ICT-bewakers bij overheid en justitie ruziën liever over regeltjes, dan dat zij hun werk doen. Raymond Peil struikelde over een pijnlijke casus uit de dagelijkse praktijk.

Stelt u zich even voor dat een anoniem busje bij uw huis stopt en er enkele louche lieden met duidelijk zichtbaar inbrekersgereedschap richting uw voordeur wandelen. Een gewaarschuwde politiepatrouille rijdt langs, ziet het gebeuren en doet niets, waarschuwt niet, treedt niet op en rijdt rustig verder. Vanuit hun geopend portiervenster weerklinkt de klassieker ‘Gypsies, tramps and thieves’ van Cher. De geüniformeerde heren/dames houden het graag aangenaam.

Dat is bijna precies wat er de afgelopen weken gebeurde bij het Nationaal Cyber Security Centrum (NCSC), dat onder Justitie en Veiligheid ressorteert. De ICT-bewakers hadden actuele en gerichte informatie over aanstaande hacks, maar deden daar niets mee. Het centrum verzweeg de informatie omdat de betreffende bedrijven ‘niet zijn aangewezen als vitale organisaties, als essentiële digitale diensten of als grote digitale dienstverleners (dsp’s)’. Het NCSC zegt bij een hack uitsluitend vitale bedrijven te mogen informeren.

Volgens een bericht in Het Financieele Dagblad (paywall, NOS-artikel hier)  waren onder meer een dochterbedrijf van het industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker het slachtoffer van een hack. De hacks vonden plaats nadat een cybercrimineel bedrijven had gehackt en wachtwoorden online gezet. Het ministerie van Justitie en Veiligheid was van tevoren expliciet gewaarschuwd dat veel van deze organisaties gevaar liepen.

‘’Behalve om Nederlandse bedrijven gaat het om uiteenlopende buitenlandse organisaties, zoals het nationale onderzoeksinstituut van Spanje CSIC, porseleinfabrikant Villeroy & Boch en het Luxemburgse laboratoriumbedrijf Eurofins, dat in Nederland bij boeren onderzoekt hoe vruchtbaar hun landbouwgrond is’’, aldus het FD. Ongeveer de helft van de getroffen bedrijven was een week geleden nog altijd kwetsbaar en kan dus opnieuw worden gehackt.

De aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn uiteraard zeer gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het ministerie van Justitie en Veiligheid. DINL-directeur Michiel Steltman zegt op de vakwebsite Computable het onverteerbaar te vinden dat bedrijven werden gehackt terwijl het ministerie al maanden eerder informatie had ontvangen dat betrokken organisaties gevaar liepen. ‘’Volkomen onnodig zijn van verschillende bedrijven de inloggegevens online gezet’’, vindt Steltman terecht.

Hoe kan dit? Wel, er zijn twee ambtelijke organisaties die hierover waken: het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid en het Digital Trust Center (DTC), vallend onder het ministerie van Economische Zaken en Klimaat. En laat nu juist het binnen NCSC en het DTC een discussie woeden over de vraag of het NCSC bepaalde informatie over hacks mag of kan doorgeven. Steltman concludeert dat de overheid zichzelf ‘in de hoek heeft geschilderd.’ Het beleid is zo ongelukkig gevormd dat het bedrijfsleven nu niet veilig is. Want het gaat niet alleen om de getroffen bedrijven, ook hun zakenpartners liepen het risico’s aangezien de hackers de systemen volledig konden overnemen.

Volgens mij is deze casus symptomatisch voor de ambtenarij en bureaucratie binnen de Nederlandse (semi-)overheid. Er worden allerlei clubjes en projectjes opgetuigd voor allerlei geïdentificeerde (soms zinloze) klussen, maar als het puntje bij het paaltje komt vegen de verantwoordelijken lieden hun straatje schoon door zich te verschuilen achter allerlei regeltjes en competentiegeschilletjes. Hoe moeilijk was het nu werkelijk geweest om de systeembeheerders paar emailtjes te sturen met een waarschuwing, desnoods van beide ambtenarenclubs?

Voor mij is dit ook een duidelijk signaal dat bureauslaven in hun ivoren torentjes meer bezig zijn met het dienen van hun eigen belangen dan dat zij zich verantwoordelijk voelen voor de zaak en de taak waarvoor zij zich behoren in te spannen. In overheidskrochten is realiteitsbesef kennelijk ver te zoeken.

Er zullen nog veel nieuwe bezems nodig zijn om deze stofnesten grondig uit ambtenarengebouwen te vegen. Zo opzichtig falende overheidsdienaren moeten we gewoon maar een keer ontslaan, graag! Als dienstbaarheid niet motiveert, dan wellicht de angst voor ontslag. En bovendien: staat opgeruimd netjes.

---

Meer commentaar op het werk van justitie vindt u hier.