Informatiebeveiliging; het begrip is inmiddels niet meer uit de gemeentelijke agenda’s te schrappen. Een centrale rol hierin is weggelegd voor de CISO (chief information security officer), die sinds de invoering van de BIO (baseline informatiebeveiliging overheid) verplicht is. Hoe de functie wordt ingevuld beschrijft de BIO niet. Voor Mario Damen, CISO van Winterswijk, is dat geen probleem. “Informatiebeveiliging is een passie en een beetje pionieren past mij wel.”
‘De risico’s van thuiswerken zijn in deze coronatijd toegenomen, zoals onbeveiligde verbindingen of vergaderen in de achtertuin. Wat dek je af en wat niet? Is het bijvoorbeeld een restrisico dat je gezin met je werk mee kan kijken of dek je dat af met een procedurele maatregels als een geheimhoudingsverklaring?’ Beeld: Vinzent Weinbeer / Pixabay
Als voormalig informatiemanager van gemeente Winterswijk was de overstap naar CISO én FG (functionaris gegevensbescherming) een logische. “Ook in deze dubbelrol gaat het om het in beweging zetten van processen die nog niet goed werken,” vertelt Damen. “Ik houd me uitdrukkelijk niet bezig met uitvoering, dat zou tot belangenverstrengeling kunnen leiden, maar met beleid en coördinatie. En vooral met het meenemen van de mensen in dat beleid. Mijn motto is: loop niet eerder dan dat je draagvlak en goedkeuring hebt van de top van het management. Als je dat draagvlak niet hebt, kun je willen wat je wilt, maar krijg je de rest van de mensen niet mee. Het is binnen de gemeenten hartstikke druk en informatiebeveiliging en privacy zijn niet de onderwerpen waar je politiek snel mee kunt scoren, de gevoelde urgentie is nog niet aanwezig. Raar eigenlijk, want juist als er op dat vlak wat misgaat, ga je nat. Dat hebben recente voorbeelden wel aangetoond. Vandaar dat die bewustwording bij het management zo belangrijk is. Maak ze gevoelig voor de risico’s die ze lopen.”
In vergelijking tot de BIG (Baseline Informatiebeveiliging Gemeente) legt de BIO de nadruk op risicomanagement. Met de BIO voert de gemeente voorafgaand aan de implementatie een risicoanalyse uit en niet achteraf zoals met de BIG het geval was. Voor Winterswijk – en voor vele andere gemeenten – een flinke draai die gemaakt moest worden. Damen: “Dat is nu waar ik vooral mee bezig ben, het opzetten van risicomanagement. De BIO kent 114 verplichte controles die je per verwerking – en dat zijn er voor Winterswijk zo’n kleine 415! – moet doorvoeren. Dat is administratief niet te doen, dus heb ik ervoor gekozen om het per logische eenheid op de pakken. In een logische eenheid, neem Burgerzaken of de Wmo, zijn de risico’s vaak vergelijkbaar. En in het sociaal domein bijvoorbeeld zijn de risico’s over de hele linie hoog en kun je een gecombineerde risicoanalyse maken. Hierbij geldt: rapporteer aan management en bestuur niet eerst over de maatregelen, maar vlieg het aan via die risico’s, zodat ze een inschatting kunnen maken van te nemen maatregelen. Dan hoef je echt geen horrorverhalen over de Lochem-hack of zo voor te spiegelen. Angst is een slechte raadgever en risico’s kun je heel goed concreet beschrijven.”
Bruto/netto
Een risico is een onzekere gebeurtenis met ongewenste gevolgen voor de organisatie, aldus de omschrijving van de Informatiebeveiligingsdienst (IBD). Risico’s kunnen netto en bruto zijn. Brutorisico’s zijn risico’s waarvoor nog geen maatregelen genomen zijn of waar het effect van maatregelen nog niet in verwerkt is. Het nettorisico, ook wel restrisico genoemd, is wat er overblijft nadat er maatregelen genomen zijn. Als het effect van het restrisico te hoog is kunnen er aanvullende beheersmaatregelen nodig zijn om het restrisico verder te verlagen. “Neem de risico’s van thuiswerken die in deze tijd zijn toegenomen, zoals onbeveiligde verbindingen of vergaderen in de achtertuin. Wat dek je af en wat niet? Is het bijvoorbeeld een restrisico dat je gezin met je werk mee kan kijken of dek je dat af met een procedurele maatregels als een geheimhoudingsverklaring? Een ander voorbeeld: communiceren via WhatsApp over afval ophalen is prima, maar wat als het om casuïstiek gaat in een jeugdzaak? Accepteer je het als restrisico dat mensen dat toch doen of is dat in dit geval te hoog en is een aanvullende beheersmaatregel nodig? Op het moment dat de verantwoordelijke manager een restrisico accepteert, is dat zijn of haar verantwoordelijkheid.”
Openheid
Ook met de andere pijler onder informatiebeveiliging, privacy en de AVG, heeft Damen het druk. Daarmee richt hij zich direct op alle collega’s binnen de gemeente. “Ik wil een dossier opbouwen van elke collega; hoe zit het met de bewustwording rond informatieveiligheid en privacy, waar liggen iemands specifieke kwaliteiten rond dit thema, waar moeten we bijscholen.” Damen draait er zijn hand niet voor om om zelf een phishing mail de organisatie in te sturen. En ja, hij houdt de scores (trap je erin?) bij. Voelen zijn collega’s zich niet een beetje bedrogen door dit soort acties? “Dat is een kwestie van hoe je het brengt. Mijn eerste bewustwordingsworkshop hield ik in de middagpauze. Zoals verwacht was de opkomst laag. Ik heb toen op het scherm live laten zien hoe gemakkelijk ik het account van de algemeen directeur kon hacken en mailtjes in zijn naam kon sturen met alles erop en eraan. De volgende workshops zaten allemaal vol. Nu men zich realiseert hoe makkelijk het is, wil iedereen weten wat ze er zelf eraan kunnen doen. Dan kun je steeds verder verdiepen: hoe beveilig je je pc thuis, hoe je telefoon, enzovoort. De openheid waarmee ik dit benader is belangrijk; het gaat niet over afrekenen. Laat het zien, dan wordt het minder abstract. Als een afdeling nu bijvoorbeeld slecht scoort op phishing, weten ze dat ze extra ondersteuning kunnen vragen. En maak het leuk. Ik ben bezig met het ontwikkelen van een game, een soort escaperoom waarin je via aanwijzingen en opdrachten een computer moet hacken. Onderweg leer je hoe wachtwoorden zijn opgebouwd, hoe encryptie werkt, hoe je een computer binnenkomt met social engineering, dat soort zaken. Binnen een uur moet je de puzzel oplossen, afdeling tegen afdeling, want competitie maakt fanatiek. Dat is echt veel leuker dan een verzameling sheets! De IBD heeft ook een game, maar die is gericht op medewerkers die zich met informatieveiligheid bezighouden. Deze is voor alle medewerkers in de gemeente.”
Veerkracht
Over de IBD is Damen overigens goed te spreken. “Het was echt nodig dat er een soort centrale club kwam waar kennis en vakgenoten samenkomen en waar producten ontwikkeld worden. Heel goed dat er steeds meer in coproductie wordt gedaan met mensen uit het veld. Zelf schrijf ik mee aan het awarenessplan. Het vakgebied is relatief jong en de ontwikkelingen gaan razendsnel. Het zwaartepunt is nu aan het verschuiven van beveiliging sec naar veerkracht: je kunt niet alles voorkomen, maar wel zorgen dat je door kunt werken als je onverhoopt gehackt wordt. Zo realiseren we ons ook steeds beter dat we niet alleen in technologie moeten investeren, maar ook in de mens; die is veelal de zwakste schakel als het om informatieveiligheid gaat. Aanvallen worden intensiever en meer gericht op het individu. Daar moeten we samen, óók met de markt, een vuist tegen maken. Dat vind ik overigens wel lastig: leveranciers die bepaalde privacy-oplossingen tegenhouden omdat ze de data bij zichzelf houden. Daar wil ik veel meer transparantie in zien. En nu we het daar toch over hebben: ik vind dat we als gemeenten onze eigen broek moeten ophouden op gebied van informatiebeveiliging. Kijk naar de hack in Lochem; daar werden meteen bedrijven ‘van buiten’ ingevlogen die het overnamen. Inmiddels hebben we genoeg kennis en kunde in eigen huis. Laten we liever zelf een landelijke vliegende brigade vormen die ingeschakeld kan worden bij calamiteiten. Ik meld me daar graag voor aan!”