juni 2013 • nummer 3
CIP-post Weerbaarheid,herstelvermogen en leervermogen. Bij enkele deelnemers binnen het CIP zijn de activiteiten in het kader van weerbaarheid tegen cyberdreigingen gebundeld in een vorm van ‘Computer Emergency Response Team’ (CERT). In crisissituaties is het van groot belang elkaar snel te kunnen vinden en dat er goede afspraken zijn over verantwoordelijkheden. Zo’n CERT is daarvoor een prima oplossing. Dat bleek nog weer eens de afgelopen tijd, waarin veel van onze organisaties werden bestookt met DDOS-aanvallen. Positief daarbij was ook dat er binnen de CIP-samenwerking tussen verschillende organisaties overleg ontstond over de oplossingen. Door gebruik te maken van elkaars kennis, in snelle, persoonlijke contacten kwamen oplossingen soms aanzienlijk sneller tot stand dan wanneer die individueel uitgezocht hadden moeten worden.
CIP wil graag de uitdaging aan om langs de as van kennisdeling en krachtenbundeling deze effecten zoveel mogelijk te verbreden naar alle participanten. Daarmee kan een proactief informatieplatform ontstaan voor de uitvoerende overheid, die ook een schakelfunctie vormt met het NCSC, zoals de ISAC’s (Information Sharing and Analysis Centers) dat doen binnen de vitale sectoren. In deze CIP-Post worden in meerdere artikelen verschillende aspecten van weerbaarheid en herstelvermogen belicht.
in dit nummer o.a. • Peer-to-Peer-botnets • Domeingroep Awareness • Deel kennis en heers • Domeingroep Ketens • Informatieveiligheid
Peer-to-peer-botnets Het zijn maar een paar voorbeelden. Deze nieuwsbrief gaat verder in op een aantal ontwikkelingen. Tijdens de conferentie van 6 juni worden ze nog eens nader belicht. Wat mij veel energie geeft, is het enthousiasme en de openheid waarmee deelnemers samenwerken in de domeingroepen en werkgroepen. Een verzoek dat ik deed aan zo’n 65 mensen binnen het netwerk om deel te nemen aan een leesgroep werd positief en enthousiast beantwoord door 46 personen uit 20 verschillende organisaties. We hebben daarmee een community die als ‘meedenktank’ wil helpen met het reviewen, aanscherpen en generiek maken van documenten en praktijkvoorbeelden, die we daarmeegereed kunnen maken voor breed gebruik in het netwerk van Participanten.
door Ad Reuijl
Voorwoord Op 6 juni mag er één kaarsje op de taart: CIP is voor het eerst jarig. Precies een jaar geleden vond de startconferentie plaats. De meeste eenjarigen zijn vooral blij met met de papiertjes waarin hun cadeautjes verpakt zijn. Ze kunnen er eindeloos mee spelen. Dat geldt niet voor ons CIP. En gelukkig hoeven we niet blij te zijn met slechts de papiertjes, want wat is er veel gebeurd in het afgelopen jaar! We kunnen ons verheugen in een groot aantal goede ontwikkelingen. Zo zijn de domeingroepen enthousiast bezig met het ontwikkelen van instrumenten die uitvoerings- organisaties kunnen gaan toepassen in hun eigen organisatie. Een voorbeeld daarvan is een e-Learningomgeving met basismodules die gebruikt kan gaan worden bij het verhogen van security awareness in de organisatie. Een belangrijke ontwikkeling is er ook op het gebied van een eenduidig begrip over het hanteren van normen en het meten van het volwassenheidsniveau van naleving van die normen. Op het gebied van Ketens slaan we de handen ineen met de Taskforce BID en Kennispartner Novay: in een startworkshop met bestuurders geven we het startschot voor een serie workshops waarin we risico’s op alle terreinen van ketensamenwerking gaan verkennen, met de ambitie om daarvoor ook oplossingen in kaart te brengen.
