Verslag bijeenkomst informatieveiligheid

1
Inleiding
In samenwerking met de Vereniging van Nederlandse Gemeenten (VNG), het Nederlands
Genootschap van Burgemeesters (NGB), de Wethoudersvereniging, de Vereniging van
Gemeentesecretarissen (VGS) en de Vereniging van Zuid-Hollandse Gemeenten (VZHG)
heeft de Taskforce BID op vrijdag 28 februari jl. een Learn & Share bijeenkomst
Informatieveiligheid georganiseerd. Deze keer speciaal voor burgemeesters, wethouders en
gemeentesecretarissen van de Zuid-Hollandse gemeenten. De bijeenkomst heeft
plaatsgevonden in het gemeentehuis Capelle aan den IJssel. Naast het belang van
structurele aandacht in de gemeente voor informatieveiligheid is ook geattendeerd op
aansluiting bij de Informatiebeveiligingsdienst voor gemeenten (IBD). “Aansluiten bij de IBD
is het eerste wat we gaan doen als gemeente”, sprak een van de deelnemers.
2
Opening
De bijeenkomst is geopend door dagvoorzitter Frank Koen, burgemeester van de gemeente
Capelle aan den IJssel. Hij heet alle deelnemers en de sprekers van harte welkom bij de
bijeenkomst. Met een actueel voorbeeld uit het nieuws over de overname van Whatsapp
door Facebook heeft Koen de discussie geopend: ‘Hoe veilig is onze informatieveiligheid
eigenlijk?’. Met alle mogelijkheden die social media biedt, vraagt Koen zich af of het
überhaupt nog mogelijk is om informatie veilig te stellen? Een mooie startvraag voor een
leerzame bijeenkomst en Koen geeft daarmee het woord aan Henk Wesseling, bestuurlijk
hoofd van de Taskforce BID.
Wesseling gaat vervolgens nog kort in op het dilemma rond social media dat Koen aanstipt
in zijn opening. Informatie met alle digitale mogelijkheden is niet 100% echt veilig te stellen.
Er zijn nu twee onaantrekkelijke opties; of we schaffen de digitalisering af of we leven met
een onveilige situatie. Beide klinken niet aantrekkelijk. De opgave is een natuurlijk evenwicht
te zoeken tussen risico’s, veiligheid en profiteren van de voordelen van digitalisering. De
digitalisering en bijvoorbeeld social media brengen volgens Wesseling ook veel goeds. Toch
bepaalt de veiligheid tot op zekere hoogte of we ervan blijven genieten of dat we te veel
obstakels ondervinden.
Een mooie overgang naar de activiteiten van de Taskforce BID. Het doel van de Taskforce
BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders
en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dit vanuit
het perspectief van Verplichtende Zelfregulering per overheidslaag. Aanleiding waren
incidenten als DigiNotar, Lektober en Dorifel. Die opdracht aan de Taskforce BID wordt door
de koepels uit alle overheidslagen van harte ondersteund, waaronder de VNG. De Taskforce
BID is nadrukkelijk interbestuurlijk en is er ook alleen maar om de koepels en organisaties te
ondersteunen bij het realiseren van de zelfregulering binnen de kaders die er al zijn. Creëren
van bewustwording is eigenlijk niet de echte opgave; iedereen weet wel dat
informatieveiligheid een kwestie is; we moeten een stap verder maken in termen van er
blijvende en scherpe daadwerkelijk gerichtheid op informatieveiligheid borgen. Hoe gaan we
er mee om?
2
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel
De Taskforce BID helpt gemeenten dus om Verplichtende Zelfregulering ook daadwerkelijk
vorm te geven. Binnen de overheidslaag gemeenten zijn al belangrijke stappen gezet. Zo is
op vrijdag 29 november de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de
professionele gemeenten’ tijdens de Buitengewone Algemene Leden Vergadering (BALV)
met een grote meerderheid van de stemmen aangenomen. De resolutie houdt in dat iedere
gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de IBD. Tevens
zullen gemeenten informatieveiligheid zowel bestuurlijk als ambtelijk borgen en maken ze de
invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners.
