Rekenkamer: staatsgeheimen van Buitenlandse Zaken slecht beveiligd − nog steeds

Dat concludeert de Rekenkamer woensdag in een snoeihard rapport met de titel Verantwoordingsonderzoek Buitenlandse Zaken 2019. Op ‘gehaktdag’, zoals de verantwoordingsdag op de derde woensdag van mei ook wordt genoemd, presenteren alle ministeries hun jaarverslagen. De Rekenkamer controleert die en velt tevens een oordeel over de bedrijfsvoering het afgelopen jaar.

‘Buitenlandse Zaken voldoet niet aan de eigen minimumeisen die het stelt aan informatiebeveiliging. Het probleem is ernstig en hardnekkig. Dit betekent uiteindelijk een risico, ook voor staatsgevoelige informatie’, zegt collegelid Ewout Irrgang van de Algemene Rekenkamer.

De rijkscontroleur bestempelt de gebrekkige veiligheid als een ‘ernstige onvolkomenheid’. Dat is volgens Irrgang ‘een heel zwaar oordeel’. Van alle rijksonderdelen kreeg dit jaar alleen de ict van Buitenlandse Zaken dat etiket opgeplakt.

Staatsgeheime informatie

Volgens de Rekenkamer zijn kwaadwillenden actief op zoek naar zwakke plekken in de beveiliging van informatiesystemen van Buitenlandse Zaken.

‘Sabotage, diefstal, en het lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie’ liggen op de loer, schrijft de Rekenkamer in haar rapport. ‘Er zijn aanwijzingen dat cybercriminelen zich hier massaal op storten en het aantal valse mails over het coronavirus fors is toegenomen. Zo worden uit naam van de World Health Organization valse e-mails verstuurd met schadelijke, gevaarlijke malware’, stelt de Rekenkamer in haar rapport.

Andere voorbeelden van de zwakke beveiliging bij Buitenlandse Zaken zijn eenvoudig te kraken wachtwoorden, te onderscheppen informatie en het centraal opslaan van gevoelige informatie. Veiliger is om data gecompartimenteerd, dus in kleine brokjes, op te slaan, zodat niet iedereen bij het hele dossier kan.

Juist in tijden van crisis, zoals bij de coronacrisis, is informatiebeveiliging van belang, vindt de Rekenkamer. Diplomaten wisselen nog meer dan normaal digitaal informatie uit, omdat ze thuiswerken, videobellen en telefonisch overleg voeren.

De circa 5.000 diplomaten versturen vanuit Den Haag en de 144 ambassades en consulaten veel informatie die interessant kant zijn voor cybercriminelen. Denk aan inlichtingen over de betrokkenheid van Rusland bij de MH17-ramp of de gevolgen van het Nederlandse bombardement op Hawija. De gebrekkige beveiliging geldt zowel voor de laptops en telefoons die diplomaten gebruiken als ze onderweg zijn, als voor de officiële computers op het hoofdkantoor of ambassades.

Geen prioriteit

Tot ergernis van de rijkscontroleur doet Buitenlandse Zaken te weinig om de beveiliging op orde te brengen. Het is voor het derde jaar op rij dat de Rekenkamer concludeert dat deze problemen bestaan. De situatie is niet verbeterd, maar juist verslechterd en dat irriteert de Rekenkamer.

‘Dit is illustratief voor het gebrek aan erkenning van het belang van goede informatiebeveiliging bij het ministerie van Buitenlandse Zaken dat wij al een aantal jaren achtereen waarnemen. Juist bij het ministerie van Buitenlandse Zaken verwachten wij meer inzicht in het belang van goede informatiebeveiliging gelet op de dreiging van onder meer statelijke actoren’, aldus de Rekenkamer.

Ondanks eerdere waarschuwingen hebben maar liefst tien van de elf informatiesystemen die diplomaten gebruiken geen stempel van goedkeuring gekregen.

Terug naar papier

Vorig jaar werd al bekend dat zowel de EU als de Navo dreigen om geen digitale documenten meer vanuit Brussel naar Den Haag te sturen als Buitenlandse Zaken de beveiliging niet op orde krijgt. Minister Blok schreef op 9 december aan de Tweede Kamer dat daarom ‘met de hoogste prioriteit wordt gewerkt’ aan het op orde krijgen van de accreditatie (goedkeuring) van de informatiesystemen.

Opmerkelijk was dat hij benadrukte dat Buitenlandse Zaken eventueel kan ‘terugvallen op de traditionele manier’ indien het departement geen digitale informatie meer zou ontvangen van internationale partners.

Daarmee bedoelt de minister briefpost, stellen bezorgde ict’ers die anoniem contact opnamen met de Volkskrant. Een van hen concludeert dat de informatiebeveiliging van Buitenlandse Zaken ‘een grote bende’ is. Volgens de klokkenluider lopen ‘staatsgeheimen gevaar’ en was het ict-systeem en de versleuteling van informatie in ‘de tijd van Hawija en MH17 verouderd en onveilig’.

Voor de Rekenkamer is de suggestie van de minister om terug te vallen op papieren post een ‘illustratie dat er niet heel veel prioriteit wordt gegeven’ aan het probleem, aldus collegelid Irrgang.

Reactie minister Blok

In een reactie op de spijkerharde conclusies van de Rekenkamer stelt minister Blok woensdag dat informatiebeveiliging zeker wel een prioriteit is van het departement. ‘Het lijdt geen twijfel dat onvoldoende informatiebeveiliging vergaande en ontregelende gevolgen kan hebben’, aldus Blok in een schriftelijke reactie. Volgens de bewindsman wordt er hard gewerkt aan verbeteringen.

‘We nemen dit heel serieus en we werken eraan’, voegt een woordvoerder woensdag toe. Over de mogelijkheid dat staatsgeheimen lekken zegt hij dat hij tot op heden ‘niet heeft meegemaakt dat er dingen fout zijn gegaan. Mijn ervaring is dat we daar redelijk goed in functioneren.’ De nieuwe aanbevelingen van de Rekenkamer, zoals een plan van aanpak, onderschrijft de minister.

D66’er Sjoerd Sjoerdsma vindt het ‘zorgwekkend’ dat het ministerie de beveiliging nog niet op orde heeft. ‘Nog vervelender wordt het als blijkt dat minister Blok de voortgang consequent positiever voorstelt dan de werkelijkheid is en de consequenties van dit probleem bagatelliseert. Dat kan niet in een tijd waarin cyberaanvallen en spionage rap toenemen’, aldus Sjoerdsma.

Dit verhaal kwam mede tot stand na een tip via Publeaks, het platform om veilig tips te delen. Wilt u ook veilig informatie delen, dat kan via volkskrant.publeaks.nl. Mailen mag ook naar tips@volkskrant.nl