Bij alle concrete dingen die dit jaar op de rol staan is het ook goed ons te realiseren dat ook in de samenwerking als zodanig al veel meerwaarde zit. We scherpen ons aan elkaar en brengen elkaar op gedachten vanuit verschillende gezichtspunten en bedrijfssituaties. Waar 2012 het jaar was van de vorming en 2013 het jaar van concrete ontwikkelingen is, zal er in 2014 een belangrijk aspect bijkomen: implementatie. Want aan alleen maar producten op de plank heb je niets, er moet iets mee gebeuren! CIP wil zich dan ook gaan richten op ‘warme overdracht’ van zowel het gedachtegoed als de beschikbare producten. Daarover later in dit jaar meer.
Cybercriminelen maken vaak gebruik van botnets: netwerken die bestaan uit computers van eindgebruikers die zonder het te weten kwaadaardige software hebben geïnstalleerd. De beheerders van een botnet zijn in staat om alle (vaak honderdduizenden) geïnfecteerde computers op afstand te besturen, om op die manier bijvoorbeeld bankgegevens te stelen en de computers te misbruiken om websites aan te vallen of spam te versturen. Botnets zijn al jaren een lucratieve business. In 2010 ontdekte de FBI een misdaadnetwerk dat meer dan 70 miljoen dollar had verdiend aan het stelen van bankgegevens met behulp van een botnet. De hiervoor benodigde botnetsoftware was in de onderwereld te koop voor 4000 dollar. Op 15 September 2012 werd in het VARA-programma Kassa duidelijk dat ook Nederlandse burgers duizenden euro’s verliezen aan cybercriminelen die dit soort botnets gebruiken. Het komt daarnaast ook regelmatig voor dat botnets worden ingezet om te spioneren in geïnfecteerde bedrijfsnetwerken.
Van oorsprong worden botnets meestal bestuurd vanaf een centrale server. Tegenwoordig zien we echter steeds meer peer-to-peer botnets, waarin de geïnfecteerde computers onderling commando’s uitwisselen in plaats van hiervoor verbinding te zoeken met een server. Zulke botnets zijn vaak extreem lastig te bestrijden, omdat de meest voor de hand liggende tegenmaatregel, het uitschakelen van de besturingsserver, onmogelijk is. Het onderzoek aan de VU is erop gericht om kwetsbaarheden te vinden die het uitschakelen van peer-to-peer botnets toch mogelijk maken. Vaak blijkt het mogelijk om zelf deel te nemen aan het botnet, om het vervolgens van binnenuit te verstoren. Bij enkele peer-to-peer botnets is dit afdoende gebleken, maar verontrustend genoeg blijken de best beveiligde botnets in staat zich van zo’n aanval te herstellen. Om deze botnets te bestrijden is diepgaandere interactie met de besmette computers nodig, bijvoorbeeld door via kwetsbaarheden in het botnet een schoonmaakactie uit te voeren. Zulke acties liggen echter gevoelig binnen de huidige wetten en ethische consensus. Een lichtpunt is de oprichting van een database van geïnfecteerde computers door een aantal Nederlandse internetproviders in samenwerking met SIDN (Stichting Internet Domeinregistratie Nederland), het bedrijf dat de registratie van .nl-domeinnamen verzorgt. De desbetreffende database, die Abuse IX gaat heten, zal gebruikt worden om getroffen bedrijven en eindgebruikers beter te informeren. Tegenover de Abuse IX database zijn peer-to-peer botnets mogelijk juist in het nadeel: door de onderlinge communicatie tussen geïnfecteerde computers zijn de beveiligingsonderzoekers vaak in staat om het netwerk accuraat in kaart te brengen. De Abuse IX zal een mogelijkheid bieden om deze gegevens onderling te delen, zodat ze gebruikt kunnen worden om het botnetprobleem effectief aan te pakken. Dennis Andriesse AIO/onderzoeker aan de Vrije Universiteit Herbert Bos Hoogleraar Cybersecurity aan de Vrije Universiteit