Om ook technisch meer inzicht te geven in de risico’s en hoe ook dat juist eisen stelt aan
onze eigen omgang met informatieveiligheid (mensen zijn het belangrijkste) stelt Wesseling
Wouter Otterspeer en John Waninge ‘ethisch hackers’ bij PricewaterhouseCoopers (PwC),
voor aan de deelnemers. Zij geven een hackdemonstratie.
3
Hackdemo
Otterspeer en Waninge hebben zich kort voorgesteld. Als ‘ethische hackers’ bij PwC zijn zij
in hun dagelijkse werk bezig met het hacken van computers met als doel om de ICTsystemen van organisaties veiliger te maken. Daarnaast volgen zij de ontwikkelingen van
cybercrime op de voet; hoe gaan criminelen te werk om mensen en bedrijven geld afhandig
te maken? Voordat Otterspeer en Waninge de hackdemo hebben gegeven, zijn ze in de
presentatie kort ingegaan op een aantal trends en ontwikkelingen. Zo heeft Otterspeer onder
andere voorbeelden benoemd van een aantal grote hacks, zoals het computersysteem van
een ziekenhuis dat onvoldoende beveiligd bleek. Ook de website van een leverancier van
vliegtuigtickets bleek niet bestand tegen hackers waardoor gegevens van duizenden
vliegtuigpassagiers openbaar werden. Ook heeft Otterspeer een aantal trends rond
cybercrime toegelicht. Een belangrijke trend is volgens Otterspeer dat criminelen steeds
brutaler worden en dat hun acties meer en meer op de individu gericht zijn. Hij geeft daarbij
het voorbeeld dat klanten van ING nu ook phisingberichten per SMS ontvangen. Waar
criminelen zich bij aanvallen op computers en laptops zich vooral richten op Windowsapparaten, zien we bij tablets en smartphones juist een toename van hacks op iPhones en
iPads omdat Apple-apparaten het grootste marktaandeel hebben als het gaat om
smartphones en tablets. Ook in het gedrag van hackers is volgens Otterspeer een
verandering waarneembaar. Vroeger ging het vooral om de ‘fame and glory’. Tegenwoordig
zie je precies het tegenovergestelde. De activiteiten van de criminelen zijn puur gericht op
financieel gewin en criminelen doen er alles aan om onder de radar blijven en zijn daarmee
moeilijk op te sporen. Zo duurt het gemiddeld zes maanden voordat organisaties doorhebben
dat ze gehackt zijn.
Tot slot heeft Otterspeer nog een aantal cijfers laten zien van het aantal gemelde incidenten
waarin duidelijk een toename per jaar zichtbaar is. Volgens het persbericht dat het Nationaal
Cyber Security Centrum (NCSC) eind januari van dit jaar heeft uitgebracht zijn er vorig jaar
779 incidenten verwerkt. Dit is een sterke groei met het aantal incidenten van het jaar
daarvoor.
3
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel
Met een hackdemo hebben Otterspeer en Waninge de aanwezige bestuurders vervolgens
laten zien hoe eenvoudig het is voor een hacker om via een nep-mail met een geïnfecteerd
pdf-bestand in de bijlage een computer te hacken. Vanaf het moment dat het slachtoffer de
bijlage heeft geopend en de malware in de bijlage zijn werk kan doen, heeft de hacker de
mogelijkheid om alle informatie op de pc in te zien, de pc over te nemen en zelfs
wachtwoorden voor bijvoorbeeld internetbankieren uit te lezen.
De aanwezigen hebben allerhande vragen gesteld over hoe vaak dit gebeurt en hoe zij
zichzelf en als organisatie überhaupt tegen kunnen wapenen: “100 procent veiligheid is niet
mogelijk”, zo luidt de belangrijkste boodschap. “Wel kun je 80% veiligheid realiseren door het
treffen van de juiste veiligheidsmaatregelen. Daarmee kun je de opportunisten of wel de
‘gelegenheidsdief’ en gelukzoekers tegenhouden. De overige 20% bestaat uit aanvallen van
gerichte hackers. Deze gerichte aanvallen komen echter veel minder voor. Daarbij is een
aantal basale maatregelen de eerste en vooral belangrijke stap. Dus: richt je
wachtwoordenbeleid goed in, installeer een goede virus scanner, scan regelmatig je
computer en houd de software up-to-date.” Daarnaast is het van groot belang dat
organisaties, in dit geval gemeenten, hun verantwoordelijkheid op het gebied van
informatieveiligheid pakken en op informatieveiligheid sturen, zodat de organisatie in control
is.
