Gemeenten kwetsbaar voor mensen en ketens

“Gemeenten werken veel samen in complexe ketens met instellingen op het gebied van zorg, jeugd, werk en inkomen en veiligheid. Risico’s voor gemeenten liggen daardoor ook in die ketens: een incident bij een toeleverancier of een ketenpartner kan verstrekkende gevolgen hebben”, waarschuwt de Vereniging van Nederlandse Gemeenten (VNG) nu in een persbericht.

Staat en verbetering

Aanleiding en herkomst is het verschijnen van het eerste beveiligingsrapport voor gemeentelijk Nederland: het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten. Dit document van de Informatiebeveiligingsdienst (IBD) geeft een weerslag van de huidige securitystaat van gemeenten, maar biedt die organisaties ook een handvat om verbeteringen door te voeren.

De IBD heeft hiervoor een analyse uitgevoerd van gemelde security-incidenten, plus lokale Rekenkamerrapporten doorgenomen, en bevindingen van de visitatiecommissie informatieveiligheid meegenomen en ook nog interviews gepleegd met gemeentelijke Chief Information Security Officers (CISO’s).

“De conclusies tonen een gemiddeld beeld van het collectief van alle gemeenten. De resultaten zijn niet zonder meer te extrapoleren naar individuele gemeenten”, legt de IBD uit in het nu verschenen rapport. In de algemene constateringen worden menselijke fouten als de grootste bedreiging voor de ICT-beveiliging gezien. Dit omvat bijvoorbeeld het onveilig verzenden van informatie.

Een zaak van mensen

“Er werken meer dan 157.000 mensen bij gemeenten. Daarnaast werken gemeenten veel samen met ketenpartners en maken ze gebruik van producten en diensten van leveranciers. Bij ketenpartners en leveranciers werkt minimaal eenzelfde aantal mensen”, stelt de IBD in het rapport. De omgang met gevoelige persoonsgegevens, die de basis vormen voor gemeentelijke dienstverlening, kan dan ook relatief makkelijk misgaan.

“Voor een beveiligingsincident dat uitmondt in een datalek is vaak niet meer nodig dan een klik op een verkeerd linkje, een geadresseerde e-mail met gegevens over inwoners, een verloren laptop of het uitlenen van een toegangspas.” Een fout of onzorgvuldigheid valt nooit helemaal uit te sluiten, aldus het rapport.

Een voorname prioriteit voor 2018 is dan ook het investeren in bewustwording, bij eigen medewerkers en ook bij extern betrokken mensen. Hierdoor zijn werknemers om te vormen van (voornaam) risico naar verdedigingslinie. Tegelijkertijd kampen de ‘informatievolle’ gemeenten ook met onvoldoende kennis, van security- en ICT-zaken.

Patchen en monitoren

Naast de menselijke factor spelen natuurlijk ook technische risico’s een rol. Hieronder bevinden zich reguliere softwarekwetsbaarheden en gebrekkige aanpak daarvan. Dit valt aan te pakken met beter beheer plus monitoring en detectie; van zowel de ICT-omgeving als van gebeurtenissen en handelingen daarin. Hierbij ziet de IBD ook een positieve rol voor externe partijen: ethische hackers die kwetsbaarheden zien en aanmelden.

“Ethische hackers kunnen u helpen om digitale kwetsbaarheden in uw organisatie op te sporen. Een goede omgang met ethische hackers vereist heldere afspraken, een manier om dat in te richten is met een zogenaamd Responsible Disclosure beleid. Voor gemeenten die dat niet hebben adviseert de IBD een beleid te maken op basis van ons voorbeeld en dat te publiceren op de gemeentelijke website. Daarnaast kunnen mystery guests gaten opsporen in uw fysieke beveiliging.”