Deloitte en KPMG waarschuwden Kadaster over ICT problemen

21 februari 2017 Consultancy.nl

Het Kadaster kampt met grote IT-problemen. Dat blijkt uit een intern veiligheidsrapport in handen van het FD. De directie van de instelling is al zo’n 5 jaar geleden op de hoogte gesteld van de problemen – zakelijke dienstverleners Deloitte en KPMG hebben in rapportages meerdere keren gewaarschuwd voor de slechte staat van de infrastructuur van het Kadaster. De directie geeft aan alles te doen om zijn IT-systemen veilig te houden en belooft dat een groot deel van de problemen aan het einde van dit kwartaal verholpen zullen zijn.

Het Kadaster houdt in opdracht van de overheid een register bij van de ligging van vastgoed in Nederland, evenals de eigendomsrechten en hypotheekrechten die daarbij horen. Wat er in het Kadaster staat vermeld, geldt als waarheid. De grote hoeveelheden data bieden rechtszekerheid aan gebruikers van het Kadaster, zoals notarissen, voor het bepalen welke grond van wie is en wie welke rechten heeft.

Maar volgens een intern veiligheidsrapport waar het FD inzicht in heeft gekregen zou de rechtszekerheid van het Kadaster in het geding kunnen komen door langslepende IT-problemen. Uit het rapport blijkt dat de ICT van het Kadaster onder meer hoge risico’s heeft op discontinuïteit en ongeautoriseerde toegang. Ongeautoriseerde toegang tot het Kadaster zou er toe kunnen leiden dat er onjuiste informatie in de registraties verzeild kan raken, terwijl notarissen die informatie wel als ‘waar’ zullen aannemen.

ICT problemen bij het Kadaster

Dat het Kadaster te maken heeft met aanzienlijke veiligheidsproblemen bleek al enkele jaren terug. Rapportages van Deloitte (2012) en KPMG (2013, 2014) toonden al aan dat verbetering noodzakelijk was. De zakelijke dienstverleners waren onder meer kritisch over de onduidelijkheid over wie welke rechten en verantwoordelijkheden heeft ten aanzien van het veilig houden van de systemen, evenals over de te beperkte toegangscontrole voor de SAP-systemen. Mede naar aanleiding van deze rapporten werd in 2014 een ‘Taskforce SAP’ in het leven geroepen, dat de taak kreeg om verbeteringen door te voeren. Maar uit het veiligheidsrapport blijkt dat een aantal van deze verbeteringen nog steeds niet zijn opgepakt.

Het blijkt dat er tot minimaal een jaar geleden nog geregeld werd gewerkt met onbeveiligde USB-sticks en dat er onduidelijk is of de uitwijkmogelijkheden bij calamiteiten functioneren of niet. Sommige systemen bij de overheidsinstelling zouden nog werken met Windows 2003 en de beveiliging zou onvoldoende zijn berekend op medewerkers die buiten kantoor werken via mobiel, cloud, of bijvoorbeeld een internetcafé. Volgens het rapport heeft het Kadaster ondanks de IT-problemen in 2016 per maand zo’n 11.000 DDoS-aanvallen van hackers weten te doorstaan, zonder dat de systemen zijn aangetast. 

Het Kadaster zegt in reactie op de berichtgeving van het FD over de IT-problemen dat het oplossen hiervan topprioriteit heeft. Als alles volgens plan verloopt, zou aan het eind van het eerste kwartaal van 2017 75% van de zwaarste problemen moeten zijn teruggebracht tot ‘beheersbare proporties’. Daarnaast nuanceert het Kadaster de berichtgeving van de krant, door aan te merken dat alle risico’s die beschreven zijn in het veiligheidsrapport in de juiste context gezien moeten worden.

De directie schrijft: “Het is van cruciaal belang de juiste interpretatie van de gegevens te kennen bij het lezen van deze rapporten. Wij relateren onze risicoduiding aan een zeer hoge standaard en ambitie die wij onszelf hebben gesteld en gedefinieerd voor de dag van morgen. We doen dat op een hoog detailniveau en zijn permanent bezig met het oplossen van mogelijk te verwachten risico’s. Daarmee is het niet zo dat die risico’s per definitie actueel zijn.”