4
Bestuurlijk perspectief: inleiding Ad Koppejan
Ad Koppejan, ex-Tweede kamerlid en strategisch bestuursadviseur bij SWINTH op het
snijvlak van overheid, politiek en bedrijfsleven heeft tijdens deze middag gesproken over de
risico’s die bestuurders lopen wanneer zij niet hun verantwoordelijkheid nemen en afdoende
maatregelen treffen op het gebied van informatieveiligheid. Koppejan is zijn verhaal
begonnen met een korte toelichting op zijn loopbaan en zijn interesses en ervaringen op het
informatieveiligheidsvlak. Zo is Koppejan ook in zijn politieke loopbaan diverse keren in
aanraking gekomen met issues rond informatieveiligheid. Nu is Koppejan samen met zijn
collega Pieter Zandee, ook aanwezig bij de bijeenkomst, het bedrijf SWINTH begonnen om
overheden verder te helpen met informatieveiligheid. “Burgers hebben het vertrouwen aan u
gegeven en zij moeten erop kunnen vertrouwen dat hun gegevens in vertrouwde handen
zijn”, aldus Koppejan.
Koppejan benadrukt dat onze afhankelijkheid van internet en ICT nog steeds toeneemt. Het
gevolg hiervan is dat de impact van incidenten op internet ook steeds meer toeneemt.
Burgers, bedrijven/organisaties en overheden zijn kwetsbaarder geworden. Volgens het
laatste trendrapport ‘Cybersecuritybeeld Nederland 3’ van het Nationaal Cyber Security
Centrum (NCSC) zijn overheidsorganisaties met name kwetsbaarder geworden voor digitale
spionage en cybercriminaliteit. De grootste uitdagingen voor overheden liggen dan ook in
enerzijds het waarborgen van de vertrouwelijkheid van informatie en anderzijds de
continuïteit van de online dienstverlening. Koppejan beargumenteert dit aan de hand van een
aantal landelijke ontwikkelingen. Zo komt er als gevolg van de decentralisaties een
groeiende hoeveelheid privacygevoelige informatie bij gemeenten te liggen. Als deze
gegevens op straat komen te liggen, dan kan dit ook het imago van de gemeente en de
bestuurlijk verantwoordelijken beïnvloeden. Zoiets zal leiden tot een verlies aan vertrouwen
bij burgers. Burgers verwachten immers dat hun gemeenten de zaken op orde heeft. Verder
4
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel
staat het volgens Koppejan buiten kijf dat de continuïteit van de dienstverlening en het
vertrouwen van burgers centraal moet staan als het om informatieveiligheid gaat. Zeker nu
de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.
Door deze ontwikkelingen worden gemeenten nog interessanter voor hackers. Informatie
over persoonsgegevens is volgens Koppejan ‘het nieuwe hackersgoud’, ook wel de olie van
de 21ste eeuw genoemd. Het biedt bedrijven de mogelijkheid tot commerciële toepassingen,
zoals gerichte (online) advertenties en aanbiedingen op maat. Veel business- en
verdienmodellen van snelgroeiende internetbedrijven als Google, Facebook, Twitter en
LinkedIn zijn hierop gebaseerd. De strategie van deze bedrijven is gebaseerd op het feit dat
u als persoon steeds meer informatie digitaal op internet deelt. “Daar waar u niet betaalt voor
een product, bent u zelf het product”, vertelt Koppejan. Met een toelichting op artikel 10, lid 1
en 2 uit de grondwet benadrukt Koppejan nogmaals het belang van informatieveiligheid.
Wetten zijn er om ons aan te houden en moeten gehandhaafd worden. Bestuurders zijn
verantwoordelijk voor de veiligheid van privacygevoelige informatie over burgers en ook voor
de continuïteit van de digitale dienstverlening. Uitspraken als “we hebben de
verantwoordelijkheid van de digitale veiligheid uitbesteed aan een externe hostingpartij” of “ik
heb als bestuurder geen verstand van ICT” zijn niet toelaatbaar. “Als bestuurder bent u bij
uitstek de deskundige”, vervolgt Koppejan. Het gaat om het afwegen van belangen en het
inschatten risico’s. “U hoeft hiertoe alleen de juiste vragen te stellen.”
Koppejan verwijst daarbij ook naar de Resolutie ‘Informatieveiligheid, randvoorwaarde voor
de professionele gemeente’ en de BIG, waar eerder vanmiddag ook Wesseling over heeft
verteld. Daarbij geeft Koppejan de aanwezige bestuurders het advies om zich aan te sluiten
bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Alle gemeenten kunnen uiteraard
gebruik maken van de dienstverlening van de IBD. Ook op het gebied van incidentpreventie,
-detectie en –coördinatie. Bovendien heeft de IBD ook de BIG ontwikkeld. Ook raadt
Koppejan bestuurders aan om de gemeenteraad te betrekken bij het afwegen en maken van
keuzen over het informatieveiligheidsbeleid. Daarbij plaatst hij als kanttekening dat de
stukken die de gemeenteraad uitbrengt openbaar zijn.
Afsluitend heeft Koppejan laten zien welke stappen een gemeente kan zetten om haar
informatieveiligheidsbeleid op orde te brengen:







Laat een GAP-analyse / 0-meting uitvoeren.
Tref noodzakelijke technische maatregelen.
Sluit je als gemeente aan bij de IBD.
Neem informatieveiligheid op in het collegeprogramma 2014-2018.
Maak de burgemeester of wethouder verantwoordelijk voor informatieveiligheid.
Stel een informatieveiligheidsbeleid op aan de hand van de BIG.
Neem het informatieveiligheidsbeleid op in het jaarverslag en in de planning- en
controlcyclus.
Wesseling heeft daarop het belang benadrukt om incidenten die plaatsvinden op
informatieveiligheidsvlak ook daadwerkelijk te melden bij de IBD. Zij waarschuwen dan ook
weer andere gemeenten. Eén van de doelen van de IBD is het aan gemeenten leveren van
concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van
informatiebeveiliging onder andere door incidentpreventie en detectie en verdere
5
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel
verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf te
voorkomen.
5
Gemeentelijk perspectief: plenaire discussie
In de navolgende dialoog komt de vraag aan de orde of het mogelijk is om bijvoorbeeld toe
te werken naar een keurmerk voor leveranciers. Wesseling geeft hierop aan dat het moeilijk
is om dit voor elkaar te krijgen. Als bestuurder kun je in ieder geval geen aannames meer
doen over de veiligheid van bijvoorbeeld geleverde systemen. Er moeten dus eisen gesteld
worden aan de leveranciers waar je in de overeenkomst gezamenlijk afspraken over kan
maken. Er ligt een enorm belang bij leveranciers om zaken op orde te hebben, maar de
verantwoordelijkheid ligt bij u als bestuurder”, vult Koppejan aan. Wesseling vertelt dat ook
vanuit de Taskforce initiatieven worden ontwikkeld om op stelselniveau voorzieningen aan te
bieden, waaronder voor beheer en toezicht. Want ook op stelselniveau is het belangrijk
zaken aangaande informatieveiligheid op orde hebben, omdat je anders je gemeentelijke
taken niet optimaal kunt uitvoeren.
In het gesprek wordt duidelijk dat er in de organisaties nog veel te bereiken is als het gaat
om risico’s op informatieveiligheidsvlak bij medewerkers in de organisatie. Zo is er het SUWIonderzoek van de VNG. Deze heeft in een aantal gemeenten onderzocht hoe ze omgaan
met gegevens van burgers, gegevens die opgevraagd kunnen worden via Suwi-net. De
uitkomsten zijn gepubliceerd in het rapport: ‘Naar veiliger gebruik van Suwi-net: De bal ligt bij
gemeenten’. Volgens iedereen is het duidelijk dat bestuurders zich bewust moeten zijn van
hun verantwoordelijkheid. Vertrouwen hebben is daarbij belangrijk, maar het is belangrijk dat
je als bestuurder de belangrijkste basisstappen hebt genomen. “Het gesprek met de ICTmanager is daarbij een eerste belangrijke stap”, vervolgt een bestuurder.
“Wat zijn dan de eerste vragen die je stelt?”, komt aan de orde. Verschillende bestuurders
hebben hier een mening over, zoals:








Is er een informatiebeveiligingsplan beschikbaar en wat houdt dit precies in?
Welke afspraken hebben wij als gemeente gemaakt aangaande informatieveiligheid?
Welk wachtwoordenbeleid past de gemeente toe?
Wat doen wij als gemeente aan bewustwording van informatieveiligheidsrisico’s bij
medewerkers?
Hoe pak je de veiligheid op het serviceniveau aan?
Hoe gaan wij als gemeente om met de digitalisering?
Hoe zijn onze systemen beveiligd?
Welke documenten en gegevens voor een bepaald publiek voorzien moeten worden
van data-inscriptie?
Een belangrijk discussiepunt is het niveau van beveiliging. Vaak is integriteit van gegevens
belangrijk, los van de vraag of die gegevens vertrouwelijk zijn. Juist integriteit van gegevens
stelt ook hoge eisen. De spanning tussen beveiliging en dienstverlening zal ons nog wel
even bezig houden. De discussie rond DigiD is in dit opzicht interessant. Daar is aan de orde
of hoger beveiligingsniveau noodzakelijk is. Het gebruikersgemak staat daarbij niet meer
primair voorop.
6
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel
Naar aanleiding hiervan wordt vervolgens gesproken over het op overheidsniveau afspreken
van een bepaalde standaard. Dan heb je iets uitgesproken waar je op voort kan borduren.
De BIG geeft hier ook antwoord op. Volgens Zandee is het buitengewoon belangrijk om de
BIG in te voeren. Hiermee maak je inzichtelijk waar je als organisatie staat en kun je gerichte
acties formuleren. “De BIG is het keurmerk van de gemeente.”
Wesseling heeft de indruk dat implementatieproces bevorderd moet worden met bijvoorbeeld
visitatiecommissies in het najaar en peilt de behoefte in de zaal. Hier wordt positief op
gereageerd. “Wil je het informatieveiligheidsbeleid goed neerzetten, dan zijn concrete
voorbeelden en adviezen van wezenlijk belang, visitatiecommissies gaan daarbij zeker
helpen”, antwoordt een bestuurder’.
Met de komende decentralisaties is er de vraag voor aan de bestuurders of het niet
verstandig zou zijn om bij de komende collegevergadering politieke prioriteit te geven aan
informatieveiligheid en daar structurele aandacht voor te vragen. Bestuurders beamen dit,
maar vragen zich wel af hoe dit te organiseren en breed draagvlak bij het college te krijgen.
Volgens Wesseling kampen veel bestuurders met deze vragen en hij verwijst daarbij naar de
living labs, bijeenkomsten die georganiseerd worden door VNG en KING in samenwerking
met verschillende gemeenten, waaronder Enschede (woensdag 12 maart aanstaande).
Benadrukt wordt in de discussie om bij het vraagstuk vooral de baten te benadrukken; met
veiligheid kan je veel geld besparen en veilige informatievoorziening opent ook
beleidsmogelijkheden door het combineren van informatiestromen . Naar aanleiding van dit
onderwerp vindt tot slot nog een korte discussie plaats over de gemeenschappelijke
regelingen. Hierover heerst bij bestuurders nog veel onduidelijkheid en zijn er veel vragen. Er
zijn initiatieven hier een risicoanalyse uit te voeren waar de meeste aandacht inzake
gemeenschappelijke regelingen naar uit moet gaan.
Wesseling rondt na deze interessante discussie de bijeenkomst af en hij dankt iedereen,
sprekers en deelnemers, voor hun komst en bijdrage.
7
28 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Capelle aan den IJssel

Download Report