Nederland zo veilig mogelijk maken op het gebied van digitale informatie bij overheden, dat is het doel waar we met zijn allen voor staan en waar ENSIA een rol in speelt volgens Guus Bronkhorst, voorzitter van de stuurgroep ENSIA. “We willen ervoor zorgen dat elke overheidslaag het zo goed mogelijk aanpakt.”
Guus Bronkhorst, afdelingshoofd Burgerschap & Informatiebeleid bij BZK.
“We hebben geleerd wat gebrek aan informatieveiligheid betekent. Het betekent het uitlekken van allerlei gegevens, het betekent dat persoonsgegevens gejat kunnen worden, het betekent ook dat je geen zekerheid hebt dat informatie die er over jou bestaat wel klopt. Er zijn ook fysieke bedreigingen, we willen niet dat het land onderloopt en we willen dat de bruggen op tijd open en dicht gaan en im- en export van goederen ongestoord kan plaatsvinden. Al die dreigingen moet je als overheid het hoofd bieden. Je moet ook zorgen dat je systemen in de lucht blijven. Waar blijft je dienstverlening als je dat niet doet? We willen veilig zijn tegenover dreigingen van binnen en van buiten.”
ENSIA
Gemeenten moeten zich verantwoorden aan de raad over de inrichting en werking van de informatieveiligheid. Daarnaast moeten gemeenten zich aan de rijksoverheid verantwoorden over een veelheid aan onderwerpen die met informatieveiligheid verband houden, zoals DigiD, Basisregistratie personen, paspoortuitgifte, SUWINET, basisregistraties gebouwen en adressen etc. Dat kan efficiënter en effectiever dan nu gebeurt.
ENSIA heeft tot doel heeft het zo effectief en efficiënt inrichten van de verantwoordingsystematiek waar gemeenten mee te maken hebben als het gaat om informatieveiligheid.
“Elke sector wil zijn eigen zaken goed regelen: de SUWI-sector, I&M wil dat doen met zijn basisregistraties en wij bij BZK met de basisregistratie persoonsgegevens, met de reisdocumenten en DigiD. Maar het is natuurlijk niet handig dat we het nu allemaal afzonderlijk proberen te regelen terwijl het steeds om hetzelfde doel – informatieveiligheid – gaat. Het is goed te begrijpen hoe dat is ontstaan, maar we zitten nu in een situatie dat we informatieveiligheid integraal moeten aanpakken. Niet meer versnipperd uitvragen dus, maar dat gebundeld doen, het betreft immers hetzelfde soort vragen.
Verantwoording over informatieveiligheid is geen top down-zaak, je regelt het in de eerste plaats zelf als gemeentebestuur met de raad. We kunnen als rijksoverheid wel zeggen, dat er geen digitale diefstallen mogen plaatsvinden, maar dat kunnen we alleen voor elkaar krijgen als ieder de eigen verantwoordelijkheid daarvoor neemt en de juiste manier van aanpak kiest. Organisaties in het openbaar bestuur moeten zelf hun organisatie, processen en systemen zoveel mogelijk digiveilig maken. De gemeenten hebben dat ook gezamenlijk afgesproken en daarvoor wordt de term verplichtende zelfregulering gebruikt. Die staat voor een eigen aanpak en verantwoordelijkheid van informatieveiligheid waarbij het gemeentebestuur in de eerste plaats verantwoording aflegt aan de gemeenteraad. Daarbij maakt men gebruik van gezamenlijk ontwikkelde kaders en dan is vooral de Baseline Informatieveiligheid Gemeenten een ijkpunt. Dat is een belangrijke basis, maar ik moet wel zeggen dat je er met een baseline niet bent. Een baseline is zoals het woord al zegt, een basis. Het is niet zo dat als deze goed wordt nageleefd dat dan alle risico’s weg zijn, dat is niet het geval. Risicoafwegingen blijven belangrijk.”
Wat betekent ENSIA daarin?
“ENSIA betekent eenduidige normatiek single information audit. Eenduidige normatiek, want we willen naar een eenduidig kader als het gaat om verantwoording over informatieveiligheid. Daar zijn we nog mee bezig, maar dat is heel belangrijk. Het werkt niet als je 300 verschillende kaders hebt waaraan je als gemeente moet voldoen, je moet zoveel mogelijk proberen te bundelen en zeggen, dit is wat we willen, de eenduidige normatiek.
Het tweede gedeelte van ENSIA is de single information audit, dat betekent dat je één keer verantwoording bundelt op het gebied van informatieveiligheid en niet 300 keer bij al je verschillende systemen en al je verschillende verantwoordelijkheden. Eenduidige verantwoording betekent dat je de verantwoordingsinformatie juist doordat je het bundelt op een goede manier kunt behandelen. Dat kun je niet als je dat op 300 verschillende manieren moet doen. Bundeling is belangrijk, het helpt iedereen: het helpt de gemeente, het helpt het rijk en het helpt ook de burgers. Die laatsten kunnen op een gegeven moment ook zien waar hun gemeente staat op het gebied van informatieveiligheid.”
