Artikel

Vuist tegen cyberdreiging

Digitale spionage, computersystemen die zo lek zijn als een mandje of gevoelige informatie die op straat ligt? Het zijn allang geen uitzonderingen meer. Alle reden voor gemeenten om vol in te zetten op informatieveiligheid en privacy. “We moeten voortdurend voorbereid zijn op aanvallen.”

Sinds 1 januari 2017 is de ambtelijke fusie van kracht tussen de gemeenten Bergen, Uitgeest, Castricum en Heiloo. Het betekent onder meer dat de vier gemeenten, naast hun eigen verantwoordelijkheid, gezamenlijk optrekken als het gaat over informatieveiligheid. “Eigenlijk heb je dan ook te maken met vijf organisaties”, aldus Hans Romeyn, sinds 2005 burgemeester van Heiloo en binnen de BUCH-gemeenten verantwoordelijk voor de ICT-portefeuille.

Wat betreft Guy Heemskerk, gemeentesecretaris van Heiloo en sinds 1 juli 2017 algemeen directeur van de BUCH-organisatie, heeft de ambtelijke fusie de vier gemeenten enorm geholpen op het gebied van informatieveiligheid en privacy. “Voor de fusie waren we als individuele gemeente best goed bezig met het thema informatieveiligheid, maar dan vooral reactief. Met z’n vieren hebben we de slag gemaakt van reactief naar proactief en misschien is dat wel de mooiste omvorming geweest in onze organisatie. We hebben die ruimte gecreëerd en dat was ons als Heiloo alleen nooit gelukt. Dat geldt ook voor de andere gemeenten. We zijn nu echt op een heel ander niveau bezig.”

Ambities

Dat de BUCH-organisatie anders en steviger omgaat met informatieveiligheid en privacy, heeft met name te maken met haar forse ambities. Zo streeft het naar een ‘krachtige, innovatieve en faciliterende ambtelijke organisatie’, die goed aansluit bij de sterk veranderende behoeften en wensen van inwoners en ondernemers. Anderzijds zijn er de dreigingen waar de werkorganisatie mee te maken kan krijgen. Zoals DDoS-aanvallen, nepnieuws of ransomware.

Juist vanwege haar ambities en de mogelijke digitale dreigingen, was de aanstelling van een CISO (Chief Information Security Officer) voor de BUCH-organisatie een must. Dat werd Youri Lammerts van Bueren en volgens Hans Romeyn heeft hij zeker bijgedragen aan de andere zienswijze op privacy en informatieveiligheid. “We hebben met Youri iemand in dienst waarop wij goed terug kunnen vallen. Eens in de drie weken komen Youri, Guy en ik bijeen en op het moment er iets van dreiging is, weten wij elkaar direct te vinden. Ik ben het absoluut eens met de visitatiecommissie Informatieveiligheid, die enorm hamert op het belang van een CISO of een vergelijkbare rol. Iedere gemeente zou iemand in dienst moeten hebben die in staat is om dreigingsbeelden te vertalen. Niet alleen naar wat dat expliciet betekent, maar ook naar acties waardoor een dreiging geen werkelijkheid wordt. Ik denk dat we wat dat betreft ook nog maar aan het begin staan en het zal een van de grote uitdagingen worden om dit allemaal in de hand te houden.”

Strategische doelen

Om met betrekking tot privacy en informatieveiligheid richting te geven en koers te houden, zijn binnen de BUCH-organisatie doelen gesteld om in te kunnen springen op snel veranderende omstandigheden. Zo is afgesproken dat te allen tijde de privacy van inwoners en ondernemers is geborgd en gegevensverwerkingen correct plaatsvinden en ook is de betrouwbaarheid van de informatievoorziening gewaarborgd. Het opstellen van doelen en het daarover jaarlijks rapporteren aan de vier gemeenteraden (zie: kader) is voor Youri Lammerts van Bueren een prima middel om focus aan te (blijven) brengen. Maar ook om iedereen binnen de BUCH-organisatie bij de les te houden. “En je ziet dat het werkt. Zo komen er bijvoorbeeld meer vragen vanuit de raden. Over hoe om te gaan met WhatsApp, Twitter of Facebook, in relatie tot de dienstverlening van de verschillende gemeenten.”

Ook zoiets als het eerste Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten, dat de IBD half februari 2018 publiceerde, helpt om gemeenten bij de les te houden. Dat vindt ook Hans Romeyn. Die beelden helpen wat hem betreft bij het zich bewust zijn van de risico’s die gemeenten lopen. Romeyn: “Als je ziet wat die dreigingsbeelden af en toe aangeven, dan kan dat je in zekere zin wel benauwen. Maar het laat je ook zien of je op het juiste spoor zit met veiligheid en in welke mate je voorbereid bent.”

Relevante links

Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2018
Website IBD

Raadsnotitie Informatieveiligheid en privacy 2017

Eind april 2018 hebben de colleges van B&W van de BUCH-organisatie de ‘Raadsnotitie – Informatieveiligheid en privacy 2017’ vastgesteld, waarmee het verantwoording aflegt aan de vier raden. Een van de conclusies van de IT-auditor in de notitie is dat ‘de stappen die zijn gezet alsmede de doelstellingen die zijn geformuleerd en opgenomen in de Raadsnotitie Informatieveiligheid en privacy in 2017, een goede uitgangspositie zijn om de volwassenheid van informatiebeveiliging binnen de BUCH-gemeenten naar een (nog) hoger niveau te brengen. Wij hebben ervaren dat de BUCH-gemeenten het belang van informatiebeveiliging inzien.’

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren