overheid & IT

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

<webwereld column>

Een kamerlid strompelt hoestend binnen bij de dokter. Er loopt bloed uit oren en neus en het linkeroog. “Dokter, ik ben daarnet lelijk gevallen en ik geloof dat ik mijn pols gebroken heb” rochelt het kamerlid. De dokter kijkt naar de pols en voelt er even aan. “Doet dit pijn?”. “Gaat wel” steunt het kamerlid. “Ik geloof dat het wel meevalt” zegt de dokter, “Ik kan vandaag helaas geen röntgenfoto maken want het digitale röntgenapparaat doet het vandaag niet.” Het kamerlid zwaait een en weer. “Het is waarschijnlijk een kneuzing, de verpleegkundige zal u een verband geven. Doet u het een paar dagen rustig aan en mocht de pols dan nog steeds pijnlijk zijn kom dan even terug”. Het kamerlid wankelt de spreekkamer uit, nog steeds bloedend uit oren, neus en oog. De dokter is al weer bezig met het dossier van de volgende patiënt, want doktoren hebben het nu eenmaal druk.

Het hierboven beschreven proces lijkt wel een beetje op de werkwijze van de Algemene Rekenkamer in de beantwoording van vragen gesteld door Kamerleden. De Kamerleden als non-experts een vraag en de Rekenkamer beantwoordt deze zonder de context van de vraag te analyseren of zich af te vragen of de genoemde symptomen wellicht onderdeel zijn van een breder probleem. In het net verschenen rapport worden de vragen netjes beantwoordt, overigens op basis van de meest minimale data. En dat is jammer want het is juist de Rekenkamer die de mogelijkheid heeft zelf vast te stellen dat er wellicht een vraag achter de vraag zit. In plaats van een discussie te houden over 88 miljoen euro aan licentiegelden (minder dan 1% van de totale jaarlijkse licentiebestedingen) had de Rekenkamer ook de vraag kunnen stellen waarom dingen die in omringende landen wel kunnen niet in Nederland lukken. Is Nederland echt zo anders dan Finland, Duitsland, Frankrijk of Spanje?

<webwereld column>

Je zal de komende dagen maar woordvoerder van Translink zijn. Echt balen. Maar eigenlijk zouden Translink en de verantwoordelijke bewindslieden Brenno et al heel dankbaar moeten zijn. Want door er op deze nette manier aandacht aan te geven is er in ieder geval een kans op het vermijden van heel veel toekomstige fraude. Een handvol journalisten met activistische insteek hebben wederom de rol van Hans Brinker gespeeld en hun vinger in de lekkende dijk gestopt om vervolgens heel hard te roepen 'Help! Er is een lek!'.

Na verloop van tijd (kan soms 3 jaar duren) komt er dan iemand om het gat in de dijk te pluggen met een oude theedoek en een schroevendraaier. De onderliggende problemen worden niet besproken en dus ook zeker niet opgelost. Na verloop van tijd is er weer een ander lek waar dan hopelijk weer iemand z'n vinger in steekt. Zo hobbelen we al zeker tien jaar van drama naar drama. C2000, Walvis, EPD, Stemcomputers, OV-chip, Kind-Dossier, GOUD, P-direkt, SPEER en vele, vele andere publieke succesnummers die trouwe Webwereld lezer wel zal herkennen.