Wat is de historische achtergrond?
“We hebben in het verleden gezien dat we nogal afhankelijk zijn geworden van ICT. Dat zagen we vooral bij de DigiNotar affaire. Waar ging het nou eigenlijk over zou je op het eerste gezicht zeggen. Het ging om een certificaat dat vervalst was, een certificaat voor beveiligd internetverkeer. Maar wat er wel voor had kunnen zorgen als we niet meteen actie hadden ondernomen dat de hele overheidsdienstverlening en ook allerlei transacties met bedrijven stil was komen te liggen. Toen hebben we gezien hoe kwetsbaar we zijn als het gaat om de digitale overheid.
Het bleek dat er niet voldoende aandacht was voor informatieveiligheid in het openbaar bestuur. Functionaliteit voor dienstverlening en transacties stonden voorop, en daarmee kwam veiligheid vaak op de tweede plaats, als iets dat je ook nog moest doen. Bij ‘lektober’, elke dag was er lek waaruit bleek dat aandacht voor informatiebeveiliging en het voorkomen van uitlekken van gegevens te laag was, zagen we waartoe dit kan leiden. Dus informatieveiligheid moet hoger op de agenda: de digitale overheid is immers vitaal geworden.”
Hoe kwam ENSIA tot stand?
“ENSIA was een verzoek van de gemeenten; die hebben zich gecommitteerd aan een versterkte aanpak van informatiebeveiliging. Ze hebben gezegd we pakken die uitdaging, we willen het ook, we vinden het belangrijk dat gemeenten zo veilig mogelijk zijn op dit vlak. En daarnaast hebben ze gezegd: we vragen van het rijk ook wat. We vragen van het rijk hulp om informatieveiligheid te kunnen realiseren, hulp bij het opstellen van een visitatiecommissie die met gemeenten in gesprek gaat over informatieveiligheid. Deze visitatiecommissie bestaat nu. En de gemeenten wilden ook dat de versnippering in toezicht, de top down-versnippering, zo veel mogelijk werd weggewerkt.”
Wat gebeurt er nu binnen het project ENSIA?
“We zijn nu bezig om de Baseline Informatieveiligheid Gemeenten te koppelen aan alle normen die de ministeries opleggen, de persoonsregistraties, de paspoortwet, DigiD, de gebouwenregistraties en de registraties van werk en inkomen, om zo te komen tot één set van normen en vragen die het onderwerp informatieveiligheid dekken. Dat geeft gemeenten ook de mogelijkheid om informatieveiligheid meer integraal aan te pakken in plaats van versnipperd over verschillende diensten en afdelingen. We zijn deze set nu – en dat is nauwkeurig handwerk – aan het invullen met gemeenten en departementen. Zo komen we tot een dekkende uitvraag voor horizontale verantwoording, waar alle partijen ook mee akkoord kunnen gaan. Begin volgend jaar willen we dat gereed hebben.”
‘We werken aan een integrale uitvraag op het gebied van informatieveiligheid.’
“En daar hoort tooling bij. Het is belangrijk dat die set normen en vragen rondom informatieveiligheid werkbaar is en dat deze ook op een goede manier kan worden beantwoord. Het mag geen afvinklijstje worden. Het gaat om wezenlijke dingen. Verder praten we het komend jaar verder over het verantwoordings- en toezichtsregime.”
Waar gaan we naar toe met informatieveiligheid?
“We moeten er rekening mee houden dat informatieonveiligheid eerder toe dan af zal nemen, dat is iets waar we rekening mee zullen moeten houden. Dat zien we ook in rapporten als het Cyber Security Beeld Nederland 2015, dat recent door het ministerie van V&J is uitgebracht. Dus dit onderwerp gaat in belang toenemen. Dat vinden we niet fijn, maar dat is wel zo. We hebben ook geen uitwijk meer, we kunnen niet meer terug naar de papieren overheid. Dus we zullen mee moeten groeien en investeren in de aanpak van informatieveiligheid.”
Wilt u de gemeenten nog iets meegeven?
“Er is voortdurend behoefte aan knowhow en samenwerking met partners binnen en buiten de overheid om Nederland zo veilig mogelijk te maken. We moeten niet bang zijn samen te werken met commerciële partners. En verder is het van belang dat gemeenten de Baseline Informatieveiligheid Gemeenten invoeren, want dat is letterlijk en figuurlijk de basis voor een verantwoorde informatieveilige gemeente en daarmee ook voor het realiseren van de doelstellingen van ENSIA.”
