De wereld speelt zich in toenemende mate digitaal af. Brieven worden niet langer verstuurd per post maar per mail, notities worden niet meer opgeslagen in een multomap maar in de Cloud. Als gevolg hiervan wordt het veilig omgaan met deze digitale informatie, ofwel informatieveiligheid, steeds belangrijker. Dit geldt met name voor bedrijven en instellingen die werken met gevoelige informatie zoals ziekenhuizen, advocatenkantoren en de overheid. Voor gemeenten is dit nog relatief nieuw, waardoor het voor hen lastig kan zijn om de benodigde bewustwording omtrent dit onderwerp te creëren bij hun werknemers. Dit informatiebewustzijn (iBewustzijn) is noodzakelijk omdat iedereen verantwoordelijk is voor informatieveiligheid; van IT-experts tot baliemedewerkers, van bode tot burgemeester.
Informatieveiligheid is nieuw voor gemeenten
In de basis is informatieveiligheid voor gemeenten niet anders dan voor het bedrijfsleven, vertelt Ingrid van Zeeland, expert iBewustzijn en Permanent leren, tevens voormalig bestuurslid van de vereniging voor informatiemanagement van 100.000+ gemeenten in Nederland (IMG). Per gemeente verschilt echter wel het niveau van bewustzijn. Terwijl het bedrijfsleven al tientallen jaren bezig is met cybersecurity, is dit voor gemeenten nog vrij nieuw.
Waarom is er de laatste jaren in toenemende mate aandacht voor dit bewustzijn bij gemeenten? Volgens Rein Zijlstra, wethouder ICT en Informatieveiligheid van Zeewolde, spelen twee dingen hierin een rol. “De echte aandacht begon in 2011 met de hack van DigiNotar, een bedrijf dat voor de beveiliging van overheidswebsites zorgde, en Lektober, toen een website een maandlang elke dag een privacylek publiceerde. De reactie hierop was de ‘Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Pas daarna is het echt gaan leven.” Het tweede dat een grote rol gespeeld heeft, zijn de recente decentralisaties, als gevolg waarvan gemeenten steeds meer te maken hebben met gevoelige informatie van burgers. Omdat cybercrime, de keerzijde van digitalisering, loont, is de veiligheid van deze privacygevoelige informatie echt een issue, benadrukt Van Zeeland. “De gemiddelde hacker kan binnen vijf minuten binnenkomen en blijft gemiddeld 267 dagen binnen voordat hij ontdekt wordt.” Omtrent dit onderwerp bestaat veelal een gebrek aan bewustzijn bij ambtenaren, dat een groot probleem kan vormen voor de informatieveiligheid bij gemeenten. Bij 50 tot 80 procent van de gevallen is een security breach namelijk een gevolg van menselijk handelen, ofwel een gebrek aan e-bewustzijn.
Aandacht voor bescherming
Om dit gebrek aan e-bewustzijn aan te pakken bij medewerkers, hebben gemeenten verschillende stappen gezet, vertelt Zijlstra. Zo hebben de gemeenten toegezegd om de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) te implementeren, is de VNG (Vereniging van Nederlandse Gemeenten) Visitatiecommissie Informatieveiligheid opgericht en is gestart met project ENSIA (Eenduidige Normatiek en Single Informatie Audit); dit alles om gemeenten te ondersteunen in het waarborgen van informatieveiligheid. Daarnaast hebben gemeenten zich verplicht om een CISO (Chief Information Security Officer) in dienst te nemen. Een belangrijke rol, wat Zijlstra betreft, en één die direct onder de gemeentesecretaris hoort te vallen en rechtstreeks toegang hoort te hebben tot de portefeuillehouder Informatieveiligheid, zodat de CISO voldoende invloed bezit.
Hans Baaten is CISO van de gemeente Bergen op Zoom en regio-CISO van de gemeenten Etten-Leur, Roosendaal en Moerdijk. Hij ziet dat gemeenten meer en meer bewust bezig zijn met informatieveiligheid. Zo zijn er trainingen, workshops en bewustzijnscampagnes rondom phishingmails en ransomware, en de Meldplicht Datalekken. Toch is hij van mening dat het onderwerp op andere vlakken nog onvoldoende speelt. De maatschappij verandert. Er wordt meer en meer gebruikgemaakt van mobile devices. Bovendien wordt er vaker thuis of onderweg gewerkt. Als gevolg hiervan moeten additionele veiligheidsmaatregelen worden genomen, zoals identiteits- en toegangsbeheer en het beheer van gegevens op mobile devices. Daarnaast, zo geeft Baaten aan, moet er extra aandacht komen voor het zorgvuldig gebruiken van wachtwoorden. “Dit blijft nog altijd zeer relevant. Wachtwoorden moeten niet uitgeleend worden aan collega’s – ook niet als je op vakantie bent. Maar ook het wachtwoordgebruik an sich verdient aandacht: Gebruik verschillende accounts voor zakelijk en privé gebruik en een derde voor eenmalige registraties en nieuwsbrieven etc. En gebruik zeker verschillende wachtwoorden bij al die inschrijvingen.”
Permanent leren
Het is belangrijk dat gemeenten informatieveiligheid zien als onderdeel van het beleid en niet enkel werken met losse interventie. Een goed informatieveiligheidsbeleid begint met een analyse van de gehele organisatie met betrekking tot de status van de informatieveiligheid en het bewust handelen, legt Van Zeeland uit. Aan de hand van deze analyse kunnen concrete leerdoelen worden geformuleerd om de veiligheid en het bewustzijn te vergroten. De sleutel hierin is permanent leren. Daarbij zouden alle nieuwe medewerkers een introductieprogramma moeten volgen zodat zij basiskennis over informatieveiligheid bij gemeenten hebben. “Informatieveiligheid gaat iedereen aan en gaat verder dan alleen techniek. Daarom is deze basiskennis bij iedereen essentieel”, aldus Van Zeeland. Vervolgens kan deze kennis per persoon en per functie waar nodig worden uitgediept.
Baaten benadrukt dat het adoptievermogen erg relevant is bij het creëren van meer bewustzijn. Hiermee bedoelt hij dat iedereen anders leert. Voor de een zal het bekijken van een instructiefilm voldoende zijn, de ander leert van herhaling en zelf uitproberen. E-learning is één van de middelen die ingezet kunnen worden, evenals het ophangen van posters, het posten van berichten op intranet en het organiseren van workshops. Een groot voordeel van e-learning is dat de informatie interactief kan worden aangeboden. De kennis die wordt aangeboden kan direct worden getoetst. Indien gewenst kan er extra lesstof worden aangeboden. Maar, zo stelt hij, “hoe iemand ook leert, het draait allemaal om het bijhouden van deze kennis. Het is geen eenmalige actie; het bewustwordingstraject is een doorlopend proces.”
Veiligheid in het DNA
Zijlstra ziet dit ook zo en vertelt dat het onderhouden van de kennis essentieel is omdat bedreigingen elke maand anders en meer geavanceerd zijn. Niet alleen moet de kennis rondom informatieveiligheid bijgehouden worden, het is zaak dat informatieveiligheid in het DNA van de gemeente komt, dat het routine wordt en dat er altijd aan gedacht wordt. Hij vergelijkt het met financiën. “In de gemeentewereld wordt niet meer gesproken over zorgvuldig met financiën omgaan. Dat is vanzelfsprekend geworden; bij elk voorstel dat langskomt, wordt nagedacht over eventuele financiële consequenties.
Uiteindelijk moet het met informatieveiligheid net zo gaan. We moeten het er niet meer over hebben, het moet vanzelfsprekend zijn.” Zijlstra en Baaten weten uit ervaring dat dit wellicht nog wel wat tijd nodig heeft; het veilig houden van informatie is een extra taak die er de laatste jaren bijgekomen is en het is veelomvattend. Baaten vertelt dat samenwerking hierbij uitkomst kan bieden. “Als je samenwerkt, leer je van elkaar. Dan profiteer je van schaalvoordelen en hoef je het wiel niet opnieuw uit te vinden.”
Daarom hebben de gemeenten in zijn regio een gedeeld shared services center en een regionaal informatieveiligheidsbeleid. Baaten is als regio-CISO verantwoordelijk voor dit beleid, maar binnen elke gemeente leggen de informatieveiligheidsfunctionarissen verantwoording af aan hun eigen directie. Want, zo benadrukt hij, elke gemeente is van rechtswege zelf verantwoordelijk voor de eigen informatieveiligheid.
Een veilige toekomst
Kijkende naar de toekomst verwacht Baaten een meer volwassen omgeving. “Toen ik drie jaar geleden CISO werd, was er nog nauwelijks sprake van informatieveiligheid. Het is echt iets in opkomst. Je ziet dat mensen het nu serieuzer gaan nemen.” Daarnaast worden de technische maatregelen steeds krachtiger. De combinatie van meer bewustzijn en verbeterde IT zal ervoor zorgen dat informatieveiligheid zal toenemen, zo stelt hij, en dat is belangrijk. De wereld om ons heen verandert in een rap tempo; en daarmee ook de cybercriminaliteit. Van Zeeland is het hiermee eens en stelt dat gemeenten zich moeten blijven ontwikkelen en leren. Er moet permanent aandacht voor blijven. De kracht zit volgens haar in het herhalen en bijhouden, waarbij altijd rekening wordt gehouden met actualiteit. Zijlstra uit zijn zorg met betrekking tot het stellen van prioriteiten, wanneer hem gevraagd wordt naar de toekomst.
Informatieveiligheid moet prioriteit blijven en niet onderaan de lijst belanden. Hij hoopt dat informatieveiligheid in de toekomst zo ingebakken zit in de genen van het bestuur en alle medewerkers, dat bij alles wat gedaan wordt ook aan informatieveiligheid gedacht wordt. Er wordt nog te vaak gedacht dat gemeenten niet interessant genoeg zijn om te hacken, vertelt hij, maar nu gemeenten door de decentralisaties steeds meer gevoelige informatie beheren, zijn ze wel degelijk interessante doelen voor cybercriminelen. Wanneer deze informatie, veelal privacygevoelige informatie van burgers en bedrijven die zich in de gemeenten bevinden, niet beschermd wordt, kan dit grote gevolgen hebben voor het burgervertrouwen in de gemeenten. “Ik verbeeld me niet dat gemeenten zich voor 100 procent kunnen beveiligen, zeker niet als je weet dat de CIA of FBI ook gehackt kunnen worden, maar we moeten alles doen wat de burgers van ons kunnen verwachten, en daarom investeren in state of the art technologie en kennis”, concludeert hij.