Domeingroep Normen. Het SIVA-model gaat helpen bij audits De CIP-domeingroep Normen ontwikkelt, in samenwerking met de NORA-expertgroep Beveiliging, een model voor een uniforme, gestructureerde opbouw van normenkaders. In de vorige editie van CIP-post noemden we dit model nog ‘normenkapstok’ om aan te geven dat het geen nieuw normenkader betreft, maar een gestructureerde herschikking van materiaal uit bestaande kaders. Dat model staat nu bekend als het SIVA- model. De afkorting komt van de 4 pijlers waarop het model is gebaseerd: Structuur (macro), Inhoud, Vorm en Analysevolgorde. Een volgens deze methode herschreven normenkader biedt een aantal voordelen: ·
geen vermenging meer van het WAT en het HOE, zoals nu het geval is bij een aantal normenkaders;
·
daardoor betere aansluiting op de risicoanalyse: maatregelen worden bewuster gekozen in samenhang met de risico’s die de specifieke organisatie inschat;
·
doordat het model dwingt tot gerichte definitie van maatregelen in samenhang met de bedrijfsrisico’s, zal het ‘comply-or-explain’ (in de praktijk vaak met wel erg veel accent op explain) verschuiven naar ‘tell-and-comply’;
·
op het hoogste niveau van beschrijving (principeniveau) worden bestuurders en managers, veel meer dan nu het geval is, aangesproken. Daarmee worden nut en noodzaak veel dichterbij gebracht dan nu het geval is en worden bestuurders en managers sterker geïnvolveerd bij de risicoanalyse;
·
één taal en een éénduidig begrip door de overheidsketens heen legt een hechte basis voor het single-auditprincipe: in de toekomst veel minder ‘dubbele’ audits vanuit de optiek van verschillende ketens en daarmee zowel minder kosten als belasting voor onze organisaties.
Peter (P.J.M.) van Dijk CISSP, Adviseur Informatiebeveiliging, Ministerie van Infrastructuur en Milieu, DG Rijkswaterstaat, Data-ICT-Dienst
“De mens is de zwakke beveiligingsschakel”
Op 6 juni wordt tijdens de conferentie de vertaling getoond van de NCSC-webrichtlijnen naar het SIVA-model. Dit is de eerste stap die gemaakt is met het model.
Auditen met als doel verbeteren
Aanval en verdediging Informatiebeveiliging heeft zich in rap tempo de boardrooms binnen tgedrongen. Vitale maatschappelijke functies worden regelrecht bedreigd. In een recente publicatie in het Financieele Dagblad worden de volgende vitale sectoren daarbij aangestipt: · financiële dienstverlening, met name het betalingsverkeer;
In nauwe samenwerking met en aansluiting op de werkzaamheden van het NCSC kan het CIP de gebundelde expertise inzetten voor een veilige, digitale dienstverlening van de overheid, waarop burgers en bedrijfsleven blijvend kunnen vertrouwen.
· de energievoorziening;
Frans Haverkamp
· onze waterhuishouding; · en last-but-no-least de sociale zekerheid.
Op deze SIVA-Webrichtlijnen ontwikkelt de domeingroep tevens een bijpassende Maturity Assessment, te vergelijken met de CMMI-aanpak (Capability Maturity Model Integration) in de wereld van softwareonwikkeling en -beheer). Als instrument voor controle en verbetering werkt dit krachtiger en met meer respect voor de specifieke situatie van de individuele organisatie dan de huidige assurancerapportage die voor de webrichtlijnen wordt gebruikt. Met Logius en NCSC hebben we dan ook overleg over het vervangen van de huidige aanpak door deze nieuwe ontwikkeling.
Cyber security en cyber crime zijn daarbij de meest gebruikte termen en bestrijken het domein van internetveiligheid.
Bij UWV wordt in het laatste kwartaal van dit jaar een pilot gepland: de uitvoering van het maturity assessment o.b.v. het SIVA/de NCSC-Webrichtlijnen.
De recente DDOS-aanvallen hebben ertoe geleid dat het NCSC (National Cyber Security Centrum) en de banken hun krachten gaan bundelen ter versterking van de verdediging.
Verdere plannen voor uitbreiding naar het NORA- Kader (Nederlandse Overheid Referentie Architectuur) en de scope van ISO27001/2 zijn in de maak. Daarover in het najaar meer. Wiekram Tewarie
Dit is primair aan de orde voor de oprichters van het CIP: de 4 Founding Fathers, zijnde UWV, Belastingdienst, SVB en DUO. In het verlengde daarvan geldt dit ook voor overige overheidsorganisaties.
