Digitale weerbaarheid
Interview

Overheden moeten aan de bak met softwarelicenties

Een berg gekleurde blokken
Zo’n 20 procent van alle rijksambtenaren werken voor meerdere ministeries en hebben vaak meerdere licenties voor dezelfde programma’s. | Beeld: Shutterstock

Softwarelicenties kosten de overheid vele miljoenen, maar discussie over geld is volgens Olivier van der Post, senior beleidsmedewerker CIO Rijk achterhaald. Softwarelicenties zijn nu een veiligheidskwestie. En er moet nog ontzettend veel gebeuren.

Als het gaat over softwarelicenties wordt door de buitenwacht vooral op de portemonnee gefocust, stelt Olivier van der Post. Het is vooral van belang om alle software en hardware goed in kaart te brengen. “Met de huidige digitale dreigingen, zoals staatshackers, moet je met één klik op de knop alle componenten van bijvoorbeeld Huawei of Kaspersky kunnen vinden. Als er kwetsbaarheden in veelgebruikte software zijn, wil je meteen weten waar deze zich bevinden. Dat overzicht is er nu nog lang niet bij de overheid.”

Visiedocument op komst

Voor CIO Rijk probeert Van der Post daaraan bij te dragen. Zijn grootste uitdaging is het harmoniseren van de omgang met informatie over ICT-middelen, aangezien de departementen vaak verschillende tools gebruiken om hun al hun ICT-middelen, inclusief licenties, in kaart te brengen. Van der Post werkte daarom een visiedocument uit dat voor de gehele Rijksoverheid geldt.

“Ik zie het als een stip aan de horizon waar alle departementen van overheid qua beleid met softwarelicenties op termijn naartoe moeten”, aldus Van der Post. “Iets verplichten werkt vaak niet in overheidsland, in dit document schetsen we daarom stappen die departementen kunnen nemen om zich op hun eigen tempo goed voor te bereiden op nieuwe ontwikkelingen.”

Dubbele licenties

Het Rijk heeft een gigantische hoeveelheid softwarelicenties. Veel ervan worden niet gebruikt, zegt hij. “Er is veel laaghangend fruit. We weten bijvoorbeeld niet hoeveel ambtenaren momenteel een ‘dubbel’ account hebben met meerdere softwarelicenties voor één programma. Wie bijvoorbeeld voor JenV werkt, krijgt een account met een eigen e-mailbox en applicaties.” Volgens zijn schatting werkt zo’n 20 procent van alle rijksambtenaren echter voor meerdere ministeries, met meerdere licenties voor dezelfde programma’s. “Dit kun je oplossen met nieuwe manieren van inloggen en identiteitsmanagement.”

Cybersecurity

Meer grip op de enorme hoeveelheid aan IT-assets is ook nodig vanuit het oogpunt van veiligheid én omdat voorkomen moet worden dat de IT van de overheid uitvalt. Want volgens Van der Post is dit van levensbelang voor de verzameling verouderde overheidssystemen. “Het lifecyclemanagement is niet op orde. We werken met verouderde programmatuur. Nu gaat de overheid er vaak nog vanuit dat de leverancier wel zorgt voor updates en patches, maar wanneer een Java-softwarepakket geen updates krijgt of een IT-leverancier failliet gaat, dan werkt software niet meer.”

Wanneer NIS2 van kracht is, valt geen overzicht hebben niet uit te leggen
Olivier van der Post, senior beleidsmedewerker CIO RIjk

Het grote probleem is dat er geen of weinig geharmoniseerd inzicht is in wat de overheid in huis heeft aan ICT, vertelt Van der Post. Er moet binnen de overheid gezamenlijk worden nagedacht over manieren om dit te verkrijgen, vindt hij. “Harmonisering van de informatie over ICT-middelen was bij het Rijk tot nu toe altijd lastig, juist omdat ieder departement zijn eigen werkwijze heeft. Het is nu zaak om alles op één lijn te krijgen. Zodat we centraal beleid kunnen maken en toepassen met dezelfde tools.”

“NIS2 bonkt op de deur”

Ondertussen dringt de de tijd. Niet alleen omdat er vele buitenlandse staatshackers aan de digitale sloten van Den Haag morrelen, ook omdat het Rijk in een situatie zit waarin het door wetten ‘gedwongen’ wordt om alle software tot in detail in kaart te brengen. “NIS2 bonkt op de deur. Wanneer deze van kracht is, valt geen overzicht hebben niet uit te leggen.” Van der Post wijst ook op de bijkomende verantwoordelijkheid om securitydata gestandaardiseerd met de hele informatieketen uit te wisselen. “Alleen op je eigen afdeling zitten gaat niet meer. Er is inzicht nodig over alle partijen waarmee je gegevens uitwisselt, dus ook alle toeleveranciers.”

Te weinig capaciteit

Zonder geharmoniseerd inzicht is de kans dat de overheid op tijd aan cybersecurity-wetgeving voldoet nihil, vreest Van der Post. Bovendien ontbreekt het aan mankracht om deze enorme klus uit te voeren. “Dat is ook de reden dat we met CIO Rijk voor een visie hebben gekozen en niet voor hard beleid. Zo kan iedere organisatie in zijn eigen tempo toch kleine stappen maken in de juiste richting.”

Het visiedocument zorgt er ook voor dat ambtenaren naar hun bestuur kunnen stappen met een verzoek om investeringen. Als dit gebeurt, verwacht Van der Post een grote impact. “Al in 2016 was ik hier al mee bezig voor JenV. Toen was al duidelijk dat het op een dag noodzaak was om alle software en hardware van de overheid in kaart te brengen. Vanuit kostenoogpunt zijn destijds andere keuzes gemaakt. Een enorme gemiste kans, blijkt nu.”

Dat digitale dreigingen zo heftig zouden worden, was bovendien ook al lang voorspeld. “Behalve de komst van kwantumcomputers hadden we dat wel verwacht. Inmiddels staan we met onze rug tegen de muur. Ik baal ervan dat we nu moeten ‘puinruimen’, tegelijkertijd geeft het ook nieuwe energie om vanaf nu te voorkomen dat we in de toekomst opnieuw zwalken.”

Lees de volledige versie van dit interview in iBestuur Magazine #51 van juli 2024
Nog geen (gratis) abonnement? Klik HIER

Lees ook:

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren