Gemeenten en ICT, recht en beleid, deel 10

In het ‘E-Government Survey’ van de Verenigde Naties bleek ons land begin dit jaar van een vijfde plaats te zijn opgeklommen naar zilver (achter Zuid-Korea). Een resultaat waarmee onze overheid in een Olympisch jaar voor de dag kan komen.
Toen werd het dinsdag 7 augustus, de dag waarop een computervirus genaamd XDocCrypt/Dorifel toesloeg.

Het was ‘pretty interesting’, zoals de site van het beveiligingsbedrijf Fox-IT het noemde. Al was het alleen vanwege de snelle verspreiding: binnen enkele uren besmette het virus 1.100 computers, en daar bleef het niet bij. Hoewel ook elders aangetroffen (in de wereld en bij bedrijven) leek Dorifel toch vooral publieke instellingen in Nederland te raken, waaronder een aantal gemeenten. En dat nog geen jaar na de inbraak bij het certificeringsbedrijf DigiNotar, waardoor onder meer het gebruik van DigiD gecompromitteerd dreigde te worden. Het was een hardhandige wake-up call voor de Nederlandse overheid met een grote politiek-bestuurlijke drukte als gevolg. Zeker toen tijdens de actie Lektober een zogeheten megalek bij vijftig gemeenten en gemeentelijke diensten aan het licht kwam.

Trojaans paard en botnet
Dorifel versleutelt de Office-documenten van de getroffen organisatie. Een aantal gemeentelijke sites moest tijdelijk sluiten, de gemeente Weert haalde voor het oog van de tv-camera’s de elektrische typemachines weer van stal. Maar de echte zorg was de ontdekking dat Dorifel mee was gelift met een zogeheten Trojaans paard (een infiltratieprogramma) Zeus/Citadel dat al langer, misschien wel maanden, onontdekt bleek rond te waren. Het virus wordt verspreid met behulp van een botnet. Daarbij neemt de virusmaker een serie computers over die weer voor besmetting van hun contacten zorgen die gezamenlijk - nietsvermoedend - kunnen worden ingezet voor een crimineel doel. Bijvoorbeeld om een site plat te leggen.

Dorifel leidde op de site van Fox-IT direct tot speculaties over het motief van de aanval. Het virus richt geen onherstelbare vernieling aan, dus is anarchistisch vanda- lisme of een terroristisch motief niet waarschijnlijk, want daarbij gaan de aanvallers voor maximaal effect. Een op hol geslagen amateur dan? Dat het virus aan scanners van intrusion detection systems (IDS) wist te ontsnappen wijst niet in die richting.
Dat het niet verborgen bleef maar zich openlijk manifesteerde, valt moeilijk te rijmen met infiltratie of informatiediefstal als motief. Toch is dat laatste volgens het bedrijf Digital Investigation wel een aspect van de aanval. Het ontdekte dat met behulp van Dorifel bankgegevens van 549 Nederlanders bij verschillende banken zijn buitgemaakt.

Lessen van DigiNotar
Op zichzelf kon Dorifel moeilijk als een verrassing komen. Het gespecialiseerde bedrijf Symantec wees vorig jaar op de explosieve toename van malware: 286 miljoen unieke variëteiten, 19 procent meer dan in 2009. Dat Nederland een speciaal doelwit lijkt te zijn geweest, kan verband houden met de score van ons land op internationale ranglijsten. Maar nog geen jaar na DigiNotar - en Lektober - komt zo’n virusuitbraak wel hard aan.

Zeker de gemeenten hebben reden tot bezinning. Veelzeggend is de ondertitel van het rapport door de Onderzoeksraad voor veiligheid ‘Het DigiNotar-incident, Waarom digitale veiligheid de bestuurstafel te weinig bereikt’ (28 juni 2012). De raad herinnert er aan dat gemeenten betrokken zijn bij een grote verscheidenheid aan digitale gegevensstromen waar- van zij de veiligheid moeten waarborgen. Behalve bij het Gemeentelijk Bevolkingssysteem zijn die niet altijd systematisch gewaarborgd. Het rapport noemt drie risico’s in het bijzonder:
1. Het uitbesteden van zaken.
2. Risicobewustzijn bestaat wel bij ICT-afdelingen, maar is onvoldoende aanwezig bij bestuur en hoger management.
3. Een geringe verbondenheid tussen digitaal veiligheidsbeleid en de primaire processen waarop dit van toepassing is.

