Securitybedrijven die onder andere 'lekke' gemeentesites moeten onderwerpen aan een grondige audit, hoeven zelf niet aan standaarden te voldoen en worden niet gecontroleerd op hun expertise. De sector roept op tot standaarden.

In tegenstelling tot bijvoorbeeld Duitsland hoeven securitybedrijven in Nederland niet aan specifieke eisen te voldoen, ook niet als zij voor de overheid werken. Securitybedrijven vinden dat collega-bedrijven echter lang niet altijd competent genoeg zijn en roepen daarom op tot standaarden, blijkt uit een rondgang van Tweakers.net langs verschillende ondernemingen. "Iedereen kan in Nederland een securitybedrijf oprichten. De bedrijven kunnen doen en laten wat ze willen, zonder dat ze door een onafhankelijke partij worden gecontroleerd", constateert Henk-Jan Angerman van SecWatch. Hij komt naar eigen zeggen 'te veel' securitybedrijven tegen die het niet zo nauw nemen met de kwaliteit van hun werk. Zo komt het volgens hem voor dat hij een audit van een collega moet controleren, waarbij er zichtbaar steken zijn laten vallen.

Een gevaarlijke situatie, vindt ook Hans Kortekaas van SurfPlan. "Het niveau van securitybedrijven moet worden opgekrikt. De overheid of de industrie zou daar een leidende rol in kunnen nemen door het opwerpen van bepaalde standaarden, waar elk securitybedrijf uiteindelijk aan moet voldoen. Hoe wordt bijvoorbeeld een audit uitgevoerd en hoe vaak? De standaarden moeten daarvoor duidelijke grenzen aangeven, zodat alle basisuitgangspunten hetzelfde zijn."

Momenteel controleert overheidsdienst Logius of gemeentesites op een veilige manier DigiD aanbieden. In geval van nood kan de dienst worden ingetrokken. Voor de rest van de website is de gemeente echter zelf verantwoordelijk. Hoewel er beveiligingsrichtlijnen en checklijsten voor overheidssites bestaan, zijn er geen regels voor de partij die de sites aan een dergelijke controle onderwerpt. Kortekaas: "De controle van de keten is zoek. Er moet gekeken worden naar de bedrijven die de audits uitvoeren, of ze wel de expertise hebben. Niemand controleert of ze een penetratietest goed kunnen uitvoeren, en wie dat doen. Dat zouden in theorie zelfs criminelen kunnen zijn."

Standaarden voor beveiligingsbedrijven die voor bijvoorbeeld gemeentes werken ontbreken inderdaad, bevestigt de overheidsdienst voor digitale beveiliging Govcert desgevraagd tegenover Tweakers.net. Mark Koek van Fox-IT betreurt dit: "Er is in deze markt geen kwaliteitsstandaard aanwezig. Daardoor kunnen ook bedrijven die alleen maar een enkel tooltje gebruiken, een audit uitvoeren. Zij controleren daarbij niet op geavanceerde veiligheidslekken". Koek kreeg naar eigen zeggen onlangs een beveiligingsrapport van een gemeente onder ogen, waarbij de externe partij verschillende belangrijke procedures over het hoofd zag. Die situatie zou zelfs met een second opinion niet altijd kunnen worden voorkomen. "Ook bedrijven die een second opinion in opdracht van de gemeente uitvoeren, beschikken mogelijk niet over de juiste kennis."

Koek vindt het maken van eventuele uitgangspunten niet onverstandig. Al zijn die volgens hem moeilijk te realiseren; standaardbeveiliging is volgens hem continu aan veranderingen onderhevig. Kortekaas en Angerman wijzen als reactie daarop naar Duitsland. Daar bestaan al bepaalde eisen voor bedrijven die voor de overheid werken. Zo verplicht de Bundesamt für Sicherheit in der Informationstechnik bedrijven van bepaalde software gebruik te maken. Ook zijn er tal van beveiligingsrichtlijnen waaraan securitybedrijven kunnen voldoen. Hoewel ze niet allemaal verplicht zijn, blijkt in de praktijk dat veel afnemers ze ter controle toch hanteren.

De securitybedrijven doen hun oproep nadat eerder dit jaar verschillende ict-incidenten met betrekking tot de overheid plaatsvonden. Zo kraakte een hacker de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. DigiNotar hield de kraak lange tijd stil en het bleek dat de beveiliging bij het Beverwijkse bedrijf op meerdere vlakken niet op orde was. Recentelijk bleken tientallen gemeentesites vatbaar voor verschillende hackaanvallen, waardoor gegevens van burgers en ambtenaren op straat konden komen te liggen. Als reactie daarop wil het parlement een zogeheten 'ict-brandweer' oprichten.