Aanval en verdediging volgen elkaar in een steeds hoger tempo op en de toenemende complexiteit heeft een nieuwe marktsector doen ontstaan in het behoud van internetveiligheid. In de Haagse regio is in het najaar van 2012 The Hague Security Delta (HSD) opgericht, dat moet gaan uitgroeien tot de internationale hotspot cyber security.
Voor het CIP is een belangrijke rol weggelegd in het bundelen van relevante kennis en ervaring, waarmee het weerbaarheidsvermogen, het herstelvermogen en met name het leervermogen aanzienlijk worden versterkt.
Domeingroep Ketens Arjen Bosch, Ministerie van Financiën, Directoraat generaal Belastingdienst, CIO Office Quote:
“Ketens in de uitvoering zijn ketens in de samenwerking!”
Domeingroep Awareness Maar al te vaak worden awarenessprogramma’s met veel enthousiasme gestart, vaak geïnitieerd met leuke campagnes naar aanleiding van een incident. Helaas moet ook worden geconcludeerd dat veel van deze initiatieven van tijdelijke aard zijn en niet zijn geborgd binnen de desbetreffende organisatie. Net als bij een reclamecampagne op televisie of het leren voor een examen, is herhaling essentieel om zowel een boodschap over te brengen als kennis en vaardigheden bij te brengen met als einddoel een verandering in gedrag te bewerkstelligen. Dit gedachtegoed heeft geïnspireerd tot het benoemen van enkele thema’s in het jaarplan CIP 2013, waarmee de Domeingroep Awareness vervolgens aan de slag is gegaan. Er zijn werkgroepen geformeerd voor de thema’s: · ·
Samenwerken “Optimale kennisdeling met gebruik van e-learning” en Borgingsmechanisme awarenessprogramma.
Naast de activiteiten in de werkgroepen is de Domeingroep ook in gesprek met onder andere de Taskforce Bestuur en Informatieveiligheid Dienstverlening. Deze is opgericht in februari 2013 en heeft tot taak de informatieveiligheid bij bestuurders en topmanagement onder de aandacht te brengen. Het doel van deze activiteiten is af te stemmen waar we elkaar kunnen versterken door het gebruik van elkaars kennis en practices. Onder het motto “vele handen maken licht werk” is dit een oproep aan alle participanten en kennispartners om deel te nemen aan de werkgroepen van de Domeingroep Awareness. Zowel inhoudelijke kennis als kennis van de verschillende organisaties is essentieel voor het maken van mooie toepasbare producten.
De domeingroep Ketens is 2013 begonnen met de voorbereiding van de in het jaarplan CIP 2013 opgenomen activiteiten. In samenwerking met onze kennispartner NOVAY hebben we het initiatief genomen om een aantal workshops te organiseren over het thema “Ketenincidentmanagement”. Door bij dit initiatief ook de Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening) en NORA (Nederlandse Overheid Referentie Architectuur ) te betrekken is een breed draagvlak ontstaan voor deze workshops. Voorzien zijn workshops voor de verschillende stakeholders in organisaties die te maken hebben met ketenincidentmanagement, zoals bestuurders, architecten, ontwikkelaars, systeembeheerders en toezichthouders. Doelstelling is te komen tot goede afspraken tussen partijen over de wijze waarop organisaties omgaan met incidenten in de ketens waarin zij betrokken zijn. De resultaten van de workshops zullen hun weerslag krijgen in het ketenkatern van NORA. De eerste workshop met bestuurders heeft inmiddels op 26 april jl. plaatsgevonden. Een tweede initiatief is het ontwikkelen van een Nederlandstalige good practice voor Secure Software Development (SSD). De domeingroep hanteert in dit verband de volgende uitgangspunten: •
kwalitatief goede en veilige software vormt de hoeksteen van een weerbare keten;
•
het achteraf vaststellen of software veilig is door penetratietesten te (laten) uitvoeren is niet effectief
•
er bestaat voor het Nederlandse taalgebied geen beschreven good practice SSD
•
het investeren in het inrichten van een SSD-proces is noodzakelijk om robuuste ketencomponenten te ontwikkelen.
