Bewustwording Informatieveiligheid bij gemeenten. Januari 2014

Bewustwording Informatieveiligheid bij gemeenten

Januari 2014

Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van deze mededeling. 2

Voorwoord

3




Deze bewustwordingspresentatie is een voorbeeldpresentatie t.b.v. gemeenten. Het staat een gemeente vrij om sheets toe te voegen en te verwijderen.




Deze presentatie heeft als doelgroep ‘Iedere medewerker binnen de gemeente’.




De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en het afgeleide voorbeeld Informatiebeveiliging Beleidsplan is als uitgangspunt genomen voor deze presentatie. Er is geen keuze gemaakt in specifieke onderwerpen, het kan zijn dat een gemeente bepaalde accenten in het eigen beveiligingsbeleid scherper of minder scherp wil neerzetten.

Informatiebeveiliging, belangrijker dan ooit?

Inhoud


Doel van de presentatie




Wat is informatie en in welke vorm kennen we het?




Wat is Informatiebeveiliging?




Informatiebeveiliging, wat zijn de principes?




Het belang van informatiebeveiliging in relatie tot het werken bij een gemeente.




Inzicht in de risico’s, bedreigingen en maatregelen die nodig zijn om alle vormen van informatie te beschermen.




Starten van een cultuur- en gedragsverandering.

1. Doel van de presentatie •

Voor wie  Iedere medewerker binnen de gemeente, ongeacht soort arbeidsverhouding

•

Inhoud  Informatiebeveiligingsmaatregelen

•

Doel  Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van onveilig gedrag naar veilig gedrag.

2. Wat is informatie? • • • • • •

Gestructureerd Logisch Betekenisvol Te gebruiken in een context Waarde Vorm

•

Denk aan: – GBA gegevens – BSN



Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. Voorbeeld: Edwin de Vries Kerkstraat 50 Amsterdam Geboorte datum: 18-05-1925

Welke interessante of vertrouwelijke informatie heeft u?

3. En….in welke vorm kennen we het ? • • • • • •

Op papier (ook geschreven) Mondeling Elektronisch (netwerken) Transport (signaal) Transport (fysieke media, mobiele apparaten) Kennis

4. Waarom hebben we informatiebeveiliging nodig? • • • • •

Informatie heeft waarde Waardevolle informatie veilig stellen Privacy beschermen Aanpak om informatie te beschermen Informatie heeft een bepaalde gevoeligheid

5. Wat is de waarde van informatie? • • • • • •

Geldelijke waarde Aantrekkelijk voor anderen (insiders of outsiders) Nut voor u Nuttig voor anderen De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie Tijdigheid

 Welke waarde heeft uw informatie?

6. Wat is informatiebeveiliging?  Beschikbaarheid • De mate waarin een informatiesysteem in een bedrijf aanwezig is op het moment dat de organisatie het nodig heeft  Exclusiviteit (vertrouwelijkheid) • De mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden  Integriteit • De mate waarin een informatiesysteem zonder fouten is

7. Wat is het doel van het beveiligingsprogramma bij de gemeente? • • • • • •

Herkennen van bedreigingen, zwakheden en risico’s ten opzichte van gemeentelijke informatie Tegengaan of verminderen van deze risico’s naar een acceptabel niveau Verwijderen of verminderen van een zwakheid in een systeem De kans verkleinen dat een bedreiging manifest wordt Reduceren van de schade als er toch een incident optreedt Herstellen van informatievoorziening

8. Balans •

Er is een relatie tussen gebruiksgemak en beveiliging

•

Als de beveiliging toeneemt, neemt het gebruiksgemak af

•

Voorbeeld: IPAD, schermbeveiliging.

9. Beveiliging is noodzakelijk •

Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer belangrijk voor de doelstellingen van onze gemeente

•

Onze informatiesystemen moeten altijd worden beschermd

•

Onze informatie moet altijd worden beschermd

•

Onze burgers moeten er van uit kunnen gaan dat wij hun informatie beschermen

Informatie opgeslagen in onze systemen 2013-11-19, Used with permission, [email protected]

10. Informatiebeveiliging is de taak van iedereen binnen de gemeente •

De gemeente is een informatieverwerkende organisatie

•

Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren

•

Informatiebeveiliging is essentieel voor de continuïteit van onze dienstverlening richting onze burgers

•

Informatiebeveiliging is essentieel om het vertrouwen van onze burgers in de gemeente te versterken

11. Verantwoordelijkheid! •

•

• •

•

Het is de verantwoordelijkheid van iedere medewerker binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen U bent verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie welke onder uw verantwoordelijkheid valt binnen uw werk Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan uw werk De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is. Op basis daarvan wordt een classificatie toegekend De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van vertrouwelijkheid

12. Informatiebeveiliging is de taak van iedereen! • Informatiebeveiliging kunt u lastig later toevoegen, het moet er gewoon zijn • Informatiebeveiliging is niet alleen de taak van de beveiligingsspecialisten • Informatiebeveiliging is de taak van iedereen! • We moeten er allemaal voor zorgen dat gemeentelijke informatie, -middelen en -ruimten goed zijn beveiligd en dat ook blijven • Wat kunt u daaraan bijdragen?

13. Gemeentelijke informatie moet worden behandeld in overeenstemming met de classificatie Proces Burgerzaken (klantbegeleiding, afspraken) Basisregistratie persoonsgegevens Overige basisregistraties Indienen en behandelen beroep en bezwaarschriften Sociale Zaken — Uitvoering / verstrekking voorzieningen Sociale Zaken — Handhaving en controle Openbare orde en veiligheid (brandweer, preventie, rampbestrijding)

Beschikbaarheid Belangrijk Essentieel Essentieel

Essentieel

Integriteit Vertrouwelijkheid Absoluut Vertrouwelijk Absoluut Geheim Absoluut Openbaar Openbaar/ Absoluut vertrouwelijk Hoog Geheim

Noodzakelijk

Absoluut

Geheim

Essentieel

Absoluut

Geheim

Noodzakelijk

Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente anders zijn.

14. Beveiliging binnen onze gemeentelijke organisatie • • • • • •

Integraal verantwoordelijke Gedelegeerd verantwoordelijke Iedere manager Information Security Officer ICT-servicedesk (telefoonnummer) Overige beveiligingsnummers

Wat zijn bedreigingen?

2013-11-19, Used with permission, Kevin Siers, The Charlotte Observer

15. Wat zijn bedreigingen? • • • • • •

Malware via websites Verouderde software Mobile devices Cybercrime, DDoS, phishing Digitale spionage Werknemers

• • • • • •

Buitenlandse wetgeving Verlies van data, BYOD Stroomstoring Verlies van kennis Apps van derden Identiteitsdiefstal

Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.

16. Externe bedreigingen • • •

Hackers Crackers Scriptkiddies

17. Welke motivatie? • • • • • •

Vandalisme Boosheid Politiek Nieuwsgierigheid Schade willen toebrengen Persoonlijk gewin

18. Voorbeelden externe bedreigingen •

Natuurrampen: – Aardbeving, overstroming, tornado en bliksem

• • • • • •

Stroomstoring Geen Airco Terrorisme Brand en waterschade Personeelstekort Digitale aanvallen van buitenaf – – – –

Hacken, digitale inbraak DDOS-aanval SAAS, toegang tot applicatie Spionage

19. Nog meer bedreigingen… •

Diefstal of verlies van: Laptops Desktops PDA’s / tablets Telefoons / Smartphones Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc. Data (logisch) draadloos, Man-in-the-middle (MITM)

•

Social Engineering

20. Interne bedreigingen • • • • •

(1/2)

Onoplettendheid (verkeerde informatie geven) Slordigheid (typo’s, clean desk?) Onwetendheid (de regels niet kennen) Onbewust handelen (aannemen dat iets zo is) Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden)

Bijvoorbeeld:  Gebruiken van onveilige software  E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven wachtwoorden  Je niet houden aan de clean desk Policy  Over gevoelige informatie praten in openbare ruimten

20. Interne bedreigingen

(2/2)

 In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden  Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van de incidenten komt van binnenuit de eigen organisatie

