Lektober dwingt Donner tot handelen

"Bedreiging van het vertrouwen in, en de integriteit van, elektronische overheidsdienstverlening is voor het Kabinet niet acceptabel", schrijft minister Piet Hein Donner van Binnenlandse Zaken (BZK) in een brief aan de Tweede Kamer. "Uit de voorbeelden die Webwereld in het kader van hun actie "Lektober" tot nu toe heeft gepresenteerd, blijkt evenwel dat ICT beveiliging bij overheidsorganisaties te kort schiet. Recent is bij enkele tientallen gemeenten geconstateerd dat hun ICT beveiliging onvoldoende was. Dat moet beter."

Lastig voor burger

Hij verwijst naar berichtgeving van Geenstijl en Webwereld dit weekend waaruit bleek dat ongeveer 50 gemeentesites ernstig lek waren. Logius, de ict-organisatie die DigiD beheert en onder BZK valt, besloot daarop afgelopen maandag de lekke gemeentesites van DigiD te verbannen.

Donner doet daar nu een schepje bovenop. Logius "heeft van mij -vanaf dit moment - opdracht gekregen alle organisaties waarvan blijkt dat de ICT gecompromitteerd is (met mogelijke gevolgen voor DigiD) per direct af te koppelen van DigiD. Deze organisaties kunnen dus hun elektronische dienstverlening met gebruikmaking van DigiD niet meer voortzetten", aldus Donner. Dit is weliswaar verstorend voor burgers en het kost geld, "maar uiteindelijk verbetert dit het vertrouwen in het systeem als geheel." Gemeenten kunnen weer aangesloten worden nadat hun beveiliging weer op orde is.

Donner neemt met deze maatregelen alvast een voorschot op het Kamerdebat over Diginotar dat donderdagavond wordt gevoerd. De Kamer liet dinsdag al weten van plan te zijn de minister tijdens dat debat flink aan de tand te willen voelen over Lektober.

Jaarlijkse veiligheidscontrole

Donner neemt ook maatregelen voor de langere termijn. Alle organisaties die gebruik maken van DigiD moeten uiterlijk voor het eind van het eerste kwartaal van 2012 hun ict-beveiliging getoetst

hebben op basis van een beveiligings-assessment. Vanaf 2012 wordt dat assessment jaarlijks herhaald.

"Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen de ICT beveiliging van gebruikende organisaties te kraken. Daarmee kan getoetst worden of het ICT beveiligings-assessment voldoende stringent wordt toegepast", voegt Donner toe.

Norm vastgesteld door VNG

De actuele bedreigingen zullen worden bijgehouden door overheidsbeveiliger Govcert. Op basis daarvan zal de controle worden uitgevoerd. De norm van de jaarlijkse controle wordt vastgesteld in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteits Instituut Nederlandse Gemeenten (KING).

"VNG en KING zijn momenteel samen met de bij de bovengenoemde Lektober actie betrokken gemeenten en de betreffende leveranciers, in samenwerking met Govcert.nl en Logius, de beveiliging van de getroffen websites op orde aan het

Kamerbrief Lekken Gemeentelijke Websites