In samenwerking met de kennispartner SIG is in april van dit jaar een werkgroep gestart om de bedoelde good practice te ontwikkelen. De domeingroep is verheugd dat er vanuit een groot aantal participanten bereidheid is om deel te nemen in de werkgroep. Het resultaat van de werkgroep moet breed inzetbaar zijn in de publieke sector en daarom zowel bruikbaar zijn voor organisaties die het ontwikkelen van software hebben uitbesteed als voor organisaties die zelf hun software ontwikkelen. De eerste resultaten van de werkgroep worden gepresenteerd op de conferentie van 6 juni as. Een derde initiatief is het definiëren van wat veilige koppelvlakken zijn. De domeingroep heeft inmiddels de opdracht voor deze werkgroep vastgesteld en verwacht de resultaten in de najaarsconferentie te kunnen presenteren. Marcel Koers
Henk Lieftink
Het doel van deze werkgroepen is het stimuleren en faciliteren van kennisdeling bij de participanten en het aanreiken van bruikbare practices.
meer weten over cip? Als u meer wilt weten over de doelstellingen en activiteiten van CIP bezoek dan de website www.cip-overheid.nl.
Voor meer informatie over uw deelname als Participant of Kennispartner neemt u contact op met Ad Reuijl.
Deel kennis en heers Het CIP heeft een simpele, heldere boodschap: kijk bij beveiliging naar de keten van afhankelijkheden en help elkaar verder te komen. Hoe actueel die boodschap is, bleek begin april toen ons land onder vuur kwam te liggen van een reeks DdoS-aanvallen. Val ING aan en ketenpartner iDeal kan geen dienstverlening meer bieden, waardoor een webwinkel geen spullen kan verkopen. De keten is onmiddellijk helder. Toen DigiD slachtoffer werd van een reeks aanvallen hadden meteen ook de websites van de Belastingdienst, UWV.nl, werk.nl en een hele rits gemeenten er Brenno de Winter last van. Of een werkzoekende op werk.nl een adequate dienstverlening mag verwachten bepaalt niet alleen UWV, maar wordt ook bepaald door zowel Logius met de kwaliteit van haar infrastructuur als uiteindelijk door de aanvaller. De uitstralende werking van een aanval wordt dan ook opeens heel breed voelbaar in de maatschappij.
Intelligence
Na aanvallen op onder andere ING, Rabobank, ABNAMRO, DigiD, KPN, TransIP, KLM's incheckservice, NS, Trans Link Systems (OV-chipkaart) is inmiddels wel duidelijk dat Nederland wordt aangevallen en dus onder vuur ligt. Omdat – voor zover bekend en ervan uitgaand dat de overheid de waarheid spreekt – er geen dreigement is, geen chantagepoging wordt gedaan en de aanvallen niet worden geclaimd, tasten we voor wat betreft de dader(s) in het duister. Van een goede intelligencepositie, om langs die weg mogelijks iets te vernemen, is ook al lang geen sprake meer. Sinds vorig jaar is duidelijk dat het bijna tot beleid is verheven om de relaties met hackers onder druk te zetten. Mensen die lekken aanbrengen moeten óf door zoveel hoepels springen dat het eigenlijk niet meer mogelijk is nog een lek aan te melden óf voor lief nemen dat het aantonen van lekken leidt tot strafvervolging. Zelfs het schrijven over de problematiek kan tot acties van de overheid leiden, acties die in ieder geval duidelijk maken dat aandacht voor die problematiek niet welkom is. Het voeren van een dergelijk beleid is natuurlijk het goed recht van de overheid, maar dan moet diezelfde overheid vervolgens niet vreemd opkijken als er zowel een weerstand tegen diezelfde overheid wordt opgebouwd als informatie de BV Nederland niet tijdig meer bereikt. Je zou immers als hacker wel goed gek moeten zijn om samenwerking te zoeken als je weet dat jouw boodschap leidt tot mogelijk een boel ellende. De sfeer in Nederland – excusé le mot – is op dit moment compleet verziekt en dat helpt niet bij het oplossen van de problemen. We hebben zonder twijfel intelligence nodig om de aanvallen proberen voor te zijn.