28

21. Interne bedreigingen, wat maakt ons kwetsbaar? • Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden (uit woordenboek) • Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden, vertrouwelijke informatie versturen via e-mail, lekken van informatie • Impliciet vertrouwen van dingen die we van anderen krijgen: openen e-mailbijlagen van onbekende mensen die een virus of een andere kwaadaardige code kunnen bevatten • Klikken op links van ‘phishing’ e-mails

22. Hoe informatie op papier te beschermen? • Opbergen van papieren in een kast of andere geschikte container (Clean Desk Policy) • Geen informatie of wachtwoorden op ‘post-its’ of briefjes en andere informatie, zoals cd-roms, laten rondslingeren • Maak gebruik van shredders (verplicht voor gevoelige informatie) • Sluit uw deur van het kantoor

23. Informatie op papier • • • • • • •

(vervolg)

Altijd afdrukken van printers en faxapparaten halen, met name aandacht besteden aan gemeenschappelijke printers Verwijder de afdrukken uit gemeenschappelijke printers direct (Let op: Sommige printers en faxapparaten slaan kopieën van documenten op, die later kunnen worden opgehaald) Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of gevoelige interne post Gebruik een procedure om gevoelige informatie te verzenden (dubbele enveloppen, koeriers etc.) Gebruik ‘de dubbele enveloppen techniek’ voor gevoelige externe (inkomende of uitgaande) post Voor ‘zeer gevoelige informatie’ overwegen gebruik te maken van ‘tamper-proof’ of verzegelde enveloppen

24. Hoe mondelinge informatie te beschermen? • Wees u bewust van uw omgeving • Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle soorten informatie te bespreken (burgers, bezoekers, aannemers, derden) • Handhaaf het ‘need to know’-principe • Adopteer een minimalistische benadering met betrekking tot het verstrekken van informatie aan derden als u niet zeker weet of iets iemand anders aangaat • Vermijd specifieke details met betrekking tot operationele procedures, beveiligingsprocedures of de computersystemen van de gemeente

24. Hoe mondelinge informatie te beschermen? (vervolg) • Zeer gevoelige informatie kan beter niet over de telefoon besproken worden • Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke informatie op een mobiele telefoon (omgeving, afluisteren etc.)

25. Informatiesysteem-specifieke uitdagingen • • • • • • • •

Aggregatie – toenemende datavolumes Gebrek aan zichtbaarheid Gebruiksgemak versus beveiliging Software en hardware installatie Portabiliteit Snelheid Technologische vooruitgang Gebruikers kennis / competenties

26. Hoe kun je informatie beschermen? • • • • • • • • • •

Gezond verstand Veilige wachtwoorden Antivirus maatregelen Software uit bekende bronnen Nadenken over mobiele apparaten Goed gebruik van media Voorzichtigheid met het web en e-mail Log on / log off Opslaan van documenten/ back-up Juiste toegangsrechten

27. Gezond verstand! • Ziet iets er vreemd uit/ is er iets veranderd ? • De computer of het systeem gedraagt zich anders dan anders • Noteer de datum en tijd waarop de problemen zich voordeden • Geloof niet alles wat u op het Internet vindt • Zoek hulp / bel de helpdesk als u twijfelt

28. Wachtwoorden • Schrijf wachtwoorden nergens op • Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige plaats • Vernieuw regelmatig uw wachtwoorden • Kies een sterk wachtwoord • Deel nooit uw wachtwoord met anderen • U bent verantwoordelijk voor misbruik van uw wachtwoord • Verander uw wachtwoord direct als u misbruik vermoedt

29. Wachtwoord problemen • Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te raden voor anderen • Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden • Opschrijven van wachtwoorden • Korte wachtwoorden zijn makkelijk te kraken • Niet voor alles hetzelfde wachtwoord gebruiken

30. Goede wachtwoorden •

Wat is een goed wachtwoord? – Alfabetisch – A tot Z en a tot z – Nummers – 0 tot 9 – Speciale letters / leestekens – • ~ ! @#$%^&*( )+=[ ]{}/?<>,;:\|`’”.

