Gemeenten moeten nog veel meer doen om de technologie die zorgt voor onder meer het functioneren van sluizen, bruggen en gemalen te versterken. Dat blijkt uit een factsheet die de Informatiebeveiligingsdienst voor gemeenten (IBD) heeft gepubliceerd, waarin gesproken wordt over een ‘lastig vraagstuk’.
In het document wordt beschreven waar gemeenten met IACS, (Industrial Automation & Control Systems) nog steken laten vallen en zich kunnen verbeteren. Ook worden er manieren beschreven waarop gemeenten hun beveiliging beter op orde kunnen brengen. De IBD gaat daarom de komende maanden samen met de Expertgroep Procesautomatisering Gemeenten en RWS aan het werk om een aanpak te ontwikkelen.
Met IACS wordt het samenspel van sensoren, actuatoren en besturing van technologie bedoeld, die bij gemeenten onder meer het functioneren van sluizen, gemalen en bruggen, noodstroomvoorzieningen, parkeergarages, sensoren en de werking van verkeersregelsystemen mogelijk maakt.
Taakverdeling lastig vraagstuk
De taakverdeling bij gemeenten bij het beschermen van IACS wordt door de IBD omschreven als ‘een lastig vraagstuk’. Bij de ICT van gemeenten is duidelijk dat de CISO taken op zich neemt. ‘Voor IACS is hier vaak nog niet over nagedacht. Er kunnen traditioneel gezien verschillende beleidsafdelingen van de gemeente een rol hebben bij IACS en zij regelen vaak alles zelf. Er is vaak geen eenduidig beeld binnen de gemeente over de inzet van IACS, wie de eigenaar ervan is, hoe het beheerd wordt en tenslotte de beveiliging ervan.’ Volgens de IBD is het essentieel om de controle van de security van IACS bij de CISO te beleggen.
De belangrijkste risico’s ontstaan volgens de IBD onder meer doordat de gemeentelijke CISO niet betrokken is bij IACS. De basisbeveiliging is niet voldoende en er worden onvoldoende maatregelen genomen in de beheeromgeving. Een veelvoorkomend misverstand is dat gemeenten ervan uitgaan dat fysieke beveiliging voldoende is. Verder worden onder meer slecht en onvoldoende testen genoemd en programmeerfouten die kwetsbaarheden met zich mee brengen.
Verbetertips
DE IBD adviseert gemeenten in het document onder meer om te inventariseren waar IACS gebruikt wordt in de gemeente en wie de eigenaar is. Vervolgens is het zaak om IACS-projecten aan te wijzen en vooraf eisen te stellen aan de beveiliging bij nieuwe IACS. De bestaande kwetsbaarheden en ontbrekende securitymaatregelen moeten worden onderzocht. Tot slot is het zaak om alle IACS aan te laten sluiten bij het gemeentelijke kwetsbaarheden management, patchmanagement en risicomanagement.
Het belang van IACS-beveiliging kan volgens de IBD niet worden overschat. ‘Gebreken hierin kunnen leiden tot verstoringen die direct impact hebben op de fysieke wereld en het welzijn van burgers. De risico’s variëren van cyberaanvallen tot programmeerfouten en het verkeerd inzetten van beheeromgevingen.’