SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Onderzoek naar het informatiebeveiligingsniveau
in Limburgse gemeenten
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
Samenvatting Een gemeenschappelijke architectuur, de Nederlandse Overheid
Informatiebeveiligingsmaatregelen tegen social engineering
gegevensuitwisseling en beveiliging van de gemeenschappelijke
de beschrijving van informatiebeveiligingsmaatregelen. De baseline
De Nederlandse overheid streeft naar een federatieve overheid. Referentie
Architectuur
(NORA),
maakt
het
mogelijk
de
federatieve gegevens te standaardiseren.
Jack van der Goes heeft in het kader van zijn afstudeeronderzoek
voor de Masteropleiding ‘Business Process Management en IT’ van de Open Universiteit, faculteit Informatica, onderzoek gedaan
naar de wijze waarop Limburgse gemeenten de NORA gebruiken om zich te beschermen tegen aanvallen van social engineering.
Jack is partner bij Daadkracht, een bestuurskundig onderzoeks- en adviesbureau.
De NORA verwijst naar de Code voor Informatiebeveiliging voor bestaat uit:
• Rollen en verantwoordelijkheden; • Screening;
• Arbeidsvoorwaarden;
• Directieverantwoordelijkheid;
• Bewustzijn opleiding en training; • Disciplinaire maatregelen;
• Retourneren bedrijfsmiddelen; • Blokkering toegangsrechten.
Informatiebeveiligingsbeleid in Limburgse gemeenten
Het beheer van het informatiebeveiligingsbeleid in de Limburgse
Centrale vraag
gemeenten
De centrale vraag van het onderzoek luidt: ‘In hoeverre is de NORA toepasbaar bij de bescherming tegen social engineering en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte informatiebeveiligingsmaatregelen een
daadwerkelijke
bescherming
tegen
aanvallen
van
social
engineering?’
is
onvoldoende
geborgd
en
vastgesteld.
Er
is
vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte
audits.
In
veel
gevallen
ontbreekt
overkoepelend
beleid waarin maatregelen staan beschreven ter bescherming tegen
aanvallen
van
social
engineering.
De
mate
waarin
informatiebeveiligingsmaatregelen vanuit de NORA beschreven zijn
in het informatiebeveiligingsbeleid is gemiddeld 58%, waar 100% de norm is. De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid.
Daarnaast is ook het Information Technology Infrastructure Library
NORA
De Nederlandse Overheid Referentie Architectuur (NORA) is een
architectuur voor het inrichten van de informatiehuishouding van
de Nederlandse Overheid en bestaat uit bouwstenen en principes. Eén bouwsteen heeft betrekking op beveiliging en privacy, en wordt
ondersteund door de Code voor Informatiebeveiliging, het Voorschrift
Informatiebeveiliging Rijksoverheid (VIR) en het NORA-Dossier Informatiebeveiliging. Doel van de NORA is het verduidelijken van de informatie-uitwisseling tussen overheidsinstanties.
Social engineering
Social engineering gaat om het manipuleren van mensen om
onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen. De gebruikte methoden en technieken variëren van direct vragen en e-mailmisbruik tot phishing en shoulder surfing.
(ITIL) Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid.
Bescherming tegen social engineering in Limburg Limburgse
gemeenten
zijn
kwetsbaar
voor
aanvallen
van
social engineering. Desondanks geven de respondenten van slechts 4 gemeenten (14%) aan dat er zich gebeurtenissen hebben
voorgedaan
waaruit
is
gebleken
dat
de
gebruikte
informatiebeveiligingsmaatregelen onvoldoende zijn geweest om
bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben in enkele gemeenten geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties.
Conclusie
De NORA is, wanneer de baseline volledig wordt gebruikt, toepasbaar bij de bescherming tegen social engineering. Het informatiebeleid
in de Limburgse gemeenten is echter onvoldoende gebaseerd op
de NORA. De gebruikte informatiebeveiligingsmaatregelen in de Limburgse gemeenten beschermen onvoldoende tegen methoden en technieken van social engineering.
2
www.daadkracht.nl
SEPTEMBER 2013
Inhoudsopgave
1. Inleiding
4
1.2 Scope
4
1.1 Doel van het onderzoek 1.3 Vraagstelling
1.4 Hoofd- en deelvragen 1.5 Leeswijzer
5 5 5
2. Methode van onderzoek
6
2.2 Referentiemodel
6
2.1 Literatuurstudie 2.3 Interviews
2.4 Webenquête 2.5 Relevantie
2.6 Ethische kwesties 2.7 Respons 2.8 Validiteit
6 6 6 7 7 7 7
3. NORA
8
3.2 Doel van de NORA
9
3.1 Onderdelen binnen de NORA 3.3 Gebruikte bronnen
3.4 Verhouding GEMMA en NORA 3.5 Conclusie
4. Social engineering 4.1 Algemene definitie
4.2 Methoden en technieken 4.3 Conclusie
5. Informatiebeveiligingsmaatregelen tegen social engineering 5.1 Maatregelen in de NORA
5.2 Maatregelen in de Code voor Informatiebeveiliging 5.3 Conclusie
6. Informatiebeveiligingsbeleid in Limburgse gemeenten 6.1 Kennisniveau respondenten 6.2 Vastgesteld beleid
6.3 Beschreven maatregelen 6.4 Gebruikte theorieën 6.5 Conclusie
7. Bescherming tegen social engineering in Limburg 7.1 Bescherming volgens het referentiemodel 7.2 Aanvallen social engineering 7.3 Acties na aanvallen 7.4 Conclusie
8 Conclusies en aanbevelingen 8.1 NORA
8.2 Social engineering
8.3 Maatregelen tegen social engineering
8.4 Informatiebeveiligingsbeleid in Limburg
8.5 Bescherming tegen social engineering in Limburg 8.6 Antwoord op de centrale vraag 8.7 Aanbevelingen voor de overheid
4
8 9 9
10
11 11 11 12
13 13 13 13
14 14 15 16 18 18
19 19 20 20 20
21 21 21 21 22 22 22 22 3
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
1. Inleiding De
overheid
Eén
De gemeentelijke overheid verwerkt veel informatie voor het
overheidsinstellingen centraal staat. Alle overheidsvragen zijn
deze informatie is dan ook essentieel om de vertrouwelijkheid,
overheid
streeft
waarin
naar
een
federatieve
ketensamenwerking
tussen
overheid.
de
verschillende
dan te beantwoorden via de gemeente waar de burger woont of
waar een bedrijf activiteiten uitvoert. Met behulp van vastgestelde basisregistraties vindt er een uitwisseling plaats van gegevens tussen de overheidsinstellingen. Zo zijn bijvoorbeeld de gemeenten
houder van de basisregistraties Personen, Adressen en Gebouwen
en is de Kamer van Koophandel de houder van de basisregistratie Handelsregister.
De
uitwisseling
van
de
gegevens
uit
deze
verstrekken van producten en diensten. Het beveiligen van
integriteit en beschikbaarheid van gegevens voor de betreffende
informatiestromen te waarborgen. Informatiebeveiliging gaat verder dan het beveiligen van de technische hulpmiddelen. Dit onderzoek
richt zich op de niet-technische kant van de informatiebeveiliging, de zogenaamde social engineering.
Social engineering
basisregistraties vergt standaardisatie en coördinatie tussen de
Social engineering is een aanval op de informatiebeveiliging
immers autonoom en richten de informatiehuishouding en het
literatuur blijkt dat het gedrag van medewerkers een primaire rol
betrokken overheidsinstellingen. Deze overheidsinstellingen zijn
gericht op de mens en niet op de techniek. Uit wetenschappelijke
informatiemodel naar eigen inzicht in.
speelt bij de informatiebeveiliging en het voorkomen van aanvallen van social engineering.
NUP
In 2007 heeft het kabinet het advies gekregen om te starten
met een Nationaal Urgentieprogramma e-overheid (NUP) om de overheidsbrede ambitie rond de samenwerking van de verschillende overheidsinstellingen een betere basis te geven. Bij gelegenheid van het Bestuurlijk Overleg van Rijk, provincies, gemeenten en
waterschappen is op 1 december 2008 een verklaring opgesteld over de realisatie van dit NUP.
NORA en GEMMA De
samenwerking
vanuit
1.1 Doel van het onderzoek Voorliggend
onderzoek
brengt
in
kaart
of
de
aangereikte
informatiebeveiligingsmiddelen vanuit de NORA toepasbaar zijn om medewerkers van een gemeente te beschermen tegen aanvallen
van social engineering. Daarnaast toetst het onderzoek of het informatiebeveiligingsbeleid met behulp van de NORA is opgesteld
en of de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen aanvallen van social engineering.
het
NUP
tussen
de
verschillende
overheidsorganen vereist eenduidigheid en standaardisatie omtrent de uitwisseling van informatie (geïnterpreteerde gegevens) en
gegevens omdat de overheidsorganen dezelfde ‘taal’ moeten
spreken voor de gewenste uitwisseling. De Nederlandse Overheid Referentie Architectuur (NORA) zorgt voor deze eenduidigheid en standaardisatie. De NORA bevat een groot aantal bouwstenen
en inrichtingsprincipes die overheidsorganen kunnen toepassen bij
projecten en programma’s die gericht zijn op het ontwikkelen van een hoogwaardige, samenwerkende, dienstbare overheid. Voor de
verschillende overheidsorganisaties zijn er verschillende afgeleide architecturen ontworpen. Voor de gemeentelijke overheden is dit de GEMeentelijke Model Architectuur (GEMMA). De GEMMA
gebruikt de bouwstenen en principes van de NORA en past deze waar mogelijk toe binnen de gemeentelijke organisaties.
Informatiebeveiliging
Het beheer van de basisregistraties en de uitwisseling van de hierin opgeslagen gegevens tussen de verschillende overheidsorganen
zorgen voor de noodzaak tot een goede informatiebeveiliging. De NORA kent een bouwsteen met betrekking tot beveiliging
en privacy. Deze bouwsteen speelt een rol bij het ontwerpen en
Dit onderzoek levert een bijdrage aan de theorievorming over de informatiebeveiliging tegen social engineering door te onderzoeken
op welke wijze gemeenten de informatiebeveiliging hebben ingericht. Het onderzoek verduidelijkt of de handreiking van de overheid
toepasbaar is én of gemeenten deze daadwerkelijk gebruiken. Het onderzoek levert een referentiemodel social engineering op, dat
concreet inzicht geeft in de mate van beveiliging tegen aanvallen van social engineering.
1.2 Scope
Er zijn meer dan 400 gemeenten verdeeld over 12 provincies. Het is niet haalbaar om (binnen de beschikbare tijd) alle Nederlandse
gemeenten te onderzoeken. Er is voor gekozen om het onderzoek
te beperken tot gemeenten binnen de provincie Limburg. Dit betreft
een overzichtelijk aantal van 33 gemeenten van verschillende grootte binnen een aaneengesloten en eenduidig ingekaderd
geografisch gebied. Het onderzoek is reproduceerbaar en kan daarmee de basis vormen voor vergelijkbare onderzoeken in andere provincies met als doel zicht te krijgen op de wijze waarop gemeenten elders in het land de informatiebeveiliging hebben ingericht tegen aanvallen van social engineering.
invoeren van de informatiebeveiliging voor zowel de technische als de niet-technische kant.
4
www.daadkracht.nl
SEPTEMBER 2013
Er is vooralsnog geen reden om aan te nemen dat de resultaten
van voorliggend onderzoek afwijken van het landelijke beeld. Dit is echter niet onderzocht.
1.4 Hoofd- en deelvragen De
hoofd- en deelvragen:
Steeds meer gemeenten werken met elkaar samen, ook op ICT-
1. Wat is de Nederlandse Overheid Referentie Architectuur? a. Uit welke onderdelen bestaat de NORA?
gebied. Limburgse gemeenten zijn daar geen uitzondering op.
b. Wat is het doel van deze architectuur?
De gemeenten Weert, Venlo en Roermond werken bijvoorbeeld
c. Welke bronnen met betrekking tot de informatiebeveiliging
samen op het gebied van de technische infrastructuren. Het
gebruikt de NORA?
uitwisselen van informatie tussen de gemeenten heeft direct impact
d. Wat is de GEMeentelijke Model Architectuur (GEMMA) en
op een eventuele samenwerking vanwege de privacywetgeving. Een
gedegen
informatiebeveiligingsbeleid
en
doorgevoerde
informatiebeveiligingsmaatregelen zijn daarom van groot belang.
hoe verhouden de NORA en de GEMMA zich tot elkaar?
2. Wat zijn de hedendaagse aanvallen op het gebied van social engineering ?
Het is dan ook interessant om deze samenwerkende gemeenten
a. Wat wordt er verstaan onder social engineering?
te onderzoeken.
b. Welke methoden of technieken worden heden ten dage het
1.3 Vraagstelling
meest gebruikt bij social engineering?
3. Welke informatiebeveiligingsmaatregelen kent de NORA tegen
In dit onderzoek staat de volgende vraag centraal:
social engineering?
In hoeverre is de NORA toepasbaar bij de bescherming tegen social
4. Op welke wijze is het informatiebeveiligingsbeleid in de Limburgse
engineering en in hoeverre is het informatiebeveiligingsbeleid in de
tot
stand
gekomen
waarin
de
engineering?
informatiebeveiligingsmaatregelen een daadwerkelijke bescherming
a. Is het beheer van het informatiebeveiligingsbeleid, waaronder
tegen aanvallen van social engineering?
het doorvoeren van wijzigingen en het waarborgen van de opvolging van de beschreven richtlijnen, vastgesteld?
De centrale vraagstelling richt zich op drie onderdelen. Ten eerste
b. In welke mate zijn de informatiebeveiligingsmaatregelen vanuit
op de mate waarin de NORA voldoende maatregelen kent ten
de NORA beschreven in het informatiebeveiligingsbeleid ten
opzichte van de hedendaagse aanvallen van social engineering. Dit
aanzien van social engineering?
heeft te maken met de toepasbaarheid. Ten tweede richt de centrale
c. Welke andere theorieën hebben de Limburgse gemeenten
vraagstelling zich op de mate waarin de Limburgse gemeenten de
gebruikt voor het informatiebeveiligingsbeleid die niet afkomstig
informatiebeveiligingsmaatregelen van de NORA hebben gebruikt
zijn van de NORA ten aanzien van social engineering en wat
voor het opstellen van het informatiebeveiligingsbeleid en wanneer
dit niet zo is; uit welke andere theorie is geput. Tenslotte richt de centrale vraagstelling zich op de mate waarin de gebruikte in
gemeenten
maatregelen staan beschreven ter bescherming tegen social
Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte
informatiebeveiligingsmaatregelen
centrale vraagstelling is geconcretiseerd naar de volgende
Limburgse
gemeenten
daadwerkelijk beschermen tegen aanvallen van social engineering.
5.
is de reden geweest om hier de NORA niet te gebruiken?
Beschermen
de
gebruikte
informatiebeveiligingsmaatregelen
daadwerkelijk tegen de aanvallen van social engineering?
a. Hebben
er zich gebeurtenissen
voorgedaan
waaruit is
gebleken dat de gebruikte informatiebeveiligingsmaatregelen
niet voldoende zijn geweest om bescherming te bieden tegen social engineering?
b. Welke acties zijn hieruit voortgevloeid met betrekking tot het informatiebeveiligingsbeleid?
1.5 Leeswijzer Hoofdstuk
2
behandelt
de
methode
van
onderzoek.
De
daaropvolgende hoofdstukken geven antwoord op de verschillende hoofd- en deelvragen. Hoofdstuk 8 geeft als besluit de conclusies en aanbevelingen.
voor de overheid
5
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
2. Methode van onderzoek De methode van onderzoek is te verdelen in vier onderdelen. In dit
Veen, informatiearchitect en de heer B. Bokhorst, strategisch
het referentiemodel, de interviews en de webenquête. Daarna gaat
werkten op het moment van schrijven aan het NORA-Dossier
hoofdstuk komen achtereenvolgens aan de orde: de literatuurstudie, dit hoofdstuk kort in op de relevantie van het onderzoek, enkele ethische kwesties, de respons en de validiteit.
De literatuurstudie geeft allereerst inzicht in de huidige theorie met betrekking tot de architecturen voor de gemeentelijke overheid. Hier is met name gekeken naar de NORA en de GEMMA. Daarnaast
is de literatuur doorzocht op de huidige methoden en technieken social
engineering
en
de
informatiebeveiligingsmiddelen
die gemeenten kunnen inzetten tegen social engineering. De
literatuurstudie beantwoordt daarmee grotendeels de eerste drie hoofdvragen en levert de basis voor het ontwikkelen van het referentiemodel social engineering.
zoekmachines in de digitale bibliotheek van de Open Universiteit. is
gebruik
Nederlandse
gemaakt
Normalisatie
van
Instituut
informatiesites
(NEN)
gepensioneerd.
Beide
auteurs
Informatiebeveiliging in opdracht van het ministerie van Financiën,
dienst Belastingen. Tijdens de interviews is met name gesproken hiervan. De informatie uit deze interviewronde is gebruikt bij de beantwoording van de eerste en derde hoofdvraag.
2.3.2 Medewerkers van gemeenten
Tijdens de tweede interviewronde is op locatie gesproken met
vijf medewerkers uit verschillende Limburgse gemeenten die verantwoordelijk zijn voor de informatiebeveiliging:
• Marco van Dijk, Consulent ICT gemeente Weert • Edwin
Venray
Voor de literatuurstudie is gebruik gemaakt van verschillende Daarnaast
inmiddels
over de totstandkoming van de NORA en de toepasbaarheid
2.1 Literatuurstudie
van
beveiligingsadviseur,
en
van
het
verschillende
overheidswebsites. De gebruikte literatuur is van het jaar 2000 of recenter.
Griesheimer,
Adviseur
Automatisering
gemeente
• Frans Laumen, Teamleider ICT gemeente Roermond • Jan Symons, Consulent I&A gemeente Beesel
• Paul van Ooijen, Beleidsmedewerker I&A gemeente GulpenWittem
Tijdens de interviews heeft de onderzoeker samen met de
respondenten de vragen uit de concept-webenquête doorgenomen. Op basis van de interviews is de vragenlijst voor de webenquête
verder verfijnd en aangescherpt. De informatie uit deze tweede
2.2 Referentiemodel
Op basis van de uitkomsten van de literatuurstudie is een
referentiemodel social engineering opgesteld. In het referentiemodel
is voor elke methode of techniek van social engineering bepaald
welke maatregel mogelijk effectief is tegen deze vorm van social engineering. Aan de hand van het referentiemodel heeft de onderzoeker interviews en een webenquête gehouden. Door de
resultaten van het veldonderzoek te verwerken in het model, geeft het referentiemodel inzicht in de mate van bescherming tegen
aanvallen van social engineering. U vindt het referentiemodel terug in hoofdstuk 7.
interviewronde is gebruikt bij de beantwoording van de vierde en vijfde hoofdvraag.
2.4 Webenquête
Voor het beantwoorden van hoofdvraag vier en hoofdvraag vijf is gebruik gemaakt van een webenquête. Ter voorbereiding op de webenquête zijn op de website van de provincie Limburg
de contactgegevens van de Limburgse gemeenten geraadpleegd. Via telefonisch contact is voor elke gemeente achterhaald welke
medewerker verantwoordelijk is voor informatiebeveiliging. Tijdens
het telefoongesprek is duidelijk het doel van het onderzoek en
2.3 Interviews
de vrijwilligheid tot medewerking aan het onderzoek benadrukt.
komen. In beide rondes is gebruik gemaakt van semigestructureerde
ontvangen van de deelname aan het onderzoek. Medewerkers van
Er zijn twee interviewrondes uitgevoerd, die hierna aan de orde
interviews. Het voordeel van een semigestructureerd interview is dat de interviewer, afhankelijk van de context, een aantal vragen kan weglaten of juist kan verdiepen.
eerste
verkrijgen
interviewronde
in
de
NORA
het onderzoek. Elke deelnemer heeft een schriftelijke bevestiging
vier gemeenten hebben aangegeven niet deel te willen nemen aan
het onderzoek. Van de 29 gemeenten die aangeven deel te willen nemen aan het onderzoek, hebben de reeds eerder genoemde vijf gemeenten medewerking verleend aan de interviews.
2.3.1 Auteurs NORA De
Dit heeft geresulteerd in 29 toezeggingen tot medewerking aan
had
en
informatiebeveiligingsmaatregelen.
als
de
doel
meer
inzicht
zijn
telefonisch
daaruit
Hiervoor
te
voortvloeiende
semigestructureerde interviews gehouden met de twee auteurs van het NORA-Dossier Informatiebeveiliging: de heer J. van der
6
www.daadkracht.nl
SEPTEMBER 2013
Elke deelnemer heeft persoonlijk een elektronische introductiebrief
ontvangen met een link naar de webenquête. De elektronische vragenlijst is geactiveerd op maandag 13 augustus 2012. Voor het
verhogen van de respons zijn deelnemers die de vragenlijst nog
niet (volledig) hadden ingevuld, gebeld. Begin september 2012 week zijn de deelnemers die de vragenlijst nog niet (volledig) hadden ingevuld benaderd met het aanbod om de vragenlijst met ondersteuning in te vullen. De vragenlijst is op vrijdag
2.8 Validiteit
Bij validiteit gaat het om de juistheid van de onderzoeksgegevens.
Validiteit is onderverdeeld in drie onderdelen die hierna aan de orde komen.
2.8.1 Interne validiteit
Wordt er gemeten wat er gemeten moet worden? Hieraan
is voldaan door de juiste bronnen te koppelen aan de juiste
14 september 2012 gesloten.
onderzoeksstrategie. Verder is er een gedegen literatuuronderzoek
2.5 Relevantie
verricht
Dit onderzoek heeft wetenschappelijke relevantie door inzichtelijk te maken of bij de Limburgse gemeenten de NORA toepasbaar
is tegen methoden en technieken van social engineering en of de maatregelen vanuit de NORA daadwerkelijk zijn gebruikt.
zodat
informatiebeveiligingsmaatregelen
tegen
engineering aanvallen duidelijk in kaart zijn gebracht.
social
2.8.2 Instrumentele validiteit
Zijn de gegevens wel correct verzameld? Tijdens de interviews met medewerkers van vijf Limburgse gemeenten zijn de vragen uit de
Daarnaast verschaft dit onderzoek praktisch inzicht in de mate
waarin de gebruikte maatregelen door de Limburgse gemeenten daadwerkelijk bescherming bieden tegen aanvallen van social engineering.
webenquête besproken om na te gaan of de vraagstelling duidelijk was. Aan de hand van de resultaten van de interviews zijn de vragen uit de webenquête verder aangescherpt.
Het referentiemodel social engineering toont per aandachtsgebied
2.8.3 Externe validiteit
engineering en kan hierdoor de Limburgse gemeenten ondersteunen
onderzoek is verricht bij alle gemeenten van de provincie Limburg.
deze methoden en technieken van social engineering. Er is vanuit
toepassing op alle gemeenten van Nederland. De verwachting
legt tussen deze informatiebeveiligingsmaatregelen en methoden
Nederlandse gemeenten.
de bescherming tegen een methode of techniek voor social
Wat
zeggen
de
resultaten
over
vergelijkbare
situaties?
Het
bij de inrichting van de informatiebeveiligingsmaatregelen tegen
Het theoretische kader over de NORA dat is getoetst, is van
de literatuurstudie geen ander model aangetroffen dat een relatie
is dan ook dat de resultaten representatief zijn voor andere
en technieken van social engineering.
2.6 Ethische kwesties Aan
dit
onderzoek
zijn
ethische
kwesties
verbonden.
Deze
kwesties hebben te maken met onder andere privacy, anonimiteit
en objectiviteit. Gedurende het onderzoek is gebruik gemaakt van de checklist om te anticiperen op ethische problemen zoals
beschreven door Saunders (2008). Tevens is de gedragscode
gebruikt van de Vereniging van Universiteiten voor wat betreft het gebruiken van persoonsgegevens in het onderzoek. De ethische kwesties zijn besproken met de respondenten.
