Nieuw onderhoudsmanagementsysteem Rijksvastgoedbedrijf onvoldoende beveiligd
Het Adviescollege ICT (AcICT) maakt zich zorgen over de kwaliteit en de beveiliging van het nieuwe onderhoudsmanagementsysteem waar het Rijksvastgoedbedrijf aan werkt. Het 21 miljoen euro kostende programma moet deze zomer opgeleverd worden.
De IT-waakhond constateert in een advies dat het succes van het 21 miljoen euro kostende programma onzeker is, terwijl de streefdatum al op 1 juli 2024 is. De kwaliteit van het nieuwe systeem is op diverse vlakken nog onder de maat. De organisatie en leveranciers zijn daarnaast niet voorbereid op de nieuwe werkwijze die gepaard gaat met het nieuwe systeem. Het Rijksvastgoedbedrijf geeft bovendien te weinig sturing op doelen en eindbaten.
Niveau van informatiebeveiliging is te laag
Het nieuwe systeem lijkt onder meer niet te gaan voldoen aan enkele eisen op gebied van informatiebeveiliging. Er is intussen gekozen voor een tijdelijk lager niveau bij ingebruikname. In plaats van het oorspronkelijk geëiste beveiligingsniveau BBN3, waarmee bij het beschermen van vertrouwelijke informatie weerstand geboden moet worden tegen onder meer Advanced Persistant Threats (APT’s), die uitgaat van statelijke actoren en beroepscriminelen.
Maar zelfs het lagere beveiligingsniveau (BBN2) dreigt in de huidige aanpak niet gehaald te worden. Dit niveau wordt gebruikt wanneer ambtenaren informatie of bijzondere persoonsgegevens met een verhoogd vertrouwelijkheidsniveau verwerken. Het is bijvoorbeeld onduidelijk of er ook defensiedata gebruikt wordt in het systeem en hoe risico’s van mobiele apparaten van leveranciers worden verkleind. Deze risico’s voor de beveiliging zijn nu al urgent, omdat het overzetten van data naar de nieuwe omgeving al gestart is.
Ook het ontwikkelen van beveiligde leverancierstoegang wordt volgens AcICT onderschat, terwijl dit cruciaal is voor de ingebruikname. De infrastructuur voor de beoogde VPN-oplossing heeft vertraging opgelopen en moet nog getest worden. Ook is onzeker of alle achthonderd rijks leveranciers wel in staat zijn om deze VPN aan te sluiten. Alternatieven zijn er daarbij niet. Ook zijn er problemen met autorisatie. Het is mogelijk dat sommige gebruikers te ruime toegang krijgen in het systeem omdat de autorisatie-inrichting niet aansluit op nieuwe processen. Ook hier is nog geen plan voor ontwikkeld.
Kwaliteit van data is ondermaats
Behalve securityzorgen zijn er nog een tal zorgen over de voorbereiding van eigen medewerkers en leveranciers. Ook kwaliteit van functionele testen blijft achter omdat gebruikers te weinig testkennis hebben en veelal op basis van aannames werken. De kwaliteit van het systeem is onvoldoende omdat de datakwaliteit laag is; er ontbreken veel basisgegevens die nodig zijn voor een correcte werking.
AcICT schrijft een flink aantal maatregelen voor die ervoor moeten zorgen dat de kwaliteit van het nieuwe onderhoudsmanagement aan de minimale kwaliteitseisen voldoet die nodig zijn bij de ingebruikname. Deze gaan onder meer over de kwaliteit van gegevens, het testen en informatiebeveiliging. “Tref zo snel mogelijk gerichte beveiligingsmaatregelen om vastgoedgegevens voldoende te beschermen op alle omgevingen bij ODC-Noord. Zorg dat gevoelige vastgoedgegevens niet op deze omgevingen worden geplaatst voordat deze maatregelen zijn getroffen.”
