Verslag Learn & Share bijeenkomst Informatieveiligheid Rheden, donderdag 9 januari 2014
1 9 januari 2013 | Learn & Share bijeenkomst Informatieveiligheid Rheden
1
Inleiding
In samenwerking met de Vereniging van Nederlandse Gemeenten (VNG), VNG afdeling Gelderland, het Nederlands Genootschap van Burgemeesters (NGB) en de Wethoudersvereniging heeft de Taskforce BID op donderdag 9 januari jl. een Learn & Share bijeenkomst Informatieveiligheid georganiseerd. Deze keer speciaal voor burgemeesters en wethouders van de Gelderse gemeenten. De bijeenkomst vond plaats in het gemeentehuis van de gemeente Rheden. “Het is belangrijk om als gemeente blijvend aandacht voor informatieveiligheid te hebben”, sprak een van de deelnemende bestuurders.
2
Opening
Na een opening en welkom door Petra van Wingerden, burgemeester van Rheden, heeft Harro Spanninga, accountmanager gemeenten bij de Taskforce BID, de aftrap van deze middag verzorgd. In zijn inleiding lichtte Spanninga het programma van de middag toe. Een programma waarbij informatieveiligheid vanuit drie perspectieven word belicht:
Technisch perspectief Bestuurlijk perspectief Gemeentelijk perspectief
Spanninga startte zijn verhaal met een film waarin George van Heukelom, gedeputeerde van de afdeling Zeeland, een oproep deed aan de aanwezige bestuurders om informatieveiligheid integraal onderdeel te maken van het organisatiebeleid. Incidenten rond informatieveiligheid brengen immers politieke, maatschappelijke en financiële risico’s met zich mee. Iedereen die niet bij de bijeenkomst aanwezig kon zijn of de film graag nog een keer wil bekijken verwijzen wij graag de film op Youtube. Met een toelichtend verhaal op de activiteiten van de Taskforce BID onderstreepte Spanninga het belang van een beleid op het vlak van informatieveiligheid. Dagelijks zijn er nieuwsfeiten over incidenten op het informatieveiligheidsvlak. Zo was onlangs nog een gemeente in het nieuws omdat criminelen een poging deden tot fraude met DigiD’s. Ook liet Spanninga in zijn presentatie verschillende andere voorbeelden zien van incidenten zien. Zo kwam een jaar geleden een gemeentelijk zwembad in het nieuws, omdat via een lek op de website verschillende systemen op afstand bedienbaar bleken. En bij weer een andere gemeente hadden hackers de bediening van sluizen overgenomen, omdat het wachtwoordbeleid in deze gemeente niet op orde bleek. Het is dus van belang dat elke gemeente maatregelen treft om de informatieveiligheid te borgen in de organisatie. “Het is niet de vraag óf bestuurders last krijgen van incidenten rond informatieveiligheid, maar veel meer de vraag wánneer bestuurders hier last van krijgen”, aldus Spanninga.
