De komende jaren verzekerd zijn van een baan? Word CISO! Wat je in huis moet hebben? Naast voldoende kennis van (security-)zaken moet je als ‘chef beveiliging’ in ieder geval in staat zijn om mensen binnen je organisatie aan te spreken op hun gedrag, ongeacht rang/functie en positie. Het Dreigingsbeeld Informatiebeveiliging van de IBD kan daarbij goed van pas komen.
Beeld: timothy muza via Unsplash
‘Vroeger was alles beter’. Of alles beter was, is nog maar de vraag, maar waarschijnlijk oogde alles wel simpeler. Ook voor gemeenten. Waar nog niet zo lang geleden gemeenten alleen te maken hadden met ratelende typemachines, faxapparaten en een enkele computer, hebben diezelfde gemeenten nu te maken met apps, Internet of Things, blockchain, robotica en artificial intelligence. Voeg daarbij zaken als hacks, datalekken en de factor mens en iedereen snapt dat beveiliging van informatie en systemen vandaag de dag meer dan serieus moet worden genomen. Toch is er nog een groot aantal mensen binnen gemeenten dat de noodzaak van een goede informatiebeveiliging niet of onvoldoende inziet. Jule Hintzbergen verbaast zich daar in hoge mate over. Sinds 2012 is Hintzbergen werkzaam bij de Informatiebeveiligingsdienst (IBD), onderdeel van VNG Realisatie, en hij ziet vrijwel dagelijks de gevolgen van het slecht omgaan met informatie en data. Om gemeenten meer bewust te maken van de risico’s van een slechte informatiebeveiliging, heeft de IBD in 2018 het eerste Dreigingsbeeld Informatiebeveiliging voor gemeenten uitgebracht en er wordt momenteel gewerkt aan een 2019-versie.
Het Dreigingsbeeld is niet uniek in zijn soort. Al langer (sinds 2011) bestaat het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC). “Het CSBN gaat met name over zaken als spionage en sabotage, over dingen die vanuit de BV Nederland als belangrijk worden gezien. Met sommige van die dingen zijn gemeenten niet bezig of ze zijn niet relevant voor hen. Het gevolg was dat gemeenten in veel gevallen het beeld van het NCSC links lieten liggen. Dat heeft er toe geleid dat wij als IBD besloten hebben om een gemeentelijke aanvulling op het CSBN te maken, waarin de dreigingen voor de lokale overheid specifiek zijn benoemd. Het Dreigingsbeeld heeft primair de taak om gemeenten nog eens goed te laten kijken naar hun beveiligingsbeleid en -plannen en ook scherp te krijgen of gemeenten goed zijn toegerust voor nieuwe ontwikkelingen en technologieën. In dat proces is er een belangrijke taak weggelegd voor de CISO (Chief Information Security Officer). Die moet niet alleen kijken naar plannen en ontwikkelingen, maar het onderwerp ook kunnen duiden richting zijn bestuur en organisatie.”
Zwakste schakel
Als gesproken wordt over dreigingsbeelden, dan wordt vaak het hacken van systemen als eerste genoemd. Maar hacken is maar één van de risico’s rondom informatie en beslist niet de grootste dreiging. Verrassend genoeg is dat de mens, de eigen medewerkers. Dat is de zwakste schakel, zo bleek ook uit het Dreigingsbeeld 2018. Jule Hintzbergen kan dat wel verklaren. “Gemeenten moeten veel wettelijke taken uitvoeren en de kans dat daar iets misgaat is levensgroot. Mails worden naar een verkeerd adres gestuurd, analoge post wordt naar een verkeerd fysiek adres gestuurd of gevoelige gegevens zijn zichtbaar voor derden, er worden te veel namen en mailadressen in het aanveld van een mailtje gezet of ze begrenzen het systeem niet goed (genoeg), zodat collega’s dingen onder ogen kunnen krijgen die zij niet mogen zien. Een en ander wordt nog eens uitvergroot door de eerdere meldplicht datalekken van de Wbp (Wet bescherming persoonsgegevens) en de Algemene verordening gegevensbescherming (AVG), de nieuwe Europese privacywet. Die wet is streng als het gaat om onzorgvuldige omgang met persoonsgegevens. De wet zorgt ervoor dat incidenten zichtbaar worden. Op het moment dat er nu een datalek wordt geconstateerd, zie je dat het ook direct wordt gerapporteerd, ook al omdat er hoge boetes staan op het niet melden van dergelijke lekken. Mijn vermoeden is dan ook dat ook in het Dreigingsbeeld 2019 de mens opnieuw genoemd wordt als een van de grootste bedreigingen voor de lokale informatievoorziening.”
