Artikel

Voorbereid zijn op cyberdreigingen

Informatieveiligheid en privacy blijven voor gemeenten belangrijke onderwerpen. Het recente Dreigingsbeeld van de IBD helpt gemeenten om de juiste maatregelen te treffen.

Met het Dreigingsbeeld informatiebeveiliging voor gemeenten schetst de Informatiebeveiligingsdienst voor gemeenten (IBD) een beeld van de belangrijkste risico’s en maatregelen. Nausikaä Efstratiades, hoofd IBD: “We hebben dit beeld opgesteld op basis van gesprekken met gemeenten en een analyse van meldingen en incidenten.” Meer kennis delen en leren van elkaar is een belangrijke aanbeveling van de Visitatiecommissie Informatieveiligheid, die eind vorig jaar haar eindverslag presenteerde.

Wim Blok was lid van de visitatiecommissie en heeft als lid van de Taskforce Samen Organiseren het onderwerp informatieveiligheid in zijn portefeuille: “Het allerbelangrijkst is dat gemeenten de risico’s die zij lopen goed in kaart brengen, afwegen welke risico’s zij acceptabel vinden en bepalen of en welke maatregelen getroffen moeten worden.” Efstratiades: “Kort samengevat willen we met het Dreigingsbeeld het management en bestuur van gemeenten in staat stellen om echt richting te geven aan hun informatiebeveiliging.”

Groeiende bewustwording

Als lid van de Visitatiecommissie zag Blok dat gemeenten zich steeds meer bewust werden van het feit dat informatiebeveiliging aandacht nodig heeft. “We zagen globaal een ontwikkeling van een focus op technische maatregelen naar meer nadruk op het investeren in bewustwording bij medewerkers. Ook zagen we een verschuiving van verantwoordelijkheden: de tijd dat het gemeentelijke management en bestuur dachten dat informatieveiligheid alleen iets was van de IT-afdeling, is wel voorbij.”

Qua processen hebben gemeenten met de Baseline Informatiebeveiliging (BIG) een normenkader waarmee zij hun informatiebeveiliging juist kunnen inrichten, maar het alleen op papier goed regelen is niet voldoende, benadrukt Blok: “Je moet blijven investeren in bewustwording in de hele organisatie en je maatregelen steeds aanpassen aan de snel veranderde omgeving.” Het onderwerp blijft (bestuurlijke) aandacht nodig hebben en daarom staat het op de agenda van de Taskforce Samen Organiseren. Blok: “We gaan niet een nieuw programma starten, want de IBD werkt goed. Informatieveiligheid en privacy zijn wezenlijke onderdelen voor het goed functioneren van een gemeente. Daarom is het een onderwerp waar de Taskforce aandacht voor vraagt.”

Naast informatieveiligheid is privacy een belangrijk onderwerp voor gemeenten. Beide worden vaak in één adem genoemd. Toch zijn ze niet hetzelfde. Voor het goed borgen van privacy is een goede informatieveiligheid vereist, maar om te voldoen aan de privacyregels is meer nodig. Bijvoorbeeld inzicht waar welke persoonsgegevens worden bewaard en wie toegang heeft tot deze informatie. Dat is een heikel punt, schetst Blok: “De huidige informatievoorziening van gemeenten is complex, met alle koppelingen en data die op meerdere plekken worden opgeslagen. Dat maakt het ondoenlijk om een goed overzicht te krijgen. Dit is een belangrijke reden waarom de Taskforce inzet op Common Ground.”

Omdat Common Ground nog in ontwikkeling is, gemeenten kunnen het niet morgen al gebruiken, gaat op korte termijn een aantal collectieve voorzieningen gemeenten helpen om veiliger te werken. Zoals de GGI (Gemeentelijke Gemeenschappelijke Infrastructuur), met onder meer monitoring van het netwerkverkeer. Efstratiades: “Deze collectieve voorzieningen zijn belangrijk, maar gemeenten moeten ook oog blijven houden voor organisatorische maatregelen en – belangrijker nog – het menselijk handelen.” Er is nog genoeg te doen voor gemeenten om de informatieveiligheid te vergroten en te voldoen aan de privacyregels, stellen beiden. Blok: “Het Dreigingsbeeld geeft bestuurders duidelijke handvatten wat zij nú kunnen doen.”

Het Dreigingsbeeld

Vijf grootste risico’s

– Mensen maken fouten.
Zij klikken bijvoorbeeld op onveilige links, openen besmette bestanden of versturen persoonsgegevens op een onveilige manier.
– Gemeenten zijn kwetsbaar.
Gemeenten werken met veel (gevoelige) persoonsgegevens, maar zijn zich vaak onvol- doende bewust van de risico’s die zij daarbij lopen.
– Dreigingen van buiten.
Gemeenten functioneren in een netwerk van partners en leveranciers. Heeft de gemeente zicht op de risico’s daar?
– De waan van de dag bepaalt de agenda.
Informatiebeveiliging en privacy krijgen daardoor niet altijd de aandacht die nodig is.
– We weten niet wat we niet weten.
Een overzicht van alle risico’s ontbreekt bij veel gemeenten. Nog lang niet alle gemeenten monitoren bijvoorbeeld het verkeer op hun netwerk.

Vijf maatregelen

– Blijf investeren in bewustwording.
Maak informatieveiligheid bijvoorbeeld onderdeel van het functioneringsgesprek met medewerkers.
– Elimineer kwetsbaarheden.
Breng de belangrijkste risico’s in kaart en neem gepaste maatregelen.
– Zorg voor een plan B.
Honderd procent veilig bestaat niet. Zorg dat de organisatie weet wat er bij een crisis moet gebeuren en regel zaken zoals een uitwijkmogelijkheid.
– Maak uw CISO belangrijk.
Geef de CISO (Chief Information Security Of cer) mandaat om het beleid voor informatieveiligheid te kunnen bepalen.
– Organiseer het samen.
Het is ondoenlijk voor een gemeente alleen om voorbereid te zijn op alle risico’s in informatieveiligheid en alle ontwikkelingen bij te houden. Werk daarom samen, met de IBD, andere gemeenten én ketenpartners.

Download special Samen Organiseren

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren