Het Ministerie van Buitenlandse Zaken doet te weinig om de beveiliging op orde te brengen van de informatiesystemen die onder meer gebruikt worden voor diplomatenpost en documentenverkeer met de Europese Unie en de NAVO. Dat blijkt uit onderzoek door de Algemene Rekenkamer.

In mei 2019 rapporteerde de Algemene Rekenkamer al dat de informatiebeveiliging van Buitenlandse Zaken onvoldoende was. Op 20 mei 2020 blijkt bij de publicatie van het verantwoordingsonderzoek dat het ministerie de vorig jaar gedane aanbevelingen nog niet heeft afgerond. Bovendien voldoet het Ministerie van Buitenlandse Zaken voor het derde jaar op rij niet aan de regelgeving die voor alle ministeries voor informatiebeveiliging geldt. Verder stelt de Algemene Rekenkamer vast dat de minister de Tweede Kamer een erg positief beeld geeft van deze problematiek.

Eén van elf gebruikte systemen volledig goedgekeurd
Vanuit het ministerie in Den Haag hebben ruim 2.200 medewerkers contact met andere ministeries, buitenlandse ambassades en de 144 eigen ambassades en consulaten. Dat aantal neemt over de wereld toe door extra investeringen; er werken daar nog eens ruim 2.800 diplomaten en lokaal personeel. Het is voor dit ministerie een kerntaak om te overleggen met internationale partners. Met EU-instellingen, zoals de Europese Commissie, en met de Noord-Atlantische Verdragsorganisatie (NAVO) gebeurt dat intensief. Geregeld gaat het dan om het uitwisselen van vertrouwelijke informatie. In 2019 werkte het Ministerie van Buitenlandse Zaken met elf informatiesystemen. Slechts één daarvan is volledig geaccrediteerd. Accreditatie is een vereiste van de EU of NAVO en behelst een machtiging en goedkeuring om een systeem (veilig) te mogen gebruiken.

Onderzoek toont omvang van probleem aan
In een brief van 9 december 2019 aan de Tweede Kamer schrijft de minister dat voor vier gebruikte informatiesystemen een tijdelijke accreditatie is afgegeven en voor zes aan afronding wordt gewerkt. De Algemene Rekenkamer stelt iets anders vast: voor drie systemen is een tijdelijke accreditatie met een geldigheidsduur van 1 jaar afgegeven, twee systemen zitten nog in een voorfase en voor vijf van de elf gebruikte systemen bestaat helemaal geen geldige machtiging en goedkeuring. Een dergelijke volledige accreditatie is er maar voor één systeem.
In zijn Kamerbrief heeft de minister, zonder dit nader te specificeren, geschreven dat hij kan terugvallen op de traditionele manier van communiceren als het ministerie informatie van de EU en de NAVO niet meer digitaal zou kunnen ontvangen vanwege het uitblijven van accreditaties. Het erg positieve beeld dat de minister aan de Kamer schetst is illustratief voor het gebrek aan erkenning van het belang van goede informatiebeveiliging.

Aanvallen op overheidssystemen
Digitale verstoring, diefstal en lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie kunnen de rijksoverheid ernstig treffen, en ook burgers en bedrijven raken. Dat is vorig jaar onder meer gebleken toen criminele hackers aanvallen uitvoerden op de door de overheid veelgebruikte Citrix-systemen en gijzelsoftware plaatsten bij de Universiteit Maastricht. Van de rijksbreed werkende overheidsorganisaties heeft de helft de informatiebeveiliging niet op orde, zo stelt de Algemene Rekenkamer vast. Het Ministerie van Buitenlandse Zaken heeft op het gebied van informatiebeveiliging risico’s in de governance, de inrichting van de organisatie en op het terrein van risicomanagement. Accreditaties vallen onder risicomanagement. Het beleid voor informatiebeveiliging is bij dit ministerie niet op tijd geëvalueerd. Het is niet duidelijk wie op het gebied van informatiebeveiliging waarvoor verantwoordelijk is. Verder ontbreekt het aan een jaarplan waarin budget, bemensing en benodigdheden zijn vastgelegd.

Reactie minister en nawoord Rekenkamer
In reactie op deze bevindingen stelt de minister dat informatiebeveiliging essentieel is en er afgelopen jaar aan verbeteringen is gewerkt. De nieuwe aanbevelingen van de Rekenkamer onderschrijft de minister.
In haar nawoord geeft de Algemene Rekenkamer aan dat met deze ambitie de minister een bestuurlijk signaal geeft aan zijn departement dat verbetering van de informatiebeveiliging bij het Ministerie van Buitenlandse Zaken een prioriteit moet zijn.