2 9 januari 2013 | Learn & Share bijeenkomst Informatieveiligheid Rheden
3
Technisch perspectief: hackdemo
Na zijn verhaal gaf Spanninga het woord aan Werner Alsemgeest, professional hacker bij Deloitte. Alsemgeest liet de bestuurders in een hackdemo zien hoe kinderlijk eenvoudig het voor een hacker is om binnen tien seconden een mobiele telefoon te hacken. Door het simpel installeren van een app die nauwelijks te traceren is, kan de hacker op afstand alle gegevens inzien, zoals mail- en sms-berichten, Whatsapp-berichten, et cetera. Het is zelfs mogelijk om teksten in mailberichten te wijzigen en te versturen uit naam van de eigenaar van de mobiele telefoon. De hacker slaat toe op het moment dat de eigenaar de mobiele telefoon niet in het vizier heeft, bijvoorbeeld als de betreffende persoon van zijn plaats is. De demo die Alsemgeest liet zien was vooral van toepassing op mobiele telefoons die een besturingsprogramma van Android hebben. Er zijn veel verschillende hackmethoden die ook gericht zijn op bijvoorbeeld de iPhone. Bestuurders werden met deze hackdemo wakker geschud. “Voortaan houd ik mijn mobiel veilig bij me, waar ik ook ben”, reageerde één van de bestuurders. Een andere bestuurder vult hierop aan “zich pas veilig te voelen als de mobiele telefoons van alle medewerkers in zijn gemeente periodiek gecontroleerd worden.” De vraag werd gesteld in hoeverre de industrie (makers van de mobiele telefoons, sturingsprogramma’s) hier zelf actie op onderneemt. Alsemgeest geeft hierop aan dat de fabrikant Apple veel geld investeert om apparaten, zoals de iPhone, goed te beveiligen. Maar niet alle risico’s zijn met technische aanpassingen te ondervangen. Als eigenaar draag je ook de verantwoordelijkheid over je mobiele telefoon. Vergelijk het bijvoorbeeld met een inbraak van een woning. De woning kan nog zo goed beveiligd zijn tegen inbraak, maar een open raam biedt een inbreker voldoende kans om zijn slag te slaan. Op de vraag of het mogelijk is om te achterhalen of de mobiele telefoons van medewerkers uit de organisatie gehackt zijn, gaf Alsemgeest een bevestigend antwoord. Het is inderdaad mogelijk om periodiek de mobiele telefoons van medewerkers te controleren. Remco van Vliet, beleidsmedewerker bij VNG, verwees daarbij naar het instrument ‘Mobile Device Management’ van de Informatiebeveiligingsdienst voor gemeenten (IBD). Ook zijn er gratis virusscanners waarmee ‘dubieuze’ applicaties op smartphones zijn te achterhalen. Spanninga sluit het programmaonderdeel vervolgens af en vat samen dat het belangrijk is ervoor te zorgen dat de (mobiele) (netwerk)systemen veilig zijn en dat we bewust moeten zijn van de risico’s die er zijn, wanneer een smartphone gehackt wordt.
4
Bestuurlijk perspectief: inleiding Mark van Twist
Na de hackdemo was het woord aan Mark van Twist, hoogleraar Bestuurskunde aan de Erasmus Universiteit in Rotterdam. Hij begon zijn inleiding met de mededeling dat het thema informatieveiligheid een technocratische bijsmaak heeft; informatieveiligheid valt of staat met techniek en technici. Hij lardeerde zijn opmerking met verschillende voorbeelden van situaties die hij zelf heeft meegemaakt in de praktijk. Zo vertelde Van Twist dat een gemeente ooit een digitale stemmachine testte op veiligheid door de machine van twee hoog naar beneden te laten vallen. Volgens de gemeente zou het apparaat veilig zijn als de machine na deze val nog zou werken. Een ander voorbeeld betrof het Elektronisch Patiëntendossier (EPD). Met de invoering van het EPD bleken de medische gegevens van de leden van het Koninklijk huis zichtbaar voor niet bevoegden. Van Twist is van mening dat het belangrijk is dat bestuurders hun verantwoordelijkheid nemen als het gaat om informatieveiligheid, en daarbij goed hun leveranciers aansturen en er voor zorg dragen dat de gebruikte middelen ook voldoen aan de veiligheidseisen die daaraan zijn te stellen. Een bestuurder in de zaal reageert hierop. Hij vraagt zich af hoe je als gemeente en bestuurder grip op deze complexe materie krijgt en hoe hij zich vanuit de gemeente kan wapenen. Spanninga reageert hierop en vertelt dat het bijna onmogelijk is om technisch alles 3 9 januari 2013 | Learn & Share bijeenkomst Informatieveiligheid Rheden
