de afgelopen twee jaar is verdubbeld. Dit blijkt uit cijfers die het Nationaal Cyber Security Centrum heeft vrijgegeven na een beroep op de Wet openbaarheid van bestuur.
Tijdens mijn onderzoek bleek al dat de overheid (net zoals het bedrijfsleven overigens) grote moeite heeft met informatiebeveiliging. Er is te weinig expertise, er zijn te weinig mensen en het kat-en-muis-spel van aanvallen en verdedigen lijkt zich steeds sneller te ontwikkelen. Een politieke partij in Enschede wil daarom ethisch hacken toestaan. Zij ziet ethisch hacken als ‘een manier om informatiebeveiliging te verbeteren, of zelfs te stimuleren’, en hopen daarbij op de hulp van mensen die verstand hebben van informatietechnologie en het leuk vinden om beveiligingslekken in systemen te ontdekken’.
Op 3 januari 2013 stuurde toenmalig minister Opstelten (Veiligheid en Justitie) een brief naar de Kamer, met daarin een leidraad voor de praktische invulling van een responsible disclosure. Daarin wordt de volgende definitie gehanteerd: “Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure”.
In een responsible disclosure wordt vastgelegd hoe organisaties omgaan met meldingen over kwetsbaarheden. Ook wordt behandeld hoe de melder wordt beschermd. Hoewel geen voorgeschreven regel is, is het vaak zo dat de melder een bedankje of blijk van waardering krijgt voor het melden van het probleem, zonder het uit te buiten.
Ruim twee jaar nadat minister Opstelten de leidraad deelde hebben slechts 2 van de 10 grootste Nederlandse Gemeenten een responsible disclosure op hun website. Op de websites Amsterdam.nl, Rotterdam.nl, DenHaag.nl, Eindhoven.nl, Tilburg.nl, Almere.nl, Breda.nl en Nijmegen.nl ontbreekt een regeling voor digitaal klokkenluiden. De gemeente Utrecht heeft een basale vorm online staan, alleen de gemeente Groningen heeft een volledige responsible disclosure online staan.
Het is mij onduidelijk waarom zo weinig gemeenten een responsible disclosure op hun website hebben staan. Leeft het onderwerp informatiebeveiliging onvoldoende in overheidsland? Is de bewustwording er wel, maar zijn de middelen er niet? Weet men niet hoe om te gaan met meldingen?
Een responsible disclosure is in mijn optiek eenvoudig toe te passen, je biedt een gestructureerde manier van melden aan en het is voor alle betrokkenen duidelijk wat het vervolgproces is. De overheid laat door de regeling ook zien dat ze burgers wil betrekken en is open over het feit dat zij geen perfecte beveiliging kan bieden.
Klik hier om de responible disclosure van Guardian360 te lezen. Wilt u hier meer weten of doorpraten over dit onderwerp? Neem dan contact met ons op!