Veel ICT-beveiligingsproblemen bij de overheid hebben te maken met problemen die eenvoudig te verhelpen zijn. Het National Cyber Security Center (NCSC) blijkt steeds vaker zelf pro-actief fouten te ontdekken. Eén keer is de veiligheid van de staat in het geding geweest.

Dat blijkt uit een overzicht van 259 meldingen. NU.nl heeft met een beroep op de Wet openbaarheid van bestuur (Wob) om de informatie gevraagd, nadat in 2011 bleek dat bij ICT-incidenten de staatsveiligheid vaak in het geding was. Nu lijkt het beeld verbeterd.

Staatsveiligheid

Slechts bij één incident is de informatie zo gevoelig van aard dat het acuut de nationale veiligheid in gevaar zou kunnen brengen. Wel blijkt de overheid in ieder geval bij 9 gevallen een directe bedreiging te hebben gehad en zijn zeker vier gerichte aanvallen op de overheid uitgevoerd. In één geval zou het openbaar worden van een lek diplomatieke gevolgen kunnen hebben.

In 11 zaken is gedreigd met een Denial-of-Service-aanval van overheidsdiensten, of is dat daadwerkelijk geprobeerd. Er zijn zeker 32 aanvallen of hacks op overheidssites uitgevoerd en zo’n 20 pogingen gedaan via oplichterstrucs informatie bij de overheid te krijgen.

Veel voorkomend

Opvallend is ook het grote aantal fouten bij instanties die aan te merken zijn als veelvoorkomende problemen. In 130 zaken gaat het om het gebruik van verouderde software of relatief eenvoudig te voorkomen programmeer- of instellingsfouten. In 12 zaken kwam informatie op straat te liggen waar dit niet zou moeten.

De politie blijkt opvallend vaak aangevallen te worden. Een opmerkelijke hack was dat de website van politie.nl werd doorgeleid naar de website van een escortbureau. Een andere opvallende aanval was vanaf de computers van de Provincie Friesland. De computers bleken de Belastingdienst te spammen. Ook systemen van het Ministerie van Binnenlandse Zaken werden voor spam misbruikt.

Vooruitgang

De incidenten laten ook een verbetering zien, bevestigt Wil van Gemert, directeur van het NCSC tegenover NU.nl. Hij denkt dat veel overheden bewuster zijn van mogelijke beveiligingsproblemen. “De toename van de meldingen en awarenessbesef zetten zich ook na november voort”, stelt hij dan ook. Volgens hem was februari een topmaand qua meldingen en adviezen die zijn gegeven.

Het NCSC bewaakt systemen van veel overheden en detecteerde in 45 gevallen problemen. Over negen incidenten worden geen meldingen gedaan, omdat daar nog opsporingsonderzoek naar loopt.

Tussen de meldingen zijn acht DigiD-meldingen te vinden, waaruit blijkt dat ook daadwerkelijk is geprobeerd misbruik van informatie te maken. In 2011 onderzocht NU.nl ook meldingen. Het nieuwe verzoek loopt over de periode van juni 2011 tot november 2012.