2.7 Respons
Van de 33 Limburgse gemeenten hebben uiteindelijk 28 gemeenten
daadwerkelijk meegedaan aan het onderzoek. Het onderzoek kent daarmee een respons van 85%.
voor de overheid
7
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
3. NORA Dit hoofdstuk geeft antwoord op de eerste hoofdvraag en gaat in
De NORA is gebaseerd op de e-business architectuur matrix
de eerste paragraaf komen de verschillende onderdelen van de
de informatiebeveiliging gestructureerd in te richten. De NORA is
op de Nederlandse Overheid Referentie Architectuur (NORA). In NORA aan de orde. Daarna gaan paragraaf 2 en 3 in op het
doel van de architectuur en de bronnen die de NORA gebruikt
met betrekking tot informatiebeveiliging. Vervolgens volgt een uiteenzetting van de GEMeentelijke Model Architectuur (GEMMA) en de relatie tussen deze architectuur en de NORA. Het hoofdstuk besluit met een conclusie.
van Van den Dool (2002) en bevat tevens een handreiking om
verdeeld in negen bouwstenen (vlakken) op drie niveaus te weten: bedrijfs-, informatie- en technische architectuur. Het beheeraspect geldt voor alle bouwstenen. Per niveau is hierbij gebruik gemaakt
van een zogenaamd ‘best practices’ model framework. Dit is een
framework waarin beheeraspecten staan beschreven die men, afhankelijk van de behoefte van de organisatie, kan gebruiken.
3.1 Onderdelen binnen de NORA
NORA Beheer
van uitgangspunten voor het inrichten van de informatiehuishouding
‘best practices’ model Business Information Services Library (BISL)
architectuur die in 2009 als norm voor de overheid door het kabinet
Application Services Library (ASL) is het ‘best practices’ model voor
het verbeteren van de dienstverlening naar burgers en bedrijven.
De
wanneer een overheidsorganisatie van de NORA afwijkt, moet dit
leveranciers over de ontwikkeling en implementatie van de gewenste
De Nederlandse Overheid Referentie Architectuur is een beschrijving
Met betrekking tot het beheer van de bedrijfsarchitectuur is het
van de Nederlandse overheid. De NORA is een referentie
gebruikt. BISL richt zich met name op de gebruikersorganisatie.
is vastgesteld. Het is een instrument voor overheidsorganen voor
de ICT-service organisatie en richt zich op de informatiearchitectuur.
De NORA valt onder het zogenaamde ‘comply or explain’ principe:
gemeenten kunnen gebruiken om te komen tot afspraken met de
voldoende onderbouwd zijn.
functionaliteiten. De ASL BISL Foundation is het kennisnetwerk
De NORA beschrijft principes van de kwaliteit van dienstverlening
(ITIL) een ‘best practices’ model dat zich richt op de technische
en kenmerken waar diensten en producten aan moeten voldoen.
Een voorbeeld is het gebruik van de gegevens uit de Gemeentelijke Basis Administratie (GBA). Deze dienen éénmalig te zijn opgeslagen
maar kunnen meervoudig gebruikt worden. Dit voorkomt dat de
gegevens vervuild raken en resulteert in een kwalitatief beter
product. De applicaties om de gegevens te verwerken dienen dan wel dit principe te ondersteunen.
overheidsorganisatie zelf de uitwerking van de kwaliteitsnormen en toepassingskaders kan ontwikkelen waardoor er geen echte
standaard ontstaat. Dit maakt het lastig om de architectuur voor de organisatie te ontwerpen volgens een vast stramien. Hierdoor
zijn er al diverse architecturen ontstaan die afgeleid zijn van de
NORA maar die per overheidsorgaan op onderdelen verschillen. De GEMeentelijk Model Architectuur (GEMMA) en de Model Architectuur RIJksdienst (MARIJ) zijn voorbeelden van afgeleide architecturen.
een
beheermodel
voor
softwareleveranciers
dat
architectuur waarin het technische beheer een kernfunctie is.
NORA beveiliging en privacy
In tegenstelling tot het beheeraspect is er bij de beveiliging en privacy vanuit de NORA geen onderverdeling gemaakt per niveau.
De volgende documenten zijn bij de beveiliging, privacy en dus ook de informatiebeveiliging vanuit de NORA betrokken: • Code voor Informatiebeveiliging;
• Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR); • NORA-Dossier informatiebeveiliging.
uitgebracht. Het grote verschil met de NORA 2.0 is dat versie 3.0 is is op dienstverlening. Het nadeel van beide versies is dat elke
is
van deze beide frameworks. Tenslotte is IT Infrastructure Library
De NORA is ontwikkeld in 2005. Inmiddels is de NORA 3.0 gericht op uitwisselbaarheid van informatie terwijl versie 2.0 gericht
ASL
Het NORA-Dossier Informatiebeveiliging beschrijft enkel tactische
normen voor de techniek. De auteurs van het NORA-Dossier Informatiebeveiliging verwijzen voor de onderdelen met betrekking
tot de organisatie, procedures en personeel naar de Code voor
Informatiebeveiliging. In deze Code voor Informatiebeveiliging is een
aantal normen opgenomen die gelden voor de informatiebeveiliging als geheel. Er is hier dus geen onderscheid gemaakt tussen de
zogenaamde
Het
Voorschrift
harde
(techniekgerichte-)
en
de
zachte
(organisatorische- en menselijke-) kant van de informatiebeveiliging. Informatiebeveiliging
Rijksoverheid
(VIR)
is
onderverdeeld in vijf artikelen. In deze artikelen staan slechts
kernbegrippen. Het is aan de beheerder van de informatie te bepalen welke maatregelen er getroffen moeten worden en op welke wijze dit in de organisatie wordt doorgevoerd.
8
www.daadkracht.nl
SEPTEMBER 2013
Voor dit onderzoek gebruiken we de NORA 3.0, dat een
De Code voor Informatiebeveiliging NEN-ISO/IEC 27002 verwijst
van het Zachmann framework (2009). De tien basisprincipes
Information Technology - Security Techniques – NEN-ISO/IEC
zogenaamde Enterprise Architectuur is waarbij de basis is afgeleid
van NORA 3.0 beschrijven de belangrijkste kenmerken van de
overheidsdienstverlening vanuit het perspectief van de afnemer. NORA 3.0 gebruikt voor de inzet van de bouwstenen de basisarchitectuur voor overheidsorganisaties. De bouwstenen zijn gebaseerd op: wetgeving, open standaarden, basisinfrastructuur e-overheid en Logius (de dienst Digitale Overheid van het Ministerie van BZK).
3.2 Doel van de NORA In
een
onderzoek
met
betrekking
tot
voor informatiebeveiligingsmaatregelen van netwerken naar de 27033-1 en 27033-3. De
Code
voor
Informatiebeveiliging
is
overigens
het
enige
document dat daadwerkelijk informatiebeveiligingsmaatregelen kent
tegen methoden en technieken van social engineering. Het VIR en het NORA-Dossier Informatiebeveiliging hebben met betrekking tot social engineering nauwelijks een toegevoegde waarde.
3.4 Verhouding GEMMA en NORA nationale
Enterprise
Architecturen is de NORA beschreven als een framework ter controle van projecten dat werkt als een parapluconstructie
om de samenhang weer te geven tussen projecten en die het
mogelijk maakt wijzigingen te beheren binnen de afspraken van de architectuur. In het NORA-katern Strategie staat beschreven
dat de NORA een raamwerk biedt dat het maken van afspraken
tussen overheidsorganen eenvoudiger maakt, gebaseerd op een
Een de
gemeentelijke
rijksoverheid.
overheid
Dit
heeft
is
met
een
andere
name
te
organisatie
maken
met
dan
de
verantwoordelijkheden. Daar waar een gemeentelijke overheid opereert binnen een lokale gemeenschap is de rijksoverheid
veelal landelijk georiënteerd. Dit heeft ertoe geleid dat voor de gemeentelijke overheid een van de NORA afgeleide architectuur
is ontwikkeld te weten de GEMeentelijke Model Architectuur (GEMMA).
bestaand overheidsbeleid. Gustav (2011) beschrijft dat het doel
Figuur 1 toont een gedeelte van de NORA en de GEMMA. In de
e-overheidsinfrastructuur die bestaat uit generieke bouwstenen met
met betrekking tot processen. De NORA beschrijft echter niet
van de Nederlandse overheid het streven is naar een nationale
een functionaliteit die vergelijkbaar is met een Software as a Service
(SAAS) en vrij te gebruiken is door alle overheidsinstanties. Jansen en Hjort-Madsen (2007) beschrijven als doel het bevorderen van
de communicatie en deregulering om lange termijn groei-effecten
te bereiken met betrekking tot economie, werkgelegenheid en inkomen.
3.3 Gebruikte bronnen
afbeelding is duidelijk te zien dat de NORA een bouwsteen heeft op welke wijze de processen in de organisatie kunnen worden
uitgewerkt. De gemeenten hebben gekozen voor een generiek proces voor de afhandeling van een zaak (product of dienst). Dit generieke proces is beschreven in de procesarchitectuur van de GEMMA.
Eén van de principes van de NORA is de éénmalige opslag van
gegevens en het meervoudige gebruik hiervan. Bij de GEMMA
Voor de NORA heeft een expertgroep Informatiebeveiliging in een
procesarchitectuur
is
een
bouwsteen
Informeren
en
Intake
hier met name om tactische informatiebeveiligingsmaatregelen voor
de basisregistraties Personen waar de persoonsgegevens van de
verwijst de NORA naar de Code voor Informatiebeveiliging NEN-ISO/
bovenstaande principe van de NORA omdat de persoonsgegevens
Rijksdienst (VIR).
overige gemeentelijke administraties meervoudig in gebruik zijn.
afzonderlijk katern de beveiligingsprincipes uitgewerkt. Het gaat
opgenomen. Bij de intake (registratie) wordt gebruik gemaakt van
techniek. Voor wat betreft de organisatie, procedures en personeel
burger zijn opgeslagen. Hierdoor voldoet de GEMMA aan het
IEC 27002 en 27005 en het Besluit Voorschrift Informatiebeveiliging
eenmalig zijn opgeslagen in de personenadministratie maar in de
Figuur 1 Samenhang NORA en GEMMA
voor de overheid
9
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
Daar waar de GEMMA geen invulling geeft aan een bouwsteen
Jaap van der Veen
van de NORA volgt zij de handreiking van de NORA. Dit geldt
onder meer voor het onderdeel beveiliging en privacy van de
Auteur van het NORA-dossier Informatiebeveiliging Social de
engineering
is
informatiebeveiliging.
een
Social
apart
NORA. De NORA gebruikt hiervoor onder andere de Code voor
aandachtsgebied
engineering
is
niet
binnen
expliciet
benoemd in de NORA, omdat dit kader de interoperabiliteit van
Informatiebeveiliging.
Omdat
de
GEMMA
geen
aparte
beveiligingsarchitectuur kent, zijn gemeenten voor dit onderdeel dus gehouden aan de Code voor Informatiebeveiliging.
overheidsorganisaties normeert en niet gaat over de interne
3.5 Conclusie
invloedssfeer van organisaties en hun kantooromgevingen.
informatiehuishouding van de Nederlandse Overheid gebaseerd op
Beveiliging wordt vaak technocratisch beschouwd, terwijl de factor
uit bouwstenen en principes. De bouwstenen hebben met name
Mijn analyse is dat traditionele informatiebeveiligingsmaatregelen
De NORA bevat een aparte bouwsteen met betrekking tot de
bescherming bieden tegen aanvallen van social engineering. De
ondersteund door de Code voor Informatiebeveiliging, het VIR en
informatiehuishouding. Social engineering werkt vooral binnen de
De NORA is een Enterprise Architectuur voor het inrichten van de ‘best practices’ en het comply or explain principe. De NORA bestaat
‘mens’ en zijn gedrag heel bepalend is voor de digitale veiligheid.
betrekking op de bedrijfs-, informatie- en technische architectuur.
in veel organisaties en dus ook bij de overheid, onvoldoende
beveiliging en privacy. De invulling van deze bouwsteen wordt
overheid had in het verleden ook weinig aandacht voor deze
het NORA-Dossier Informatiebeveiliging.
risico’s.