Gateway review
Drs. Bart Drewes, coördinator Cluster Informatiebeleid van de VNG, noemt het rapport ‘een belangrijk signaal’. Samen met het kwaliteitsinstituut KING heeft de VNG een zogeheten gateway review georganiseerd. Daarin bogen een aantal externe experts zich over het veiligheids- probleem. Mede op basis van dit onderzoek zijn VNG en KING, in nauwe samenwerking met het Rijk, bezig met de oprichting van een collectieve informatiebeveiligingdienst (IBD) om gemeenten te ondersteunen. Bij groen licht moet de kwartiermakersfase nog eind dit jaar worden voltooid. Verder wordt het opstellen van een Baseline Informatiebeveiliging Gemeenten onderzocht, zoals die al voor het Rijk bestaat.

In het kielzog van DigiNotar is op initiatief van Binnenlandse zaken een jaarlijks beveiligingsassessment DigiD gestart. Het wordt uitgevoerd door gespecialiseerde EDP-auditors op basis van richtlijnen van het nieuwe Nationaal Cyber Security Centrum (NCSC).

Interessant detail: het is de bedoeling om ook (grote) leveranciers daarbij te betrekken. Alles wat lijkt op productaansprakelijkheid, ligt van oudsher gevoelig als het om ICT gaat. Toch is de kwaliteit van de leverantiecontracten een niet-onbelangrijk aspect van informatiebeveiligingsbeleid. Assessments zijn overigens niet nieuw in de gemeentelijke ICT; ze lopen al een tijd bij Gemeentelijke bevolkingsadministratie (GBA) en de Basisregistratie adressen & gebouwen (BAG).

 

Opwaardering
VNG en KING benadrukken dat het niet de bedoeling is de gemeentelijke autonomie aan te tasten; gemeenten blijven zelf verantwoordelijk voor hun informatiebeveiliging, zoals ook het kabinet benadrukt. Toch is het in het kielzog van DigiNotar - en Lektober - opmerkelijk hoe sterk de toon wordt gezet op nationaal niveau. Dorifel draagt daar verder aan bij.

Er is, overigens niet alleen in Nederland, een opwaardering merkbaar van sectorale informatiebeveiliging naar termen van nationale veiligheid. Dat brengt wel een hele discussie mee over de juridische mogelijkheden en onmogelijkheden van de Staat.

Minister Opstelten (Veiligheid en Justitie) inventariseert al ‘noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het internet’. Tere punten hierbij zijn het gebruik van sociale media voor (verkennend) opsporingsonderzoek en opsporing over de grenzen heen. Of zelfs eenzijdig ingrijpen in vreemde (Oostblok) landen, waaraan ook bij Dorifel direct werd gedacht.

Deze weg staat open voor conflicten, waarschuwt de hoogleraar ICT-recht Mireille Hildebrandt in een recent artikel. Alleen al omdat vaak onduidelijk blijft waar de boosdoener zich precies schuil houdt.

Kaartenhuis of bunker?
‘Risico is bij digitale veiligheid de maat en niet de uitzondering’, waarschuwde de Onderzoeksraad. Dat is een nationale boodschap. Dorifel trof bepaald niet alleen gemeenten, maar ook organisaties als het Rijksinstituut voor Volks- gezondheid en Milieu (RIVM) of het ministerie van Economische Zaken, Landbouw en Innovatie. De dagelijkse praktijk ziet zich gesteld voor vaak lastige afwegingen. Zoals KING het op zijn site formuleert: ‘Informatiebeveiliging, kaartenhuis of bunker?’ Dat blijft een eigen politiek-bestuurlijke taak voor de gemeenten.