31. Gemakkelijk te onthouden wachtwoorden? •

Neem een zin die u kunt onthouden

•

Neem van ieder woord de eerste letter en vervang letters voor tekens

•

Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014: Og=€V0!2o14

32. Antivirus • Open geen e-mail die u niet vertrouwt • Open nooit bijlagen van e-mails die u niet verwacht • Klik niet op links in e-mails die u niet vertrouwd • Zorg voor een up-to-date antivirusscanner • Download geen uitvoerbare programma’s en installeer zelf geen software • Bij twijfel een handmatige extra virusscan uitvoeren • Check voor gebruik media van anderen

33. Software en Hardware installatie • Installeer geen ongeautoriseerde hard- en software • Gebruik geen eigen software of download deze niet van een onbekende bron of van het Internet • Installeer zelf geen modems of draadloze toegangspunten • Wijzig geen netwerk componenten • Gebruik alleen gelicenseerde software

34. Mobiele telefoons en tablets • Bescherm zowel telefoon en SIM met een Pincode • Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten kast of op een andere veilige plaats • Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op straat • Behalve dat het apparaat waarde heeft kan ook de informatie die erop staat waarde hebben voor een ander • Gebruik encryptie om informatie op het apparaat te beschermen • Maak gebruik van mogelijkheden om een apparaat terug te vinden, de meeste hebben dit tegenwoordig

35. Laptops en opslagmedia • Geen gevoelige informatie plaatsen op laptop computers of draagbare opslagmedia zonder encryptie • Overweeg het verkrijgen van een kabelslot voor laptops • Behandel draagbare opslagmedia met dezelfde zorg als het equivalent papieren document - berg het op • Laptops worden bij voorkeur volledig versleuteld. • Draagbare opslagmedia moet goed worden geëtiketteerd en de gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden gemarkeerd • Laat de laptop niet in de auto achter en vervoer deze niet op de achterbank (in het zicht) • Laat de laptop niet in een onbeheerde auto liggen

36. E-mail • • • •

Gebruik niet ‘unsubscribe’ voor junk mail Zend geen gevoelige informatie met (Internet) e-mail, dit is niet veilig Gebruik geen gemeentelijke e-mailvoorzieningen voor privé e-mails Alle e-mail, ook privé e-mail, kan worden onderschept, wees u daarvan bewust en wees voorzichtig met wat u schrijft • Forward geen virus informatie of verdachte e-mails, gebruik de telefoon en bel de helpdesk • Wees ervan bewust dat e-mail makkelijk vervalst kan worden (Virus, Hoaxes, afzenders etc.) • Negeer kettingbrieven en wees u bewust van criminele toepassingen met e-mail

37. Web Browsing • • • • •

Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig Het is niet toegestaan om illegale content te bekijken Het is niet toegestaan om naar sites te gaan met adult-materiaal Vermijd controversiële locaties Vermijd overtollig gebruik van resources

38. Log on / log off • Controleert u wie de laatste gebruiker was op uw werkstation? • Aan het einde van de dag afmelden • Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op 5 minuten • Even weg bij de computer, gebruik ctrl-alt-delete, gevolgd door enter om het werkstation te vergrendelen

39. Password-beveiliging

Bij een vergeten wachtwoord of een geblokkeerd account, alleen volgens de juiste procedure handelen Er is geen beveiligingspatch beschikbaar voor ‘stommiteit’

40. Document opslag • Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groepsdirectories • Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up • Vermijd langdurige opslag van gegevens op cd-roms, USB tokens, geheugenkaartjes, et cetera

41. Social Engineering

42. Draag uw toegangspas! •

Draag uw toegangspas tijdens het werk

•

Begeleid mensen zonder toegangspas naar de receptie

•

Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen

•

Geef nooit iemand toegang door de deur open te houden zonder u af te vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de receptie

43. Wat kan er tegen Social Engineering ondernomen worden? Laat mensen zonder badge niet meelopen bij het naar binnengaan. Breng bezoekers naar de receptie

Bij bellen, bij twijfel vragen om een terugbelnummer dat geverifieerd kan worden

Vraag u af waarom een bepaald verzoek aan u wordt gedaan! Er zijn diverse onderzoeken geweest waarbij mensen hun wachtwoord gaven voor bijvoorbeeld een ballpoint!

Draag altijd uw toegangspas binnen de werkruimten

44. Bedrijfsinformatie

Dus… Bescherm gemeentelijke informatie alsof uw baan er vanaf hangt,

omdat… uw baan er ook vanaf hangt!

Vragen?