Doel van de NORA is het verduidelijken van de informatie-uitwisseling
Hoewel er sinds de DigiNotar crisis veel aandacht is geweest voor
tussen overheidsinstanties, gebaseerd op bestaand overheidsbeleid
zijn genomen, schiet vooral de specifieke kennis over social
transparant is en die werkt als een parapluconstructie bij meerdere
beveiliging en er inmiddels verschillende aanvullende maatregelen
met als gevolg een gedereguleerde dienstverlening die duidelijk en
engineering tekort. Dat geldt zowel voor medewerkers binnen als
projecten om de samenhang te beheren.
voorwaarde voor het vergroten van die kennis en het voorkomen
Met betrekking tot de informatiebeveiliging gebruikt de NORA
buiten de overheid. Het volgen van awareness trainingen is een van inbraak via social engineering.
als bronnen het NORA-Dossier Informatiebeveiliging, de Code
Er wordt binnen de overheid met prioriteit gewerkt aan middelen
Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR). Van
vanuit het Platform voor Informatiebeveiliging (PvIB) wordt dit
daadwerkelijk informatiebeveiligingsmaatregelen aan.
komende jaren is de ontwikkelde ‘awareness-tools’ zo gevarieerd in
De GEMMA is een architectuur voor Nederlandse gemeenten,
is om weerstand te bieden aan de snel toenemende bedreigingen,
op de NORA. De aanvullingen hebben echter geen betrekking op
voor awareness van zowel management als medewerkers. Ook
onderwerp onder de aandacht gebracht. De uitdaging voor de
voor Informatiebeveiliging NEN-ISO/IEC 27002 en 27005 en het
deze bronnen reikt alleen de Code voor Informatiebeveiliging
te zetten dat we de aandacht vast kunnen houden. Of dit genoeg
afgeleid van de NORA, met een nadere uitwerking en aanvulling
dat zal de toekomst uitwijzen.
de informatiebeveiliging. De GEMMA richt enkel de proces- en informatiearchitectuur nader in.
nl.linkedin.com/in/jaapvanderveen
10
www.daadkracht.nl
SEPTEMBER 2013
4. Social engineering Dit hoofdstuk geeft antwoord op de vraag wat de hedendaagse
aanvallen zijn op het gebied van social engineering. In de eerste
paragraaf vindt u een definitie van het begrip social engineering. Daarna
volgt
een
nadere
concretisering
naar
methoden
en
technieken van social engineering. Het hoofdstuk besluit met een conclusie, waarin het eerste deel van het raamwerk voor het referentiemodel wordt ingevuld.
4.1 Algemene definitie
Uit verschillende definities uit de literatuur wordt duidelijk dat het bij social engineering gaat om het gebruik van sociale vaardigheden gericht op het manipuleren van mensen met als doel ongeautoriseerde toegang te verkrijgen tot informatieobjecten of fysieke objecten waar informatieobjecten worden beheerd.
Bij het manipuleren gaat het vooral om het beïnvloeden van menselijke waarden en normen waarbij techniek ondersteunend
is. Zo hoeft een social engineer soms slechts een gesprek te voeren om toegang te krijgen tot gebouwen of informatie. Volgens
Thompson (2006) werkt het gegeven van social engineering omdat de meeste mensen veronderstellen dat anderen eerlijk
zijn. Hinson (2008) stelt dat door de menselijke factor in social engineering eenieder in staat is technieken van social engineering toe te passen. Tegelijkertijd kan elke medewerker doelwit zijn
van een aanval van social engineering. Mitnick (2003) is daarom van mening dat binnen een organisatie elke medewerker deel moet uitmaken van het beveiligingsteam. Het trainen en opleiden
van medewerkers om ze zo bewust te maken van de gevaren van social engineering is dan ook één van de belangrijkste
maatregelen tegen social engineering. Hinson en Nyamsuren
(2007) onderschrijven dit. Mitnick geeft hierbij aan dat training en opleiding cyclisch moet plaatsvinden, zodat medewerkers
doordrongen blijven van de gevaren van social engineering. Mann
(2008) is niet overtuigd van een bewustwordingstraining maar geeft aan dat het informatiesysteem zodanig dient te zijn ingericht dat
menselijke fouten niet meer mogelijk zijn, onder andere door het gebruik van intelligente formulieren. Verder geeft Mann aan dat je
eerst je medewerker goed moet kennen voordat je weet wat de zwakheid van de betreffende medewerker is zodat je een ‘op maat gemaakte’ beveiliging kunt toepassen.
4.2 Methoden en technieken
De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden:
• Denial of service: In deze situatie gebruikt de social engineer een DOS-aanval op een toegangsbadge of ander
identificerend device van de medewerker gebaseerd op
wireless communicatie. Op het moment dat de medewerker geen toegang meer verkrijgt tot het systeem manipuleert de social engineer de medewerker door het verlenen van hulp
met als doel een of meerdere methoden of technieken van social engineering in te zetten.
• Diefstal mobile devices: Met behulp van gestolen devices
verkrijgt de social engineer gegevens over het bedrijf en
medewerkers en kan met de verkregen informatie zijn slachtoffers manipuleren.
• Dumpster diving: Doorzoeken van met name papierbakken
om zodoende informatie te vergaren over de organisatie of de medewerkers.
• Direct vragen: Door direct gerichte vragen te stellen aan het
slachtoffer kan deze worden overrompeld en ziet deze geen direct gevaar in het verstrekken van de informatie.
• e-Mail misbruik: De social engineer gebruikt een e-mail om informatie te verkrijgen van het slachtoffer. Deze aanpak wordt vaak gecombineerd met andere methoden en technieken.
• Emotionele benadering: De social engineer gebruikt een
herkenbare emotionele gebeurtenis over zichzelf om bij het slachtoffer een emotionele reactie te verkrijgen en zodoende informatie te verkrijgen.
• Emotionele manipulatie: De social engineer gebruikt een herkenbare
emotionele
gebeurtenis
en
verplaatst
het
slachtoffer in deze situatie om zo informatie te verkrijgen.
• Imitatie: De social engineer gebruikt nagemaakte documenten om informatie te verkrijgen van het slachtoffer.
• Impersonificatie: Het aannemen van de identiteit van een
ander door de social engineer waardoor deze toegang krijgt tot het gebouw of informatiesysteem.
• Interpersoonlijke relatie: Opbouwen van een persoonlijke
relatie met het slachtoffer gedurende langere tijd om op het juiste moment bij het slachtoffer, een directe collega of bekende van het slachtoffer informatie te verkrijgen.
• Manipulatie dankbaarheid: Het slachtoffer behulpzaam zijn met activiteiten en vervolgens zelf om hulp vragen om de gewenste informatie te verkrijgen.
• Manipulatie
sympathie:
Door
gedrag,
houding
en
het
spiegelen van interesses manipuleert de social engineer het
slachtoffer waardoor deze eerder geneigd is informatie te verstrekken.
voor de overheid
11
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
• Misbruik van vertrouwen: Is een combinatie van de overige
methoden of technieken waarbij wederkerigheid een grote rol speelt.
• Nepmelding: Door het gebruik van een nepmelding of
Henk Evers
Burgemeester gemeente Nederweert
nepbericht zorgt de social engineer voor een situatie waarin
een afwijkende procedure wordt gevolgd waarna de social engineer probeert toegang te krijgen tot de gewenste informatie.
• Phishing: Het slachtoffer wordt verleid via e-mail of een ander
communicatiekanaal om in te loggen op dubieuze websites en vervolgens vertrouwelijke gegevens te verstrekken.
• Reverse social engineering: Hierbij veroorzaakt de social engineer een gebeurtenis of situatie waarbij het slachtoffer
hulp moet vragen aan de sociale engineer om de situatie of gebeurtenis ongedaan te maken.
• Shoulder surfing: Letterlijk over de schouders van een
slachtoffer meekijken op het moment dat deze bezig is met het informatiesysteem.
• Valse beloften: Een social engineer doet valse beloften aan
een slachtoffer over een beloning bij het verkrijgen van bedrijfsgegevens of persoonlijke gegevens.
• Verleiden: Is een combinatie van de overige methoden of technieken waarbij beloning een grote rol speelt.
Social engineering is enorm belangrijk en wordt in de toekomst
alleen maar belangrijker! Onderzoeken zoals deze en andere
recente ontwikkelingen zijn voor mij een ware eye-opener en zorgen dat social engineering op de agenda staat. En dat moet
ook. Techniek is hierbij een belangrijk onderdeel, maar we moeten er voor zorgen dat de menselijke kant niet onderbelicht blijft. De techniek holt in een flink tempo door en zorgt dat we onze
dienstverlening als overheid nagenoeg optimaal kunnen inrichten. Voor zowel grote als kleine gemeenten. In mijn ogen leunen we hierbij te veel op de techniek en focussen we te weinig op het
gedrag van de professionals die er mee werken. Want dat is waar het om gaat, we moeten scherp blijven en voortdurend bekend zijn met de laatste ontwikkelingen en de daaraan verbonden
verantwoordelijkheden voor onze organisatie. Het besef hiervan moet continu op ons netvlies staan.
nl.linkedin.com/pub/henk-evers/4b/169/136
• Verborgen agenda: Is een combinatie van de overige methoden of technieken waarbij vertrouwen een grote rol speelt.
4.3 Conclusie
In antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering, is in dit hoofdstuk bepaald
dat social engineering gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen,
of informatiesystemen. De volgende hedendaagse methoden en
technieken van social engineering zijn te onderscheiden: valse beloften, denial of service, diefstal mobile devices, dumpster
diving, direct vragen, e-mail misbruik, emotionele benadering, emotionele manipulatie, imitatie, impersonificatie, interpersoonlijke
relatie, manipulatie dankbaarheid, manipulatie sympathie, misbruik
van vertrouwen, nepmelding, phishing, reverse social engineering, shoulder surfing, verleiden, verborgen agenda. Deze methoden
en technieken van social engineering vormen de basis voor het referentiemodel, dat in hoofdstuk 7 terugkomt.
12
www.daadkracht.nl
SEPTEMBER 2013
5. Informatiebeveiligingsmaatregelen tegen social engineering Dit hoofdstuk gaat in op informatiebeveiligingsmaatregelen die
Van deze maatregelen is het volgen van opleidingen en trainingen
Na een beschrijving van informatiebeveiligingsmaatregelen in de
methoden en technieken van social engineering. De Code voor
bescherming kunnen bieden tegen aanvallen van social engineering.
NORA en de Code voor Informatiebeveiliging besluit het hoofdstuk met een conclusie, waarin het raamwerk voor het referentiemodel verder wordt ingevuld.
5.1 Maatregelen in de NORA
om het bewustzijn te vergroten het meest effectief tegen de
Informatiebeveiliging geeft echter slechts richtlijnen en beschrijft
niet direct wat de inhoud zou moeten zijn van een opleiding of training om het bewustzijn op het gebied van social engineering te vergroten.
Waar de technische kant van informatiebeveiliging in de NORA
Uit de interviews met medewerkers van vijf Limburgse gemeenten
aandacht aan de menselijke kant van informatiebeveiliging. Volgens
moment
een taboe binnen de overheid om normen te beschrijven op het
om die reden niet opgenomen in het referentiemodel.
het belang van bewustwording tegen social engineering niet. De
5.3 Conclusie
daarvoor naar verschillende bronnen, waaronder de Code voor
de beschrijving van informatiebeveiligingsmaatregelen. Op basis
uitgebreid aan de orde komt, besteedt de NORA relatief weinig
bleek dat verantwoordelijkheden automatisch eindigen op het
de auteurs van het NORA-Dossier Informatiebeveiliging heerst er
maatregel heeft daardoor geen onderscheidend vermogen en is
gebied van vertrouwen en wantrouwen. De overheid onderkent
NORA beschrijft geen informatiebeveiligingsmiddelen, maar verwijst Informatiebeveiliging.