Mark Kanter, Adviseur R&R, Min. Van EL&I/Dienst Regelingen
Opsporing
Op dit moment rest niets anders dan vol investeren in opsporing en hopen dat de desbetreffende verantwoordelijken worden gepakt. In tegenstelling tot wat minister Opstelten aangeeft, is het niet fair om te blijven stellen dat banken harder moeten werken om de problemen te lijf te gaan. Deze aanvallen hebben zo'n omvang dat verdedigen wel heel erg moeilijk wordt. Feit is dat banken enorm hard werken, de infrastructuur fors hebben uitgebreid en dus eigenlijk doen wat we maatschappelijk van ze verwachten. De bandbreedten die de banken in dit verband bieden, overschaduwt in ruime mate de bandbreedte die beschikbaar is voor DigiD. Als aanvallen dan toch succesvol zijn geweest, rest niets anders dan dat achteraf zowel politie als justitie aan de slag gaan. Dan past dus geen gepiep over wat er allemaal niet kan, want de laatste jaren hebben de burgers veel vrijheden ingeleverd om een effectievere opsporing mogelijk te maken. Thans is de tijd gekomen dat de door de burgers geleverde offers worden omgezet in een effectieve bescherming door de overheid. De aan de orde zijnde ego’s moeten dan echt gaan plaatsmaken voor noeste arbeid en oplossingen waaraan de maatschappij écht iets heeft. Ondertussen doet het CIP wat iedereen zou moeten doen: kennis delen en lering trekken. Eigenlijk hadden we dat al veel eerder moeten doen.
Wat ik belangrijk aan de samenwerking vind is dat we op deze manier veel kennis bundelen en hiermee het vakgebied binnen het samenwerkingsverband een boost geven. Daarnaast kunnen we elkaar helpen bij het oplossen van dilemma’s en is het niet nodig het wiel meerdere keren uit te vinden.
Het mooie van CIP vind ik dat de verschillende organisaties betrokken zijn op basis van vrijwilligheid. Iedereen realiseert zich dat je het in deze digitale tijden met zijn onderlinge verbindingen en afhankelijkheden niet meer alleen redt. CIP biedt het platform om op basis van gelijkwaardigheid gezamenlijk op te trekken. Bas Veul, UWV ICT Architect
Het internet en veiligheid: wie draagt welke verantwoordelijkheid?
Informatieveiligheid Informatieveiligheid: een uitdaging voor ons allemaal
Informatieveiligheid: dat vraagt om samenwerking
Het internet is een prachtig medium waar wij veel aan hebben te danken. Het heeft onze kennisontwikkeling versneld en onze kennis verdiept. Gegevensbestanden zijn ontsloten en met elkaar verbonden waardoor ons overzicht wezenlijk is verbeterd en onze analyses beter zijn geworden. En, wij plegen handel “at the click of a mouse” etc. Voor het functioneren van onze samenleving is toegang tot en het gebruik van het internet essentieel geworden. Ook innovatie is eigenlijk nauwelijks denkbaar zonder het internet. Nadenkend over wat wij moeten doen om dat prachtige medium veilig te kunnen blijven gebruiken en minder kwetsbaar te maken, moet ik vaak aan dat andere – voor ons zo belangrijke – medium denken: de autoweg. Ook dat medium is voor het functioneren van onze samenleving belangrijk.
Onze samenleving digitaliseert in rap tempo. Dat is uiteraard een positieve ontwikkeling met alle gemakken van dien. De andere kant van de medaille is helaas dat deze digitalisering ook nieuwe maatschappelijke, politieke en organisatierisico’s met zich meebrengt. Die risico´s zien we inmiddels veelvuldig werkelijkheid worden. De recente cyberaanvallen op een gerenommeerde bank als ING, met alle ongemakken en onzekerheden voor klanten als gevolg, zijn hiervan een schrijnend voorbeeld. Dat geldt ook voor de negatieve gevolgen hiervan op het organisatie-imago. Het ontwikkelen van “fall back”- scenario’s in geval van digitaal falen is meer dan cruciaal geworden, 100% veilig bestaat immers niet. Deze nieuwe digitale wereld vraagt dan ook om een nieuwe manier van denken en sturen op organisatie- en stelselniveau. Helaas wordt momenteel nog te vaak vanuit ons oude paradigma naar deze nieuwe wereld gekeken.