Dreigingsbeeld Informatiebeveiliging 2018
In het Dreigingsbeeld Informatiebeveiliging 2018 werd een vijftal bedreigingen voor de lokale informatievoorziening gesignaleerd:
– Mensen maken fouten;
– Gemeenten zijn, net als organisaties, kwetsbaar;
– Dreigingen liggen ook (vlak) buiten de eigen organisatie;
– De waan van de dag bepaalt de agenda;
– We weten niet wat we niet weten.
Het is al gezegd: als het gaat om het thema informatieveiligheid binnen gemeenten heeft de CISO verreweg de belangrijkste functie. Toch wordt hun positie en invloed nog wel eens onderschat. Dat ziet ook Jule Hintzbergen. “De CISO moet binnen gemeenten de zwengel, de aanjager zijn van het securityproces, maar vaak krijgen ze daarvoor niet genoeg ruimte. Waar dat aan ligt? Aan het bestuur, aan de gemeenteraad, aan de ICT-afdeling, aan de CISO zelf. Een en ander is deels terug te voeren op de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten), een normenkader die het basis beveiligingsniveau aangeeft dat geldt voor de hele gemeente. Gemeenten waren verplicht om met de BIG aan de slag te gaan en hebben binnen hun organisatie iemand benoemd die dat op zich nam. In een aantal gevallen was dat een technisch beheerder op de ICT-afdeling die van de één op de andere dag het stempel CISO kreeg. Maar een CISO moet wel over bepaalde eigenschappen beschikken. Zo moet hij managers, gemeentesecretarissen en bestuurders kunnen adviseren en coachen, maar ook aanspreken en/of terechtwijzen. Ook moet hij redelijk onafhankelijk kunnen werken, vergelijkbaar met de FG (de Functionaris Gegevensverwerking bij de AVG). Dat leeft nog lang niet bij alle gemeenten.”
Wat Hintzbergen betreft mag de CISO zelf ook vaker ‘op de trom slaan’. “Iedere CISO moet elke kans voor bewustwording in communicatie aanpakken. Als CISO moet je continu bezig zijn met beveiliging. Het Dreigingsbeeld is een mooie aangelegenheid om naar je portefeuillehouder te stappen en uit te leggen wat dat betekent voor je gemeente. Ook zou de CISO bijvoorbeeld een artikel kunnen schrijven op het intranet over de rol van de medewerkers in het beveiligingsbeleid.”
Momenteel wordt achter de schermen gewerkt aan de 2019-versie van het Dreigingsbeeld. “Het plan is dat die versie in december van dit jaar wordt uitgebracht. Het betekent dat het pas invloed heeft in het jaar erna (2020), ook al omdat gemeenten meestal voor de zomer beginnen met de begroting voor het jaar erop. Voor ons betekent die planning dat wij nog verder vooruit moeten kijken en de situatie in moeten schatten zoals die in 2020 zal zijn. Overigens moet het Dreigingsbeeld te allen tijde gezien worden als hulpmiddel. Ook als het beeld er niet zou zijn geweest, moet een CISO nog steeds in staat zijn om te zien in welke mate de dreiging toeneemt of wanneer grote vervangingen nodig zijn en beveiligingscomponenten vervangen moet worden. Dat hoort bij de taakvolwassenheid van de CISO.”
Meer informatie?
Dreigingsbeeld 2018
Dreigingsbeeld 2019 (in voorbereiding)
Website IBD