5.2 Maatregelen in de Code voor Informatiebeveiliging
dat
een
medewerker
de
organisatie
verlaat.
Deze
De NORA verwijst naar de Code voor Informatiebeveiliging voor
van de Code voor Informatiebeveiliging nemen we de volgende informatiebeveiligingsmaatregelen tegen social engineering op in het referentiemodel social engineering, in hoofdstuk 7: • Rollen en verantwoordelijkheden;
Met betrekking tot de menselijke maat biedt hoofdstuk 8 van
• Screening;
Beveiliging van personeel.
• Directieverantwoordelijkheid;
• Arbeidsvoorwaarden;
de Code voor Informatiebeveiliging een apart onderdeel voor de
• Bewustzijn opleiding en training; • Disciplinaire maatregelen;
• Retourneren bedrijfsmiddelen; • Blokkering toegangsrechten.
De Code voor Informatiebeveiliging beschrijft daarin de volgende informatiebeveiligingsmaatregelen tegen social engineering. Voorafgaand aan het dienstverband:
• Vastleggen rollen en verantwoordelijkheden • Screening
• Arbeidsvoorwaarden Tijdens het dienstverband:
De beste verdediging tegen methoden en technieken van social engineering is bewustwording. De NORA verwijst daarvoor naar de
Code
voor
Informatiebeveiliging
waarin
maatregelen
met
betrekking tot opleiding en training zijn beschreven. De Code voor Informatiebeveiliging geeft echter slechts een richtlijn en beschrijft
niet wat de inhoud zou moeten zijn van een dergelijke opleiding of training.
• Directieverantwoordelijkheid
• Bewustzijn, opleiding en training • Disciplinaire maatregelen
Bij beëindiging of wijziging van het dienstverband: • Beëindiging van verantwoordelijkheden • Retournering van bedrijfsmiddelen • Blokkering van toegangsrechten
voor de overheid
13
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
6. Informatiebeveiligingsbeleid in Limburgse gemeenten Dit hoofdstuk geeft antwoord op de vraag op welke wijze het
De NORA gebruikt voor de bouwsteen beveiliging en privacy drie
is gekomen en wat daarin is vastgelegd. Voordat dit hoofdstuk
belangrijk omdat hier richtlijnen en maatregelen in staan voor het
informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand ingaat op het informatiebeveiligingsbeleid, komt de kennis van de respondenten over het onderwerp informatiebeveiliging en
social engineering in het bijzonder aan de orde. Daarna komt
documenten. Kennis van de inhoud van deze drie documenten is inrichten en beheren van de informatiebeveiliging:
• 10 respondenten (36%) geven aan de inhoud van de Code voor Informatiebeveiliging (1e document) te kennen;
het vastgestelde informatiebeveiligingsbeleid aan de orde en de
• 5 respondenten (18%) geven aan de inhoud van het VIR (2e
aanvallen van social engineering. Vervolgens behandelt paragraaf
• 2 respondenten (7%) geven aan de inhoud van het NORA-
maatregelen die daarin zijn beschreven ter bescherming tegen vier kort de gebruikte theorieën. Het hoofdstuk besluit met een
document) te kennen;
Dossier Informatiebeveiliging (3e document) te kennen.
conclusie, waarin het referentiemodel verder wordt aangevuld.
Geconcludeerd kan worden dat de respondenten de inhoud van de
6.1 Kennisniveau respondenten
een invulling is van de NORA bouwsteen beveiliging en privacy.
Voordat het informatiebeveiligingsbeleid in de Limburgse gemeenten
aan de orde komt, schetst deze paragraaf kort de kennis van de respondenten ten aanzien van: • De
NORA, de GEMMA en auditvormen;
• Inhoud van de NORA en de GEMMA; • Andere informatiebeveiligingstheorieen; • Social engineering.
6.1.1 Kennis van NORA, GEMMA en auditvormen
Om de informatiebeveiliging binnen de gemeentelijke overheid in te richten is de kennis over het bestaan van de NORA en de
GEMMA een vereiste. Je kunt immers geen architectuur gebruiken
NORA niet volledig kennen omdat de Code voor Informatiebeveiliging
6.1.3 Kennis van andere theorieën
Het kan voorkomen dat de respondent een andere theorie en methode toepast bij de inrichting van de informatiebeveiliging:
• 19 respondenten (87%) geven aan ITIL Security Management te kennen;
• 5 respondenten (18%) geven aan een andere theorie of methode te kennen.
De andere theorieën die door de respondenten zijn genoemd zijn: • Ondersteuning adviesbureau; • NIST normen;
• Eigen invulling.
als je niet weet dat deze bestaat. Het Kennis Instituut Nederlandse
6.1.4 Kennis van social engineering
medewerkers van gemeenten uit. Tevens voorziet de KING-website
te kennen. Om te toetsen of de respondenten werkelijk kennis
de kennis van de architecturen kan kennis van de auditvormen
kunnen benoemen welke begrippen te maken hebben met social
Gemeenten (KING) organiseert jaarlijks sessies en nodigt hiervoor
24 respondenten (86%) geven aan de term social engineering
de bezoeker van informatie over de NORA en de GEMMA. Naast
hebben van het begrip social engineering, is gevraagd of zij
bijdragen aan bewustwording ten aanzien van informatiebeveiliging.
engineering:
In de webenquête is gevraagd of de respondenten de NORA, de
• 25 respondenten (89%) noemen misleiding;
• 25 respondenten (89%) geven aan de NORA te kennen;
• 12 respondenten (43%) noemen mail spam;
• alle 28 respondenten (100%) geven aan de GBA-audit te
• 7 respondenten (25%) noemen (ten onrechte) het gebruik
• 17 respondenten (61%) geven aan de SuwiNet-audit te
Hieruit kan geconcludeerd worden dat de meeste respondenten
GEMMA, de GBA-audit en de SuwiNet-audit kennen:
• 27 respondenten (96%) geven aan de GEMMA te kennen; kennen; kennen.
• 18 respondenten (64%) noemen phishing;
• 11 respondenten (39%) noemen dumpster diving; van een virus.
weten wat social engineering is.
6.1.2 Inhoudelijke kennis
Om de bouwstenen en principes van de NORA en de GEMMA te
kunnen gebruiken, is inhoudelijke kennis nodig. 23 respondenten
(82%) geven aan de inhoud van de NORA en de GEMMA te kennen.
14
www.daadkracht.nl
SEPTEMBER 2013
6.2 Vastgesteld beleid
6.2.2 GBA-beveiligingsdocument
zes aandachtsgebieden moet beschrijven:
beveiligingsdocument heeft. Alle 28 respondenten (100%) geven
De NORA geeft aan dat het informatiebeveiligingsbeleid minimaal
Aan de respondenten is gevraagd of de gemeente een GBA-
• definitie, doelstelling en reikwijdte: dit onderdeel zorgt voor
aan dat er een GBA-beveiligingsdocument aanwezig is. De door
• verklaring van de directie: bekrachtiging van de inhoud van
merendeel aanwezig. 26 respondenten (93%) geven aan definitie,
eenduidigheid en werkingsomgeving van het document;
de NORA voorgeschreven aandachtsgebieden zijn daarin voor het
het beleidsdocument door de directie geeft aan dat een ieder
doelstelling en reikwijdte te hebben opgenomen in het document.
zich dient te houden aan het beleid;
• kader voor beheerdoelstellingen/-maatregelen: hierin zijn de procedures voor het beheer van het informatiebeveiligingsbeleid
opgenomen waaronder risicobeoordeling, risicobeheer en de maatregelen;
• beknopte
organisatie
uiteenzetting: van
belang
training en opleiding;
• verantwoordelijkheden
uitgangspunten
zijn
beheer:
waaronder algemene
die
voor
naar
andere
documentatie:
en bedraagt 82%.
6.2.3 SuwiNet-beveiligingsdocument
Aan de respondenten is gevraagd of de gemeente een SuwiNet-
beveiligingsdocument heeft. 15 respondenten (54%) geven aan dat
bewustwording,
er een SuwiNet-beveiligingsdocument aanwezig is. De respondenten
en
als reden daarvoor:
specifieke
verantwoordelijkheden waaronder incidentrapportage;
• verwijzing
de
De laagste score geldt voor de verwijzing naar andere documenten
uitbreiding
of
aanvulling van de werkingssfeer van het document. Tevens
het voorkomen dat dezelfde tekst in meerdere documenten voorkomt.
die aangeven dat er geen SuwiNet-beveiligingsdocument is, geven • ondergebracht bij regionale samenwerking; • nog niet ingepland;
• ondergebracht in ander document;
• wachten tot SuwiNet geheel gereed is. De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts
De volgende paragrafen geven per onderdeel aan of het in de
in een deel van de gemeenten opgenomen in het SuwiNet-
de NORA voorschrijft daarin zijn opgenomen.
verklaring van de directie scoren het hoogst met 11 respondenten
6.2.1 Overkoepelend document
in het document.
gemeenten aanwezig is en in hoeverre de aandachtsgebieden die
beveiligingsdocument. De definitie, doelstelling en reikwijdte en de (39%) die aangeven dat deze aandachtsgebieden zijn opgenomen
Aan de respondenten is gevraagd of de gemeente een overkoepelend
informatiebeveiligingsdocument heeft. 20 respondenten (71%) geven
6.2.4 DigiD beveiligingsdocument
aanwezig
beveiligingsdocument heeft. 6 respondenten (21%) geven aan dat
aan dat er een overkoepelend informatiebeveiligingsbeleidsdocument
Aan de respondenten is gevraagd of de gemeente een DigiD-
overkoepelend informatiebeveiligingsbeleidsdocument is, geven als
er een DigiD-beveiligingsdocument aanwezig is. De respondenten
is.
De
respondenten
die
aangeven
dat
er
geen
reden daarvoor:
die aangeven dat er geen DigiD-beveiligingsdocument is, geven als reden daarvoor:
• nog uit te werken (eind 2012 en 2013);
• staat in de planning;
• is vooral gericht op de ICT;
• opgenomen in algemeen beveiligingsplan;
• zijn we op dit moment mee bezig.
• nog niet actueel;
In meer dan de helft van de gevallen bevatten de overkoepelende
informatiebeveiligingsdocumenten de aandachtsgebieden die de NORA voorschrijft. De helft van de respondenten geeft aan dat
• laten we over aan de leverancier; • is in ontwikkeling.
verwijzingen
De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts in
zijn vaker beschreven. De definitie, doelstelling en reikwijdte is
doelstelling en reikwijdte en de verklaring van de directie scoren
het
overkoepelend
informatiebeveiligingsdocument
naar andere documentatie bevat. De andere aandachtsgebieden
een aantal DigiD-beveiligingsdocumenten opgenomen. De definitie,
daarbij het vaakst opgenomen in het informatiebeleidsplan (71%).
het hoogst met 3 respondenten (11%) die aangeven dat deze aandachtsgebieden zijn opgenomen in het document.
6.2.5 Directiebeoordeling
Een recente directiebeoordeling is belangrijk omdat de directie betrokken moet zijn bij het opstellen van het beleid en de genomen
besluiten moet kunnen controleren na het uitvoeren van deze besluiten. 12 respondenten (43%) geven aan dat een beoordeling is aangeboden. voor de overheid
15
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
De respondenten die aangeven dat ze geen beoordeling hebben voorgelegd aan de directie, geven als reden daarvoor:
De informatiebeveiligingsmaatregelen zijn onderverdeeld in acht
• ondergebracht in informatiebeveiligingsdocument;
onderdelen. Hierna volgt per onderdeel een uitleg van het doel
• niet afgesproken;
van de informatiebeveiligingsmaatregelen, en de mate waarin de
• via externe partij;
Limburgse gemeenten de maatregelen hebben beschreven in het
• geen security verantwoordelijke.
De Code voor Informatiebeveiliging geeft een negental onderdelen
aan die van belang zijn bij een directiebeoordeling. In minder dan de helft van de Limburgse gemeenten zijn deze onderdelen
opgenomen in een directiebeoordeling. Het onderdeel dat het
vaakst terugkomt in een directiebeoordeling is het rapporteren van beveiligingsincidenten (43%).
