De ontwikkeling van digitale dreigingen en de impact die het kan hebben op de organisatie, gaat hard. Gemeenten kunnen die digitale dreiging aan. Althans, als zij het samen doen.
Waar staan gemeenten nu als het gaat om de weerbaarheid tegen digitale dreigingen?
Sinds 2013 werken gemeenten aan het verhogen van de betrouwbaarheid van haar informatievoorziening middels de Baseline Informatiebeveiliging Gemeenten (BIG). In het jaar 2017 is ENSIA gestart, waarmee gemeenten op basis van de BIG jaarlijks een zelfevaluatie doen en verantwoording afleggen aan haar toezichthouders over informatieveiligheid. Onderdeel is een IT-audit op de DigiD-aansluiting en Suwinet. Gemeenten betalen miljoenen aan gemeenschapsgeld voor het uitvoeren van de verplichte IT-audit om verantwoording af te leggen aan de stelselverantwoordelijken.
Maar al slaagt de gemeente met vlag en wimpel voor deze IT-audit, niet alles heeft de gemeente in eigen hand. Digitale dreigingen zijn aan de orde van de dag, zowel bij gemeenten als de organisaties met wie gemeenten samenwerken om producten en diensten te leveren aan de samenleving. Recent werd de impact helder toen de website van DigiD werd getroffen door DDoS-aanvullen. Dit leidde er toe dat de beschikbaarheid van DigiD onder druk stond. Logius heeft inmiddels aanvullende maatregelen getroffen om de impact te minimaliseren.
Wederzijdse afhankelijkheid
Dit geeft inzicht in hoe afhankelijk gemeenten en organisaties van elkaar zijn en dat het belangrijk is om samen het de weerbaarheid tegen digitale dreigingen te verhogen. Tegelijk doet dit mij denken aan de blog die ik eerder schreef in 2017 over cyberdreigingen in Nederland. Daarin refereerde ik aan publicaties die aangaven dat Nederland de digitale dreiging niet aan kan.
De strekking van die blog was dat bestuurders een belangrijke rol hebben in het verhogen van de weerbaarheid tegen deze digitale dreigingen. In het interview dat wij bij de BUCH hebben gegeven over hoe wij inzetten op het verhogen van deze weerbaarheid, komt tot uiting hoe belangrijk de rollen en samenwerking tussen bestuurder, directeur en CISO zijn.
Informatieveiligheid is niet alleen van de bestuurder of de CISO, maar van ons allemaal. Iedereen heeft een belangrijke rol hierin, zowel alle medewerkers als organisaties met wie wij samenwerken. Die samenwerking vertaalt zich bij gemeenten naar een aantal projecten die vanuit VNG zijn gestart om gemeenten te ondersteunen in het verhogen van die weerbaarheid tegen digitale dreigingen.
Weerbaarheid verhogen
Het is dan ook belangrijk dat elke gemeente en gemeentelijk samenwerkingsverband deelnemen aan deze collectieve projecten om gemeentebreed versneld stappen te zetten. Dit is noodzakelijk, want de ontwikkeling van digitale dreigingen en de impact die het kan hebben op onze organisatie, gaat hard. Dit tempo is niet bij te houden als elke gemeente zelf zijn best doet om de weerbaarheid hiertegen te verhogen. We zijn namelijk te afhankelijk van elkaar en andere organisaties, en de benodigde resources zijn daarmee ook niet oneindig. Collectieve projecten die ingezet worden vanuit de VNG zijn dan ook een enorme kans die weerbaarheid versneld te verhogen.
De Informatiebeveiligingsdienst voor Nederlandse Gemeenten (IBD) is gestart met het ontwikkelen van een ondersteuningspakket voor het verhogen van de digitale weerbaarheid. Hiervoor zijn zij een project gestart. De eerste producten worden deze maand beschikbaar gesteld. Tegelijk gaan zij starten met een onderzoek naar de weerbaarheid tegen digitale dreigingen bij gemeenten en gemeentelijke samenwerkingsverbanden. Dit gaat aan de hand van vragenlijsten en interviews. Dit geeft de IBD inzicht in welke producten en diensten zij nog kunnen ontwikkelen voor gemeenten om hen te ondersteunen hierin stappen te zetten en een stevig fundament om weerbaar te zijn. De eerste module die de IBD gaat opleveren als ondersteuningspakket, vormen de basis die tevens randvoorwaardelijk zijn om verdere stappen te kunnen zetten op deze weerbaarheid. Er volgen nog meerdere modules.
Ik wil hierbij alle gemeenten en gemeentelijke samenwerkingsverbanden oproepen deel te nemen aan het onderzoek, zodat aansluitende ondersteuningspakketten door de IBD kunnen worden ontwikkeld.
GGI-Veilig levert technische security producten en diensten
Tot slot loopt nog een ander belangrijk traject dat hierop aansluit, namelijk GGI-Veilig. GGI-Veilig is een project dat loopt voor het verhogen van de digitale weerbaarheid en de veiligheid van de ICT-infrastructuur. Wat GGI-Veilig precies is en doet kun je lezen op de website van VNG Realisatie. Gemeenten en gemeentelijke samenwerkingsverbanden (Belastingdienst, Sociale Dienst, veiligheidsregio’s, et cetera) hebben tot uiterlijk 12 september om zich aan te melden voor GGI-Veilig. Aanmelding verplicht de deelnemer tot niets, en geeft de organisatie het recht om kwalitatief hoogwaardere technische security producten en diensten in te kopen. De aanbesteding verloopt collectief en dat heeft een positief effect op de prijs, kwaliteit als op de doorlooptijd van de implementatie van een technische beveiligingsmaatregel.
Ik wil hierbij tot slot ook alle gemeenten en gemeentelijke samenwerkingsverbanden oproepen zich aan te melden voor GGI-Veilig.
Zo zetten we samen stappen in het verhogen van onze digitale weerbaarheid. Gemeenten kunnen de digitale dreiging aan…als we het samen doen.
yourilammerts@debuch.nl is Chief Information Security Officer (CISO) voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).