honderd procent dicht te regelen. Daarom is het belangrijk om het thema informatieveiligheid op te pakken vanuit de risicobenadering. Naast bewustwording van de risico’s vraagt het om verankering van informatieveiligheid in de organisatie. Daarnaast is het belangrijk om als bestuurder ook zicht te krijgen in en zicht te houden op hoe informatieveilig de organisatie is. Hiertoe kunnen bestuurders stuurvragen stellen: Hoe is informatieveiligheid in de organisatie georganiseerd en waar liggen de verantwoordelijkheden? Zijn wij als gemeentelijke organisatie bekend met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)? Hoe bewust zijn de medewerkers in de organisatie van de mogelijke risico’s op het informatieveiligheidsvlak? Van Twist vult Spanninga aan en vertelt dat deze stuurvragen alleen niet voldoende zijn en licht de paradox van ‘het betonnen zwemvest’ toe. Hij waarschuwde de aanwezige bestuurders niet te veel in te zetten op weerbaarheid, omdat daarmee op wendbaarheid wordt verloren. Volgens Van Twist is het van belang om weerbaarheid en wendbaarheid als het gaat om informatieveiligheid niet alleen in te regelen, maar ook ernaar te handelen op het moment dat het er echt toe doet. Een integrale aanpak vanaf het hoogste niveau is daarbij wenselijk. De stuurvragen zoals eerder genoemd geven wel een eerste inzicht in de situatie. Een van de aanwezige bestuurders vult hierop aan dat daarbij ook aandacht moet zijn voor de balans tussen cultuur en structuur. Remco van Vliet, VNG, verwijst tot slot ook nog naar de operationele producten van de BIG, een initiatief van de IBD met ondersteuning van de Taskforce BID. Er zijn inmiddels verschillende producten van de operationele variant van de BIG ontwikkeld met behulp van gemeenten. Ze zijn te downloaden op de IBD-website (als PDF) en community (als werkdocument) en beschikbaar voor alle gemeenten. Voorbeelden zijn: ‘Cloud Computing’, ‘Patch Management ‘en ‘Voorbeeld Incident Management en Responsebeleid’. Een volledig overzicht van de producten is te vinden op de website van de IBD. Ook verwijst Van Vliet naar de DigiD-assessments. Alle DigiD gebruikende gemeenten zijn verplicht jaarlijks een ICT-beveiligingsassessment DigiD uit te voeren. Om zo de veiligheid van koppelingen met DigiD, hét digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak, te borgen. En zo het vertrouwen van burgers in het digitaal regelen van hun zaken bij gemeenten via DigiD te behouden. Vanuit de IBD zijn gemeenten in 2013 t.b.v. het eerste DigiD-assessment ondersteund vanuit een samen met gemeenten ontwikkelde ondersteuningsaanpak. Vanuit de aanwezigen kwam de opmerking dat een dergelijke aanpak ook financiële middelen vraagt en daar ontbreekt het bij veel gemeenten aan. Zowel Spanninga als Van Vliet geven hierop aan dat veel trajecten ook gezamenlijk met andere gemeenten opgepakt kunnen worden om tijd en middelen te besparen. In de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, die eind november bij de Bijzondere Algemene Ledenvergadering (BALV) van de VNG door gemeenten is aangenomen, is verder ook opgenomen dat het rijk, ketenpartners en de IBD gaan verkennen hoe leveranciers beter kunnen worden betrokken bij het borgen van informatieveiligheid.