6.2.6 Verantwoordelijkheid beheer Wanneer
er
geen
beheerorganisatie
aanwezig
is,
mist
het
omgeving waarin de gemeente zich ontwikkelt. Aan de respondenten gevraagd
of
in
de
laatste
6.3.1 Rollen en verantwoordelijkheden
Het vastleggen van rollen en verantwoordelijkheden zorgt ervoor
dat het voor de medewerkers van de gemeente duidelijk is welke informatie zij mogen verstrekken en in welke gevallen dit
het beheer en gebruik van de bedrijfsmiddelen is vastgelegd.
en moet afgestemd zijn op de behoefte van de gemeente en de daarom
informatiebeveiligingsbeleid.
mag. Tevens zorgt dit ervoor dat de verantwoordelijkheid voor
informatiebeveiligingsbeleid zijn kracht. Het beleid is dynamisch
is
6.3 Beschreven maatregelen
directiebeoordelingen
verbeteringen zijn opgenomen ten aanzien van de beheerorganisatie en de daaraan verbonden verantwoordelijkheden. 7 respondenten
(25%) geven aan dat de laatste directiebeoordeling een verbetering
voor de aanpak van de organisatie van het beheer bevatte. 8 respondenten (29%) geven aan dat er verbeteringen ten aanzien
Het vastleggen van rollen en verantwoordelijkheden bestaat uit vier aspecten. Van elk aspect is gemeten in hoeveel Limburgse
gemeenten het aspect is opgenomen in de beschrijving van rollen en verantwoordelijkheden. Tabel 1 toont de aanwezigheid van de verschillende aspecten in de Limburgse gemeenten. Gemiddeld scoort de beschrijving van rollen en verantwoordelijkheden in de Limburgse gemeenten 78%. Aspect
Aanwezig
Bescherming van bedrijfsmiddelen
75%
van de beheerdoelstellingen en –maatregelen zijn opgenomen.
Het
of
86%
middelen en verantwoordelijkheden in de laatste directiebeoordeling
Het verantwoordelijk maken van een persoon voor
71%
Het rapporteren van gebeurtenissen met betrekking
79%
Gemiddeld
78%
Tenslotte geven 6 respondenten (22%) aan dat de toewijzing van is opgenomen.
6.2.7 Verantwoordelijke informatiebeveiliging
Aan de respondenten is gevraagd wie er in de gemeente formeel verantwoordelijk is voor de totstandkoming en beheer van het
informatiebeveiligingsbeleid. Twee respondenten wensen de vraag
uitvoeren
van
beveiligingsactiviteiten
beveiligingsprocessen
genomen handelingen
tot informatiebeveiligingsrisico’s
Tabel 1 Aanwezigheid vastgelegde rollen en verantwoordelijkheden in Limburgse gemeenten
niet te beantwoorden. De overige respondenten geven aan:
• Hoofd Informatievoorziening en Automatisering (6 gemeenten) • Informatiemanager / informatiearchitect (4 gemeenten) • Beveiligingsfunctionaris (3 gemeenten) • Adviseur informatiemanagement • Bestuur en directie • College van B&W
• Concern controller / medewerker control • Gemeentesecretaris
• Informatiebeveiligingscoördinator • Kernteam 3D
• Sectordirecteur Bedrijfsvoering • Security Board
3 respondenten geven aan dat de verantwoordelijkheid voor informatiebeveiliging in zijn of haar gemeente niet formeel is vastgelegd.
16
www.daadkracht.nl
SEPTEMBER 2013
6.3.2 Screening
6.3.4 Directieverantwoordelijkheid
in een nieuwe medewerker. Een controle van bijvoorbeeld de
uitvoeren en naleven van het beleid. Hiertoe is een aantal onderdelen
Screening zorgt ervoor dat er meer inzicht wordt verkregen kredietwaardigheid kan voorkomen dat een medewerker door geldgebrek geneigd is om informatie voor het juiste bedrag te verkopen aan een social engineer. 1 respondent (4%) heeft deze vraag niet beantwoord. Tabel 2 toont de aanwezigheid
van de verschillende onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten. Gemiddeld scoort de
aanwezigheid van controle op onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten 45%.
De directie is verantwoordelijk voor het beleid en het toezien op het als norm opgenomen in de Code voor Informatiebeveiliging
waardoor het informatiebeveiligingsbeleid meer betekenis krijgt. 2 respondenten (7%) hebben deze vraag niet beantwoord. Tabel 4 toont de aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten. Gemiddeld scoort de
aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten 49%.
Aspect
Aanwezig
Aspect
Aanwezig
Beschikbaarheid positieve referenties
54%
Gedegen voorlichting medewerkers van de gemeente
57%
Juistheid van Curriculum Vitae
43%
Accorderen duidelijke richtlijnen met betrekking tot de 57%
Opgegeven diploma’s
57%
Onafhankelijke identiteitscontrole
54%
Kredietwaardigheid
4%
Strafblad
61%
Gemiddeld
45%
Tabel 2 Aanwezigheid controle op onderdelen bij screening van nieuwe medewerker in Limburgse gemeenten
6.3.3 Arbeidsvoorwaarden
informatiebeveiliging Motivatie
en
uiting
van
motivatie
informatiebeveiligingsbeleid uit te dragen
om
het
Verwerven van veiligheidsbewustzijn Handelen
in
arbeidsvoorwaarden
overeenstemming
43% 39%
met
de 54%
Bijhouden van vaardigheden en kwalificaties
43%
Gemiddeld
49%
In de arbeidsvoorwaarden zijn de afspraken met de medewerker
Tabel 4 Aanwezigheid van directieverantwoordelijkheid op onderdelen in Limburgse gemeenten
waarop met informatie moet worden omgegaan en hoe te handelen
Dit onderdeel controleert of er ook daadwerkelijk opleidingen
vastgelegd omtrent de wettelijke verantwoordelijkheden, de wijze
6.3.5 Bewustzijn, opleiding en training
bij het constateren van een nalatigheid met betrekking tot de
of trainingen worden gevolgd met betrekking tot bewustzijn en
informatiebeveiliging. 1 respondent (4%) heeft deze vraag niet
beantwoord. Tabel 3 toont de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten. Gemiddeld
scoort de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten 44%. Aspect
Aanwezig
Vertrouwelijkheid- of geheimhoudingsverklaring
75%
Wettelijke verantwoordelijkheden waaronder
32%
Classificatie van informatie en het beheer van de
36%
auteursrecht bij het gebruik van informatie
bedrijfsmiddelen die door de medewerker worden
vanuit de literatuurstudie naar voren is gekomen als de meest
effectieve informatiebeveiligingsmaatregel. 1 respondent (4%) heeft deze vraag niet beantwoord. In 50% van de Limburgse gemeenten
worden medewerkers getraind of opgeleid om het bewustzijn ten
aanzien van informatiebeveiliging te vergroten. De gemeenten die hun medewerkers geen opleidingen of trainingen laten volgen, geven daarvoor als redenen: • moet
nog
worden
informatiebeveiligingsdocument;
opgenomen
in
het
• andere prioriteiten;
• staat in de planning;
• geen beleidsmedewerker informatievoorziening;
gebruikt
Verwerken van ontvangen informatie
50%
Verwerken van persoonlijke informatie
54%
Verantwoordelijkheid ten aanzien van flexibel werken
32%
Handelingen die moeten worden uitgevoerd bij het
29%
Gemiddeld
44%
nalaten van de informatiebeveiligingsmaatregelen
informatiebeveiliging. Dit is de informatiebeveiligingsmaatregel die
• eigen initiatief;
• onvoldoende bewustwording van noodzaak.
Tabel 3 Aanwezigheid van onderwerpen in arbeidsvoorwaarden in Limburgse gemeenten
voor de overheid
17
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
6.3.6 Disciplinaire maatregelen
Aan de respondenten die aangaven de NORA niet gebruikt te
In dit onderdeel is onderzocht of er bij overtreding van het informatiebeveiligingsbeleid
disciplinaire
maatregelen
zijn
beschreven of een procedure waaruit blijkt dat het afwijken van het informatiebeveiligingsbeleid niet wordt geaccepteerd. Dit onderdeel
heeft met name een repressieve functie. 2 respondenten (7%) hebben deze vraag niet beantwoord. In 36% van de Limburgse gemeenten is er een proces omtrent een disciplinaire maatregel bij een inbreuk op de informatiebeveiligingsmaatregelen door medewerkers.
6.3.7 Retourneren bedrijfsmiddelen
Wanneer een medewerker van de gemeente de organisatie verlaat,
is het van belang dat alle bedrijfsmiddelen worden geretourneerd. Denk hierbij aan een laptop, mobiele telefoon of een hardware dongle (usb-stick met code) om thuiswerken via internet mogelijk
te maken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband op retournering van bedrijfsmiddelen.
6.3.8 Blokkering toegangsrechten
Wanneer een medewerker van de gemeente de organisatie verlaat, is het van belang dat de medewerker geen toegang
meer krijgt tot de informatiesystemen van de gemeente. Hierdoor is het niet meer mogelijk dat de betreffende medewerker na het
verlaten van de organisatie gegevens kan verstrekken aan een social engineer of zelf de gegevens kan misbruiken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband de blokkering van toegangsrechten.
6.4 Gebruikte theorieën
hebben bij de totstandkoming van het informatiebeveiligingsbeleid is gevraagd naar de reden daarvoor. De respondenten noemden hiervoor de volgende redenen:
• ondersteuning door extern adviesbureau; • geen bewuste keuze;
• NORA was nog niet actueel;
• doorgegaan op bestaand document; • kader is te breed.
6.5 Conclusie
Het beheer van het informatiebeveiligingsbeleid in de Limburgse
gemeenten is onvoldoende geborgd en vastgesteld. Er is vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte
audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen staan beschreven ter bescherming tegen aanvallen van social engineering.
De mate waarin informatiebeveiligingsmaatregelen vanuit de NORA
beschreven zijn in het informatiebeveiligingsbeleid is gemiddeld 58%. Op onderdelen valt deze score hoger of lager uit. Het retourneren
van bedrijfsmiddelen en het blokkeren van toegangsrechten is
het vaakst beschreven in het informatiebeveiligingsbeleid (beide in 89% van de Limburgse gemeenten).
De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij
de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten,
57%). Andere theorieën, zoals Control OBjectives for Information and related Technology (COBIT) en Sherwood Applied Business Security Architecture (SABSA) zijn minder vaak gebruikt.
In de helft van alle Limburgse gemeenten is de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het
opzetten van het informatiebeveiligingsbeleid (16 respondenten, 57%). Verder hebben de Limburgse gemeenten gebruik gemaakt
van de volgende theorieën (1 respondent heeft deze vraag niet beantwoord):
• Control OBjectives for Information and related Technology (COBIT);
• Sherwood Applied Business Security Architecture (SABSA); • Een andere theorie of gedachte, zoals:
— met behulp van extern adviesbureau; — doorgegaan op bestaand document; — Code voor Informatiebeveiliging; — CRAMM;
— Gezond verstand;
— CISSP de 10 domeinen.
18
www.daadkracht.nl
SEPTEMBER 2013
informatiebeveiligingsmaatregelen
onvoldoende
zijn
geweest om bescherming te bieden tegen social engineering. Daarna komt kort aan de orde welke acties daaruit zijn voortgevloeid. Het hoofdstuk besluit met een conclusie.
