Minister Hugo de Jonge wil een risicoanalyse van kwetsbaarheden in IT-systemen voor testen en traceren niet openbaar maken. Dit ondanks verzoeken hiertoe vanuit de Tweede Kamer. Het NCSC (Nationaal Cyber Security Centrum) acht de gevaren te groot, zo schrijft De Jonge in een Kamerbrief. Uit de Kamerbrief bleek eerder al dat de GGD GHOR versneld en landelijk overgaat tot vervanging van het gewraakte IT-systeem HPZOne.
De NCSC stelt dat de informatie in de risicoanalyse dieper inzicht geeft in de beveiligingsarchitectuur van de testketen en dat dit kwaadwillenden kan helpen om aanknopingspunten voor aanvallen te vinden. Het NCSC meldt dat er risico’s zijn verbonden aan het openbaar maken van deze informatie en dat vertrouwelijk houden van de analyse vanuit technisch oogpunt het meest wenselijk.
‘Ook het onder mijn verantwoordelijkheid gestarte Red team adviseert mij om niet tot openbaarmaking over te gaan. Deze risicoanalyse bevat volgens hen informatie die waardevol kan zijn bij het voorbereiden van een aanval op de systemen en processen van de gehele test- en traceerketen. De analyse bevat overzichten en beschrijvingen van informatiestromen en benoemt daarnaast de zwakke plekken in de systemen. Zo kan de risicoanalyse als handleiding voor kwaadwillende dienen en hen in staat stellen om een gerichte aanval te plaatsen op deze zwakke plekken. Alle risico’s afwegend is mijn oordeel dat openbaarmaking te veel risico’s kent.’
Risicoanalyse IT-systemen
Vorig jaar is onder verantwoordelijkheid van de Landelijke Coördinatiestructuur Testcapaciteit (LCT) opdracht gegeven tot het oprichten van de Regiegroep Digitale Ondersteuning Test- en Traceerketen (DOTT). De Regiegroep DOTT heeft afgelopen december in opdracht van VWS, GGD GHOR Nederland en RIVM een risicoanalyse opgeleverd. Op basis hiervan heeft de Regiegroep met alle betrokken ketenpartners een verbeterplan opgesteld met maatregelen om eerder gesignaleerde risico’s en kwetsbaarheden in de ketenbrede digitale ondersteuning en infrastructuur binnen de gehele test en traceerketen aan te pakken.
Het LCT heeft dit verbeterplan op 11 februari in concept vastgesteld. Het verbeterplan DOTT fase 1 ‘de basis op orde’ bestaat uit deelplannen die elk belegd zijn bij de ketenpartners. Elke ketenpartij is penvoerder voor haar acties en projecten. De regiegroep zorgt voor coördinatie, ondersteuning en sturing voor de rapportages.
Twee fases aanpak kwetsbaarheden
Het verbeterplan DOTT fase 1 gaat in op de acties met een korte horizon van zes weken (tot de audit) en drie maanden. Het streven is om eind maart fase 2 op te leveren die zal bestaan uit acties met een horizon van zes maanden of langer. Deze acties zullen meer innovatief en duurzaam van aard zijn. Daarvoor is het nodig dat eerst de basis op orde is.
Er zijn in totaal 28 deelplannen. GGD’en staan ‘aan de lat’ voor de helft van deze deelplannen. Overige deelplannen zijn verdeeld over RIVM, VWS, Dienst Testen en DOTT als ketenoverstijgende partij. Om deze deelplannen uit te voeren is veel specifieke capaciteit en projectmanagement nodig. De komende dagen wordt ook de laatste hand gelegd aan het verbeterplan DOTT fase 1 ‘de basis op orde’. De LCT heeft de Regiegroep DOTT verzocht een zogeheten ‘Gateway Review’ uit te voeren, waartoe is besloten.
Geen datadiefstal bij Coronatest.nl
Tot slot schrijft De Jonge over de koppeling van coronatest.nl met DigiD dat toezichthouder (Logius) meldt dat nieuwe aansluitingen een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald. Logius meldt daarbij dat met GGD GHOR Nederland het reguliere proces doorlopen wordt en dat op dit moment geen sprake is van een onveilige situatie. De toezichthouder geeft verder aan dat het doorlopen van dit proces een zaak is tussen Logius als toezichthouder en GGD GHOR Nederland. Er is in ieder geval geen sprake van mogelijke datadiefstal of het vrijelijk beschikbaar zijn van persoonsgegevens.
De NOS bracht 9 februari naar buiten dat de beveiliging van coronatest.nl, de overheidswebsite voor testafspraken en uitslagen, tekort schiet. Daardoor zijn de gegevens van miljoenen mensen die zich bij de GGD laten testen op het coronavirus onvoldoende beveiligd. Volgens de GGD was er sprake van achterlopen op het voldoen aan zes normen om DigiD te mogen gebruiken als inlogmiddel. Bij twee normen was er niet binnen de gestelde termijn afdoende actie ondernomen. Er zijn inmiddels afspraken voor een nieuwe deadline.
