In 2020 zijn er bij ministeries en de Hoge Colleges van Staat verschillende incidenten geweest op het gebied van informatiebeveiliging. WhatsApp-accounts van zowel Eerste als Tweede Kamerleden en ambtenaren van ministeries zijn door criminelen overgenomen, bij het Ministerie van Buitenlandse Zaken was sprake van een mogelijk datalek en het veilig gebruik van applicaties voor videovergaderingen was onvoldoende gegarandeerd.
Wereldwijd zijn overheden vrijwel dagelijks doelwit van cyberaanvallen, zo ook de publieke sector in Nederland. Het massale thuiswerken in 2020 bracht nieuwe risico´s met zich mee. In het licht van deze en andere permanente dreigingen oordeelt de Algemene Rekenkamer over de informatiebeveiliging van ministeries en Hoge Colleges van Staat. Bij 11 van de 18 onderzochte organisaties is die nog niet op orde.
Uit het rijksbrede onderzoek naar informatiebeveiliging blijkt dat afgelopen jaar criminelen erin slaagden de WhatsApp-accounts te hacken van tenminste vijf Tweede Kamerleden, een Eerste Kamerlid, topambtenaren van het Ministerie van EZK en verschillende medewerkers van bijna alle ministeries. Het ging de aanvallers om geld, maar het is denkbaar dat het ook om informatie had kunnen gaan. Dit onderstreept het belang van permante aandacht en bewustwording voor veilig gebruik van WhatsApp op alle niveaus binnen de rijksoverheid.
Mogelijk datalek bij Ministerie van Buitenlandse Zaken
De Algemene Rekenkamer heeft bij het Ministerie van Buitenlandse Zaken een mogelijk datalek geconstateerd. Het ging om persoonsgegevens zoals namen, adressen, bankgegevens en medische informatie van ruim 18.000 personen die tijdens de coronacrisis in het buitenland verbleven en terug wilden keren naar Nederland. Deze persoonsvertrouwelijke gegevens hadden alleen voor een kleine groep gemachtigden toegankelijk mogen zijn, maar bleken ook in te zien door veel andere medewerkers van het Ministerie van Buitenlandse Zaken. Het ministerie heeft het datalek gedicht. Aanvullend technisch onderzoek wees uit dat in de praktijk alleen bevoegden de informatie hadden geraadpleegd.
Het voorval leidde tot nader onderzoek naar het bredere vraagstuk van de informatiebeveiliging op het ministerie. De Algemene Rekenkamer trof daarop een soortgelijk risico aan bij een ander ICT-systeem van het Ministerie van Buitenlandse Zaken. Zoekopdrachten met termen als ‘privé’ en ‘geheim’ leverden vertrouwelijke documenten op zoals notulen van buitenlandse posten en inloggegevens van het officiële twitteraccount van een ambassade. Deze informatie was toegankelijk voor vrijwel alle medewerkers van het ministerie. De gegevens werden op basis van het onderzoek later afgeschermd.
Ook ministeries moesten in 2020 vanwege de coronacrisis plotseling massaal gebruik maken van programma’s voor videovergaderen, zoals WebEx en MS Teams. De Algemene Rekenkamer heeft begrip voor de omstandigheden waaronder videobellen mogelijk werd gemaakt, maar wijst er ook op dat organisaties van het Rijk bij ingebruikname van een nieuwe applicaties de risico’s rond informatiebeveiliging expliciet moeten afwegen en maatregelen treffen om veilig gebruik te waarborgen. Dit is in veel gevallen niet of laat gebeurd.
Vrijwel alle organisaties die deze en andere aspecten van informatieveiligheid, zoals incidentmanagement, risicoanalyse en inrichting van systemen, in 2019 niet op orde hadden, hebben hier in 2020 werk van gemaakt. Dit heeft echter nog niet geleid tot beheersing van de risico’s. De Algemene Rekenkamer constateert dat de vakministers nog onvoldoende invulling geven aan hun informatieplicht aan de minister van BZK om op basis van de aanwezige risico’s per ministerie de informatiebeveiliging rijksbreed te kunnen verbeteren. Om deze reden herhaalt de Algemene Rekenkamer de aanbeveling van vorig jaar aan de minister van BZK om de vakministers hierop aan te spreken.