Denial of service
7.1 Bescherming volgens het referentiemodel
Aan de hand van het referentiemodel is te bepalen in hoeverre het
informatiebeveiligingsbeleid
in
de
Limburgse
Aanvallen van social engineering
gemeenten
bescherming biedt tegen aanvallen van social engineering. De
Blokkering toegangsrechten
gebruikte
Retourneren bedrifsmiddelen
gebeurtenissen hebben voorgedaan waaruit is gebleken dat de
Disciplinaire maatregelen
komt aan de orde of er zich in de Limburgse gemeenten
Bewustzijn opleiding en training
uitwerking van het referentiemodel social engineering. Vervolgens
Directieverantwoordelijkheid
aanvallen van social engineering. Het hoofdstuk begint met een
Arbeidsvoorwaarden
Informatiebeveiligingsmaatregelen
informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen
Screening
Dit hoofdstuk geeft antwoord op de vraag of de gebruikte
Rollen en verantwoordelijkheden
7. Bescherming tegen social engineering in Limburg
78% 45% 44% 49% 50% 36% 89% 89% •
•
64%
Diefstal mobile devices
•
•
•
•
45%
Dumpster diving
•
•
•
•
45%
Direct vragen
•
E-mail misbruik
•
• •
•
•
64% •
•
•
62%
Emotionele benadering
•
50%
van aanvallen van social engineering (zie hoofdstuk 4) en
Emotionele manipulatie
•
50%
Imitatie
•
•
•
59%
gemeenten kunnen treffen tegen aanvallen van social engineering
Impersonificatie
•
•
•
59%
Interpersoonlijke relatie
•
•
•
Manipulatie dankbaarheid
•
•
64%
Manipulatie sympathie
•
•
64%
Misbruik van vertrouwen
•
•
64%
Nepmelding
•
•
•
•
55%
Phishing
•
•
•
•
55%
Reverse social engineering
•
•
•
•
Shoulder surfing
•
•
•
•
•
•
48%
•
64%
•
55%
basis van het referentiemodel bestaat enerzijds uit het overzicht
anderzijds uit de verschillende informatiebeveiligingsmiddelen die (zie hoofdstuk 5). Op basis van de doelstelling per maatregel en de definitie van de methode of techniek van social engineering is een koppeling gemaakt tussen aanvallen van social engineering
en maatregelen die daartegen kunnen beschermen. De bolletjes in
het referentiemodel (zie Tabel 5) geven deze bescherming weer.
In het vorige hoofdstuk is voor elke informatiebeveiligingsmaatregel bepaald in hoeveel gemeenten deze maatregel beschreven is in het informatiebeveiligingsbeleid. Deze percentages zijn bij elke maatregel in het referentiemodel vermeld. Op basis hiervan is per methode of techniek van social engineering te berekenen hoeveel bescherming deze maatregelen hiertegen bieden.
Voorbeeldberekening Tegen de diefstal van mobile devices kunnen gemeenten gebruikmaken van arbeidsvoorwaarden, directieverantwoordelijkheid, bewustzijn door training en opleiding en disciplinaire maatregelen. Deze vier maatregelen zijn in respectievelijk 44%, 49%, 50% en 36% van de Limburgse
•
•
Valse beloften
•
Verleiden
•
Verborgen agenda
•
•
•
•
Gemiddelde bescherming Limburgse gemeenten tegen aanvallen social engineering Tabel
50%
•
•
65% 53%
57%
5: Referentiemodel social engineering (percentages geven de toepassing van het
referentiemodel weer op de Limburgse gemeenten)
gemeenten geborgd in het informatiebeveiligingsbeleid. Gemiddeld zijn de gemeenten daarmee voor 45% beschermd tegen aanvallen van social engineering door middel van diefstal van mobile devices ((44+49+50+36)/4 mogelijke aanvallen).
Het
totale
gemiddelde
van
de
bescherming
van
Limburgse
gemeenten tegen verschillende methoden en technieken van social engineering bedraagt op basis van het referentiemodel social engineering 57%. De informatiebeveiliging in Limburgse gemeenten
is daarmee onvoldoende geborgd. Dit betekent dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering.
voor de overheid
19
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
Alwin ter Voert
Gemeentesecretaris Horst aan de Maas Aanspreekpunt namens de gemeenten voor de Veiligheidsregio Limburg Noord De wens van een meer efficiënte, transparante dienstverlening voor burger en bedrijf enerzijds en de huidige bezuinigingsmaatregelen
anderzijds zorgen ervoor dat het management van een gemeente
anders moet gaan nadenken over de bedrijfsvoering. Digitalisering
helpt hierbij en zorgt ervoor dat de gemeente in regie blijft en eenvoudiger kan bepalen op welke wijze zij omgaat met haar ketenpartners.
Gegevens en informatiestromen zijn door digitalisering overal en altijd beschikbaar en zorgen ervoor dat de analoge manier van het
verzamelen en verspreiden van gegevens en informatie door middel van fysieke dossiers langzaam maar zeker verdwijnt. Technische
hulpmiddelen zoals firewalls en routers regelen als poortwachters de toegang tot het gemeentelijke netwerk en ondersteunen daarmee de
logische beveiliging. De inzet van hulpmiddelen voor digitalisering
is een managementverantwoordelijkheid. Maar zonder bewustzijn, voortdurende waakzaamheid en de benodigde opleidingen en trainingen resulteert het gebruik van technische hulpmiddelen in een schijnveiligheid.
Steeds vaker worden we geconfronteerd met nep-mailberichten met als doel ons te verleiden tot het verstrekken van confidentiële
informatie. Binnen de gemeente Horst aan de Maas is een aantal
beleidsuitgangspunten met betrekking tot de informatiebeveiliging vastgesteld. Informatiebeveiliging maakt onderdeel uit van het architectuurhuis dat we hebben gebouwd. Door opdracht te
geven aan derden om penetratietesten uit te voeren, blijven we scherp op eventuele informatiebeveiligingslekken. Met betrekking
7.2 Aanvallen social engineering
16 respondenten (57%) geven aan dat er zich geen gebeurtenissen
hebben voorgedaan met betrekking tot social engineering waaruit is
gebleken
dat
de
huidige
informatiebeveiligingsmiddelen
onvoldoende zijn. 4 respondenten (14%) geven aan dat er zich wel zo’n gebeurtenis heeft voorgedaan.
Naar de aard van de social engineering-aanvallen is in de
webenquête bewust niet gevraagd. Tijdens de interviews met medewerkers van vijf Limburgse gemeenten is gebleken dat
dit niet op prijs werd gesteld. Dit had vooral te maken met de perikelen die ten tijde van het onderzoek speelden bij de
gemeentelijke overheden zoals het certificatenprobleem bij het voormalige Diginotar.
7.3 Acties na aanvallen
3 respondenten (11%) geven aan dat er zich gebeurtenissen
hebben voorgedaan die hebben geleid tot aanpassing van het informatiebeveiligingsbeleid.
5
respondenten
(18%)
hebben
aangegeven dat gebeurtenissen hebben geleid tot andere acties.
Aan de respondenten is niet gevraagd welke aanpassingen er zijn gedaan of welke andere acties er zijn ondernomen.
7.4 Conclusie
Uit het referentiemodel social engineering blijkt dat de Limburgse
gemeenten kwetsbaar zijn voor aanvallen van social engineering.
Desondanks geven slechts 4 respondenten (14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat
de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben bij enkele respondenten
geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties.
tot de bewustwording en het voorkomen van zogenaamde social engineering aanvallen, starten we een separaat traject met behulp van de communicatie-afdeling.
De resultaten van dit onderzoek tonen het belang aan dat er meer aandacht moet worden besteed aan de menselijke kant
van informatiebeveiliging. Pas wanneer zowel de technische- als
de niet-technische kant van informatiebeveiliging is geborgd, kan digitalisering effectief en efficiënt worden ingezet om de gewenste dienstverleningsgraad te bereiken.
nl.linkedin.com/pub/alwin-ter-voert/1a/279/6ab Twitter.com/atervoert
20
www.daadkracht.nl
SEPTEMBER 2013
8. Conclusies en aanbevelingen Voorliggend onderzoek is ingegaan op het informatiebeveiligingsniveau
in Limburgse gemeenten tegen aanvallen van social engineering. Dit hoofdstuk geeft allereerst antwoord op de hoofd- en deelvragen, waarna de centrale vraag beantwoord wordt.
8.1 NORA
Het antwoord op de eerste onderzoeksvraag ‘Wat is de Nederlandse Overheid Referentie Architectuur?’ is dat de NORA een Enterprise
8.2 Social engineering
In antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering, is vastgesteld dat social engineering
gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen.
De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden: • valse beloften;
Architectuur is voor het inrichten van de informatiehuishouding
• denial of service;
van de Nederlandse Overheid gebaseerd op ‘best practices’ en
• diefstal mobile devices;
het comply or explain principe. De NORA bestaat uit bouwstenen
• dumpster diving;
en principes. De bouwstenen hebben met name betrekking op de
• direct vragen;
bedrijfs-, informatie- en technische architectuur. De NORA bevat
• e-mail misbruik;
een aparte bouwsteen met betrekking tot de beveiliging en privacy.
• emotionele benadering;
De invulling van deze bouwsteen wordt ondersteund door de
• emotionele manipulatie;
Code voor Informatiebeveiliging, het VIR en het NORA-Dossier
• imitatie, impersonificatie;
Informatiebeveiliging. Doel van de NORA is het verduidelijken van
• interpersoonlijke relatie;
de informatie-uitwisseling tussen overheidsinstanties, gebaseerd
• manipulatie dankbaarheid;
op bestaand overheidsbeleid met als gevolg een gedereguleerde
• manipulatie sympathie;
dienstverlening die duidelijk en transparant is en die werkt als een
• misbruik van vertrouwen;
parapluconstructie bij meerdere projecten om de samenhang te
• nepmelding;
beheren. Met betrekking tot de informatiebeveiliging gebruikt de
• phishing;
NORA als bronnen het NORA-Dossier Informatiebeveiliging, de
• reverse social engineering;
Code voor Informatiebeveiliging NEN-ISO/IEC 27002 en 27005
• shoulder surfing;
en het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR).
• verleiden;
Van deze bronnen reikt alleen de Code voor Informatiebeveiliging daadwerkelijk informatiebeveiligingsmaatregelen aan. De GEMMA is een architectuur voor Nederlandse gemeenten, afgeleid van
de NORA, met een nadere uitwerking en aanvulling op de
NORA. De aanvullingen hebben echter geen betrekking op de informatiebeveiliging. De GEMMA richt enkel de proces- en informatiearchitectuur nader in.
• verborgen agenda.
8.3 Maatregelen tegen social engineering
Het antwoord op de derde hoofdvraag ‘Welke informatiebeveiligings-
maatregelen kent de NORA tegen social engineering?’ is dat de
NORA
verwijst
naar
de
Code
voor
Informatiebeveiliging
voor de beschrijving van informatiebeveiligingsmaatregelen. Op basis van de Code voor Informatiebeveiliging zijn de volgende informatiebeveiligingsmaatregelen
tegen
social
opgenomen in het referentiemodel social engineering:
engineering
• Rollen en verantwoordelijkheden; • Screening;
• Arbeidsvoorwaarden;
• Directieverantwoordelijkheid;
• Bewustzijn opleiding en training; • Disciplinaire maatregelen;
• Retourneren bedrijfsmiddelen; • Blokkering toegangsrechten.
voor de overheid
21
SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN
8.4 Informatiebeveiligingsbeleid in Limburg Bij
de
vierde
onderzoeksvraag
‘Op
welke
wijze
is
de NORA zorgen voor een basis waarin duidelijke afspraken over verantwoordelijkheden, rechten en plichten zijn vastgelegd die het
informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand gekomen waarin de maatregelen staan beschreven ter bescherming
tegen social engineering?’ is het informatiebeveiligingsbeleid in de Limburgse gemeenten nader onderzocht. Het beheer van het
informatiebeveiligingsbeleid
in
de
Limburgse
gemeenten
is onvoldoende geborgd en vastgesteld. Er is vooral beleid op
onderdelen aanwezig, vaak als gevolg van verplichte audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen
staan beschreven ter bescherming tegen aanvallen van social engineering. De mate waarin informatiebeveiligingsmaatregelen
vanuit de NORA beschreven zijn in het informatiebeveiligingsbeleid is
of
gemiddeld lager
uit.
58%. Het
Op
onderdelen
retourneren
van
valt
deze
score
bedrijfsmiddelen
hoger
en
het
blokkeren van toegangsrechten is het vaakst beschreven in het informatiebeveiligingsbeleid (beide in 89% van de Limburgse
gemeenten). De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten,
57%). Andere theorieën, zoals Control OBjectives for Information and related Technology (COBIT) en Sherwood Applied Business Security Architecture (SABSA) zijn minder vaak gebruikt.
