Dat blijkt uit een lijst van beveiligingsincidenten, die Webwereld en NU.nl in handen hebben gekregen met een beroep op de Wet openbaarheid van bestuur (Wob) bij Govcert. In totaal zijn veertien incidenten onzichtbaar gemaakt. Dat doorhalen wordt alleen gedaan met een beroep op een wetsartikel dat is bedoeld om de veiligheid van de staat te beschermen.

Gevoeligste categorie beveiligingsincidenten

Het opvoeren van deze uitzonderingsgrond betekent dat de incidenten heel erg gevoelig zijn. De zaken waar het dan om gaat worden niet door gewone opsporingsinstanties afgedaan, maar vallen binnen het werkgebied van de inlichtingen- en veiligheidsdiensten.

"Dit is heel zwaar. Het mag niet zo zijn dat het alleen met veiligheid van de staat te maken heeft. De veiligheid moet ook echt in het geding zijn geweest", zegt Aline Klingenberg over de doorhalingen. Ze is universitair docent bestuursrecht aan de universiteit Groningen en gepromoveerd op openbaarheid van bestuur. Hierbij moet volgens Klingenberg worden gedacht aan het in gevaar zijn van de democratische rechtsorde of aan terrorisme.

Bernd van der Meulen, hoogleraar bestuursrecht aan de Universiteit van Wageningen, beklemtoont dat het inzetten van de uitzonderingsgrond betekent dat de dreiging nog actueel is. "Het mag alleen gebruikt worden als het bekendmaken van het lek betekent dat de veiligheid van de staat opnieuw in geding komt", vertelt hij tegenover Webwereld. "Dit kan dus geen beveiligingsprobleem zijn dat is opgelost en de kennis over dat incident kan de veiligheid opnieuw in gevaar brengen."

Gerichte aanval

Uit het document blijkt dat de informatie in vijf van de gevallen afkomstig is van inlichtingen- en veiligheidsdiensten. Bij negen gevallen is niet duidelijk waar de informatie vandaan komt. Juist bij die incidenten wordt door Govcert gesproken van een gerichte aanval (Targeted attack). Bij twee daarvan gaat het om een aanval die 'mogelijk' gericht is. Deze gerichte aanvallen spelen in een periode vanaf april 2010 tot november 2010. Wat er precies speelt is onduidelijk en kan alles zijn van spionage tot het platleggen van kritieke infrastructuur.

Verder wordt een drietal incidenten uit 2010 geheim gehouden omdat andere landen dit eisen. Zoiets kan gebeuren als informatie via diplomatieke weg bij Govcert terecht is gekomen. Ook dit is uitzonderlijk, omdat in veel landen een equivalent van de Wob bestaat en informatie niet zomaar geheim kan blijven. Ook in die gevallen is er sprake van gevoelige informatie.

Weinig reactie

Een rondgang van Webwereld langs enkele beveiligingsbedrijven, die veel met de overheid werken maakt duidelijk dat er weinig animo is om te reageren. Diverse partijen wijzen op de gevoeligheid van de materie.

Ook Ronald Prins van Fox IT, die anders juist hamert op het belang van het beschermen tegen gerichte aanvallen, doet er nu het zwijgen toe. Datzelfde doet het Platform voor Informatiebeveiliging.

Parlementair onderzoek

De SP wil al sinds het Diginotar incident een parlementair onderzoek naar beveiligingsproblemen. “De lijst laat zien dat de ICT-veiligheid bij de overheid zo lek als een mandje is", zegt kamerlid Sharon Gesthuizen, dan ook. "Ik ben er ontstemd over dat de lijst met incidenten zo lang is en dat er in een aantal gevallen gesproken kan worden van situaties waarbij de Staatsveiligheid in het geding kwam. Onacceptabel!"

Ook Arjan El Fassed van GroenLinks is boos. Hij begrijpt niet dat de infrastructuur zo is gekozen dat de veiligheid van de staat in het geding kan zijn bij beveiligingsincidenten. Hij noemt de incidenten dan ook een slecht teken.

Hero Brinkman van de PVV wil uitleg via de Commissie Stiekem om op die manier te horen wat er precies bij de incidenten aan de hand is. Voor hem is een onderzoek een brug te ver en hij stelt dan ook dat hij daar 'niet aan toe is'.

Afdwingen

Govcert gaf de informatie niet vrijwillig prijs. De organisatie stelde eerst dat overheden onderling hadden afgesproken om de lijst geheim te houden. Nadat uw verslaggever op verzoek van Webwereld en Nu.nl een juridische procedure was gestart is in onderling overleg tot een schikking gekomen om een lijst van beveiligingsincidenten openbaar te maken.

Webwereld en Nu.nl doen al langer gezamenlijk onderzoek naar problemen met ICT-beveiliging bij de overheid.