De Taskforce BID is sinds het begin van dit jaar voortvarend aan de slag gegaan. Er wordt voorgebouwd op bestaande initiatieven én intensief samengewerkt met koepelorganisaties en betrokken organisaties op informatieveiligheidsvlak. Dat is ook aan de orde voor het Centrum Informatiebeveiliging en Privacybescherming (CIP). Het CIP is medio vorig jaar ontstaan vanuit de vraag bij Zelfstandige Bestuursorganen, specifiek vanuit UWV. Het credo van het CIP, “het expertisecentrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties”, is de Taskforce BID uit het hart gegrepen. Want door aanwezige kennis bij overheidsorganisaties op het vlak van informatiebeveiliging en privacybescherming te verzamelen en weer toegankelijk te maken, worden de overheidskrachten écht gebundeld. Zo ontstaan gezamenlijke oplossingen, wordt geleerd van elkaars ervaringen en gekomen tot gemeenschappelijke afspraken over bijvoorbeeld normering. Op deze wijze wordt de publieke dienstverlening naar burgers en bedrijven en tussen overheidsorganisaties onderling veiliger en betrouwbaarder.
Als wij met de auto van A naar B willen, denken we er niet aan of wij het ritje wel zullen overleven. Wij hebben dat medium kennelijk zo veilig kunnen maken, dat wij met een gerust hart in de auto stappen. Hoe komt dat zo? Hoe hebben we dat gedaan? Ik denk dat het komt, omdat wij als individuen ons houden aan de verkeersregels, de overheid voor goede wegen zorgt en de autofabrikanten voor veilige auto’s zorgen. We hebben kennelijk verduidelijkt wat ieders verantwoordelijkheid is en houden ons aan die verantwoordelijkheden. Het totaal daarvan zorgt ervoor dat we de autoweg veilig genoeg hebben kunnen maken en veilig genoeg kunnen gebruiken. Zo werkt dat kennelijk. Hoe zit dat nu met het dat andere medium? Het internet? Wie zijn daar de actoren en hoe zit het met de verantwoordelijkheden? Globaal kunnen we spreken over de volgende actoren: het individu zoals u en ik, de overheid (lokaal en landelijk), het bedrijfsleven (en daarbinnen de verschillende sectoren), de regionale instanties (zoals EU en NAVO) en zelfs de mondiale actoren zoals VN en WTO.Het probleem met het internet is dat we de verantwoordelijkheden van deze actoren niet scherp hebben. Wie doet wat en hoe zorgen we ervoor dat we er naar gaan leven?
Dick Berlijn
Is het logisch dat we de overheid de schuld geven van een digitale inbraak als we zelf niet voor een goede virusscanner hebben gezorgd? Is het logisch dat sommige fabrikanten zich vrij voelen om onveilige hard- en software op de markt te brengen? Is het logisch dat cybercriminelen vrij zijn om vanuit land X ongehinderd cyberaanvallen uit te voeren? Wie draagt hierin welke verantwoordelijkheid? Sommigen denken dat de overheid al onze problemen gaat oplossen, anderen weer denken dat de VN dat gaan doen. Mijn veronderstelling is dat onze digitale omgeving pas minder kwetsbaar wordt als wij het eens zijn geworden over die verantwoordelijkheden en er vervolgens naar gaan leven. Zal dit gemakkelijk gaan? Waarschijnlijk niet. Zullen we het snel met elkaar eens worden? Waarschijnlijk evenmin. Maar willen wij het internet ook in de toekomst in haar volle kracht kunnen blijven gebruiken en de unieke capaciteiten van dit medium kunnen blijven benutten dan zullen wij het uiteindelijk over die verantwoordelijkheden eens moeten worden. Nogmaals: niet gemakkelijk, wél noodzakelijk.
Informatieveiligheid: zonder plek aan de bestuurstafel… een utopie Kortom er zijn genoeg redenen om tot actie over te gaan. Minister Plasterk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft dan ook als actieve prikkel op informatieveiligheidsvlak de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) in het leven geroepen. Het concrete doel hierbij is het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Dit betreft zowel bewustwording als de desbetreffende sturing. Niet voor niets is Verplichtende Zelfregulering per overheidslaag het punt op de horizon. Er is geen tijd te verliezen.