5
Gemeentelijk perspectief: inleiding Jos van der Knaap
Na de pauze was het woord aan Jos van der Knaap, gemeentesecretaris van gemeente Wijchen. Naast zijn functie als gemeentesecretaris is Van der Knaap ook voorzitter van de Managementraad Gemeenten op het gebied van veiligheid. Naar aanleiding van alle verhalen en discussies die eerder deze middag plaatsvonden introduceerde Van der Knaap met een korte inleiding de stelling dat het probleem rond informatieveiligheid van vertrouwelijke gegevens niet nieuw is, maar de verpakking daarentegen wel. Waar de gegevens vroeger vooral op papier stonden, zijn gegevens straks in 2017 volledig digitaal 4 9 januari 2013 | Learn & Share bijeenkomst Informatieveiligheid Rheden
beschikbaar. Volgens Van der Knaap moeten bestuurders zich niet gek laten maken. Eindeloos investeren in de veiligheid van systemen leidt immers niet tot garanties. De kracht ligt volgens hem veel meer bij de awareness van de medewerkers in de organisatie. Spanninga beaamt dat diefstal van gegevens inderdaad niet nieuw is, maar voegt daar aan toe dat we wel in een ander tijdperk zijn beland; een tijdperk waarin digitale gegevens veel makkelijker te verspreiden en te dupliceren zijn. Na een korte discussie werd eveneens geconcludeerd dat met technische aanpassingen risico’s op informatieveiligheid deels te voorkomen zijn. De grootste bedreiging vormen echter de medewerkers in de organisatie. Verkeerd omgaan met inlognamen en wachtwoorden, onbedoeld verspreiden van gevoelige documenten via privémail of usb-sticks, printen van gevoelige documenten op onbeheerde printers. Het zijn allemaal voorbeelden uit de dagelijkse praktijk die duiden op het belang van voldoende bewustzijn bij het werken met gevoelige informatie. Op de vraag van een bestuurder die wilde weten of er gemeenten zijn die informatieveiligheid op de bestuurlijke agenda hebben staan, antwoordde Spanninga bevestigend. Veelal is de aanleiding een incident, zoals de gemeente waar afgelopen jaar de bedieningssystemen van de sluizen gehackt waren. Voorkomen is echter beter dan genezen en daarom is het raadzaam om preventieve maatregelen te nemen en aandacht voor informatieveiligheid in te bedden in de organisatie. Daarvoor is bestuurlijk draagkracht onontbeerlijk.
6
Resolutie Informatieveiligheid
Als laatste programmaonderdeel ging Spanninga kort in op de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Deze resolutie is met bijna 95% van de stemmen aangenomen tijdens de Bijzondere Algemene Ledenvergadering (BALV) van de VNG van november vorig jaar. In deze resolutie geven gemeenten aan dat zij verder werken aan informatieveiligheid. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), begin vorig jaar ontwikkeld door de Informatiebeveiligingsdienst voor gemeenten (IBD), vormt hierbij hét gemeentelijke normenkader. Gemeenten zijn als professionele overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Dit zullen en mogen burgers, bedrijven en ketenpartners van gemeenten verwachten. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat alle gemeenten en alle (keten)partners hun informatieveiligheid op orde hebben. In de resolutie verklaren gemeenten verder informatieveiligheid zowel bestuurlijk als ambtelijk te borgen en maken zij de invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners. In de resolutie staat ook beschreven wat gemeenten terugvragen van het Rijk. Zo geven gemeenten aan dat het aantal audits op gebied van informatieveiligheid moet worden teruggebracht en dat het rijk, ketenpartners en KING gaan verkennen hoe leveranciers beter kunnen worden betrokken bij het borgen van informatieveiligheid. Tot slot moeten gemeenten de tijd krijgen om een realistisch groeipad te doorlopen om informatieveiligheid verder te verbeteren. Op de vraag van Spanninga of deelnemers bekend zijn met de inhoud van de Resolutie antwoordden de deelnemers bevestigend. Ze zijn het er unaniem over eens dat continu bewustzijn in de organisaties voor de risico’s van informatieveiligheid noodzaak is en dat hier actie op genomen moet worden. Met deze conclusie rondde Spanninga het programma af en dankte hij iedereen voor zijn of haar komst en bijdrage. Spanninga kijkt terug op een geslaagde interactieve bijeenkomst met ruim aandacht voor de dilemma’s van digitalisering en informatieveiligheid. 5 9 januari 2013 | Learn & Share bijeenkomst Informatieveiligheid Rheden