Meer weten? Heeft u nog vragen naar aanleiding van dit bericht? De Taskforce Bestuur en Informatieveiligheid Dienstverlening beantwoordt deze graag via
[email protected]. Net als het CIP, via
[email protected].
Informatieveiligheid: een lonkend perspectief en praktische handvatten Samen met het CIP gaat de Taskforce BID initiatieven ontwikkelen om uiteindelijk te komen tot Verplichtende Zelfregulering als het gaat om informatieveiligheid. In eerste instantie gebeurt dit specifiek voor de overheidslaag Zelfstandige Bestuursorganen. De Taskforce BID en het CIP zullen samen ook diverse opleidingen en verankeringsinstrumenten initiëren. Denk hierbij aan maturity assessments, simulatietesten, confrontatieworkshops en zelfs een systematiek voor risicoanalyse. De gezamenlijke overtuiging is dat er aldus een vruchtbare voedingsbodem ontstaat voor het verankeren van informatieveiligheid in de genen van elke overheidsorganisatie. Sonja Kok en Henk Wesseling
Bericht uit de Domeingroep Privacy De domeingroep Privacy kent tot nu toe een vaste set van actuele aandachtspunten: de privacyontwikkelingen op Europees niveau, de CBP-richtsnoeren, de Privacy Impact Assessment (PIA) en gegevensuitwisselingen tussen overheidsorganisaties. Deze zaken komen steeds meer met elkaar in verband te staan, met de aankomende EUverordening voor de gegevensbescherming als centraal thema en bindend element. De laatste zijkamergevechten zijn onlangs kennelijk tot bedaren gebracht. Daardoor lijkt de inhoud nu stabiel en kan het moment van goedkeuring behoorlijk trefzeker worden voorspeld. In juni 2014 wordt het voorstel van kracht. Lidstaten hebben dan nog maximaal 2 jaar om zich daaraan te conformeren. Nationale wetgeving - onze Wet Bescherming Persoonsgegevens (WBP) wordt tegelijkertijd op non-actief gesteld. Op de novemberconferentie van het CIP is de conceptverordening in grote lijnen al besproken en is het punt van de rechtstreekse werking aangestipt. Dit gaat op een aantal punten onherroepelijk een afwijking betekenen van de praktijk, die is geënt op de WBP. De domeingroep gaat aan de slag om de specifieke consequenties in kaart te brengen voor de uitvoeringsorganisaties.
Met de EU- verordening in aantocht was het achteraf niet verbazingwekkend dat de verplichte Privacy Impact Assessment in het regeerakkoord werd opgevoerd. De domeingroep heeft enkele PIA-modellen en aanwijzingen voor de invoering geïnventariseerd; de Belastingdienst heeft een zelf ontwikkelde PIA aangeleverd. Deze praktijkvoorbeelden zijn te vinden op onze samenwerkingsomgeving cip.pleio.nl De ontwikkelingen rond de gegevensleveringenkaart worden op dit moment even aangehouden. Er is een eerste concept aangeleverd, maar de domeingroep is van mening dat een globaal overzicht van gegevensstromen voor professioneel gebruik binnen de organisaties tekort schiet. De reden van dit tekortschieten ligt in het feit dat de desbetreffende gegevensstromen niet zonder meer betrouwbaar hoeven te zijn. Maatwerkcontroles zijn dan een middel om vast te stellen in hoeverre de desbetreffende gegevensstromen al dan niet betrouwbaar zijn. Het CIP speurt niettemin toch nog naar een mogelijkheid om het overzicht uit te geven voor een breder publiek, bijvoorbeeld op de manier waarop ook de Stelselkaart van het ministerie van BZK is gerealiseerd.
In december 2012 heeft de domeingroep op verzoek van de Manifestgroep een reactie afgegeven in de reviewronde van de Richtsnoeren van het CBP. Deze reactie is onder de vlag van de Manifestgroep naar het CBP gestuurd. Nu de Richtsnoeren officieel zijn gepubliceerd, gaat de domeingroep er opnieuw naar kijken, nu met het oog op de gevolgen voor de eigen uitvoeringspraktijk.
Colofon Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar
[email protected]. Concept en realisatie: Adrenaline Communicatie BV