8.5 Bescherming tegen social engineering in Limburg De
laatste
hoofdvraag
betreft:
‘Beschermen
de
gebruikte
van social engineering?’. Uit het referentiemodel social engineering
blijkt dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering. Desondanks geven slechts 4 respondenten
(14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen
onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben enkele
respondenten
geleid
tot
aanpassing
informatiebeveiligingsbeleid en andere acties.
van mogelijke aanvallen van social engineering. Hierdoor ontstaat er een complete handreiking op het gebied van technische- en niet technische beveiliging.
Het informatiebeleid in de Limburgse gemeenten is onvoldoende gebaseerd op de NORA. Behalve de NORA hebben de Limburgse
gemeenten ITIL Security Management en andere theorieën gebruikt voor het opstellen van het informatiebeveiligingsbeleid. De gebruikte
informatiebeveiligingsmaatregelen bij de Limburgse gemeenten beschermen onvoldoende tegen methoden en technieken van social engineering.
Het onvoldoende richten van de maatregelen op de aspecten
van social engineering en het onvolledige beleid zorgen voor een ‘schijnbeveiliging’. De overheid heeft een aantal verplichte audits vastgesteld, maar die gaan voornamelijk in op de technische
beveiligingsaspecten. Dit onderzoek toont aan dat de technische
beveiliging omzeild kan worden door het gebruik van methoden en technieken van social engineering. Dit kan er uiteindelijk toe leiden
dat bij een mogelijke aanval de gemeenten wederom negatief in
de media worden genoemd analoog aan de gebeurtenissen die bekend werden in ‘Lektober’.
8.7 Aanbevelingen
informatiebeveiligingsmaatregelen daadwerkelijk tegen de aanvallen
bij
ervoor zorgen dat medewerkers in een organisatie zich bewust zijn
van
het
8.7.1 Beleid Het
informatiebeveiligingsbeleid
ten
aanzien
van
social
engineering in de Limburgse gemeenten vraagt om aanvulling. Door de volledige baseline uit de NORA op te nemen in het
informatiebeveiligingsbeleid, kunnen de Limburgse gemeenten de
bescherming tegen aanvallen van social engineering aanzienlijk verbeteren.
De NORA-documentatie ten aanzien van informatiebeveiliging en social engineering in het bijzonder vraagt om verbetering. Om de
leesbaarheid te bevorderen kunnen, in plaats van te verwijzen naar
de Code voor Informatiebeveiliging, onderdelen van deze code
8.6 Antwoord op de centrale vraag
opgenomen worden in de NORA. Wellicht kunnen ook andere
NORA toepasbaar bij de bescherming tegen social engineering
engineering.
De centrale vraag van dit onderzoek luidt: ‘In hoeverre is de en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte
informatiebeveiligingsmaatregelen een daadwerkelijke bescherming tegen aanvallen van social engineering?’ De NORA is in de basis toepasbaar bij de bescherming tegen social engineering, wanneer de maatregelen daadwerkelijk worden geprojecteerd op de aspecten
van social engineering. De informatiebeveiligingsmaatregelen van
22
theorieën (zoals de NIST en ITIL Security Mangement) de NORA
verrijken op het gebied van informatiebeveiliging en specifiek social
Bij het beleggen van verantwoordelijkheden ten aanzien van informatiebeveiliging lijken gemeenten in het duister te tasten. In verschillende onderzochte gemeenten zijn de verantwoordelijkheden
niet formeel belegd. In de andere gemeenten zien we dat de
verantwoordelijkheid is belegd bij zeer uiteenlopende functies. Een handreiking ten aanzien van informatiebeveiligingsfuncties
www.daadkracht.nl
SEPTEMBER 2013
kan hierin uitkomst bieden. Deze handreiking moet de rollen benoemen
en
standaard
functiebeschrijvingen
bevatten.
Er
ontstaat dan standaardisatie en transparantie ten aanzien van het beleggen van verantwoordelijkheden. Hierdoor kan er binnen samenwerkingsverbanden uitwisseling plaatsvinden.
Elke medewerker van een organisatie kan doelwit zijn van een
aanval van social engineering. Het bewust maken van medewerkers
door training en opleiding is daarom van groot belang. Uit het onderzoek is gebleken dat de helft van de Limburgse gemeenten haar
medewerkers
bewustmaakt
van
aanvallen
van
social
engineering. Wij adviseren de gemeenten die dit nog niet doen hun medewerkers (periodiek) te trainen in het herkennen van aanvallen
van social engineering. Daarmee maken de gemeenten een grote stap in het verbeteren van de bescherming tegen aanvallen van
social engineering. Door informatiebeveiliging als vast onderwerp
op de agenda voor functioneringsgesprekken te zetten, borgen gemeenten de bewustwording in de organisatie.
Informatiebeveiliging bij gemeenten is een ‘hot’ item Informatiebeveiliging bij gemeentelijke overheden is altijd een
‘hot’ item. De gemeenten zijn namelijk belast met publieke dienstverlening en hebben bij de uitvoering hiervan de gegevens
nodig van personen en bedrijven. Recente overheidsprogramma’s waaronder het i-Nup zijn in het leven geroepen om de kwaliteit van
de dienstverlening vanuit deze gemeenten te professionaliseren en
te verbeteren. Niet voor niets is het credo: ‘Eén digitale overheid: betere service, meer gemak.’ Deze dienstbaarheid kan ten koste gaan van de informatiebeveiliging. De vertrouwelijkheid, integriteit en beschikbaarheid van gegevens spelen een centrale rol bij de
Het is van belang te onderkennen dat de medewerkers van de
In dit onderzoek is het referentiemodel social engineering gebaseerd op de meest voorkomende methoden en technieken van social engineering in relatie tot de informatiebeveiligingsmaatregelen vanuit de NORA. Door de beleidsuitgangspunten te toetsen in de
praktijk door het uitvoeren van een penetratietest, is te bepalen in hoeverre de beleidsuitgangspunten compleet zijn en daadwerkelijk bescherming bieden tegen aanvallen van social engineering.
De verplichte audits vormen vaak slechts een momentopname
van het beveiligingsniveau binnen een gemeente. Door periodiek penetratietest
Directeur Daadkracht
balans tussen de gewenste dienstbaarheid en informatiebeveiliging.
8.7.2 Toetsing
een
Jack van der Goes
uit
te
voeren,
kunnen
gemeenten
het
informatiebeveiligingsniveau blijvend monitoren en wanneer dat nodig is, aanvullende maatregelen treffen.
8.7.3 Algemeen
Op dit moment is niet inzichtelijk hoe vaak gemeenten te maken krijgen met aanvallen van social engineering. Ook is niet
duidelijk welke methoden en technieken daarbij het meest worden gehanteerd. Wanneer gemeenten dit, bij voorkeur op landelijk
overheidsorganen de belangrijkste schakel vormen binnen de informatiebeveiliging.
Technische
beveiligingsmaatregelen
zijn
nimmer afdoende. Slechts in combinatie met de ‘menselijke maat’ is het niveau van informatiebeveiliging vast te stellen. Deze ‘menselijke maat’ is het terrein van de social engineer. Door het manipuleren van medewerkers verkrijgt de social engineer toegang
tot vertrouwelijke informatie met alle mogelijke gevolgen van dien. De meest effectieve bescherming tegen deze aanvallen van de social engineer is bewustwording. Vanuit het beleid moet een
aantal maatregelen er voor zorgen dat medewerkers zich te allen tijde bewust zijn van het feit dat zij werken met ‘gevoelige’
informatie en de wijze waarop deze informatie wordt verstrekt. Het
referentiemodel social engineering dat in dit onderzoek is gebruikt, geeft inzicht in het niveau van bewustwording en zorgt ervoor dat
de dienstbaarheid en de informatiebeveiliging bewuster in balans kunnen worden gebracht.
nl.linkedin.com/in/jackvandergoes twitter.com/jvdgoes
niveau, gaan monitoren, krijgen gemeenten een beeld van de meest voorkomende bedreigingen. Dit inzicht helpt gemeenten in het effectief verbeteren van het informatiebeveiligingsniveau.
Gemeenten kunnen dan namelijk het eerst inzetten op bescherming tegen veel voorkomende aanvallen van social engineering.
Voorliggend onderzoek is verricht binnen de Limburgse gemeenten. Om een completer beeld te verkrijgen van de informatiebeveiliging
tegen social engineering binnen de gemeentelijke overheid is het
wenselijk dit onderzoek ook te verrichten bij gemeenten in andere provincies.
voor de overheid
23
Social engineering heeft onze aandacht nodig Social engineering is overal aanwezig. Ik ben zelfs van mening dat sociale engineering nodig is om
te komen tot formele besluitvorming. Kern daarin is dat je elkaar probeert de beïnvloeden om te komen tot het gewenste resultaat. De interactie tussen mensen komt informeel het best tot stand.
Daarbij zijn verschillende vormen van communicatie mogelijk, die elk een eigen emotie kennen.
Wanneer je elkaar in levende lijve ontmoet, maak je heel direct contact. Gedragskenmerken zijn daarbij heel belangrijk. Dat mis je bijvoorbeeld bij online communicatie. Je kunt de ander niet in
de ogen kijken. Sterker nog, soms communiceer je niet eens met degene met wie je denkt dat
je contact hebt. De mogelijkheden om online anoniem te communiceren maakt dat digitale media meespeelt in de verhuftering van de samenleving.
Binnen de provincie Limburg zijn we ons bewust van het belang van informatiebeveiliging. We
besteden daarbij niet alleen aandacht aan de technische- maar ook aan de niet-technische kant
van de beveiliging. Zo werken we bijvoorbeeld met heldere procedures voor de toegang tot stukken, voeren we een antecedentenonderzoek uit en leggen medewerkers een ambtseed af. Ook
zijn er diverse bewustwordingsprogramma’s voor provinciale medewerkers. Limburg loopt voorop als het gaat om de integriteit van ambtenaren. Daarvoor gebruiken we een speciaal protocol. Dat
alles betekent overigens niet dat we nu achterover kunnen leunen. De waan van de dag, waarin onderwerpen als bezuinigingen en nieuws vanuit gemeenten een rol spelen, vragen natuurlijk ook altijd aandacht en zorgen ervoor dat de aandacht voor informatiebeveiliging kan verslappen. Het
Theo Bovens Gouverneur Limburg
blijft daarom een uitdaging het bewustzijn van een ieder hoog op de agenda te houden.
twitter.com/theobovens
De kracht van Daadkracht
September 2013
Daadkracht is een bestuurskundig onderzoeks- en adviesbureau
Colofon
overheden, maar doen ook uit eigen interesse onderzoek in
Redactie: ing. Jack van der Goes Msc., drs. Bart-Jan Flos
uit Nijmegen. Wij staan voor goed en gedegen onderzoek voor het publieke domein. Daadkracht werkt voor de rijksoverheid,
provincies, gemeenten en waterschappen. Daadkracht was jarenlang verantwoordelijk voor het trendonderzoek Overheid.nl Monitor en
het onderzoek 65% dienstverlening elektronisch in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Andere
onderzoeken
van
Daadkracht
zijn
het
Nationaal
Raadsledenonderzoek, het Nationaal Statenledenonderzoek, het onderzoek naar de beschikbaarheid en actualiteit van regelgeving en de kwaliteit van metadata in de CVDR, het onderzoek naar
de (on)mogelijkheden voor elektronisch bekendmaken en diverse onderzoeken naar het beheer van overheidswebsites.
De adviseurs van Daadkracht zijn gedreven en nieuwsgierig en
beschikken over uitgebreide ervaring met het ondersteunen van organisaties bij het verbeteren van de e-dienstverlening en zijn daarvoor
door
het
(KING) gecertificeerd.
Kwaliteitsinstituut
Nederlandse
Gemeenten
Onderzoek: ing. Jack van der Goes Msc.
drs. Ageeth de Jager – de Lange & Bas van Rens ISBN
978-90-820746-0-4 Adres
Postbus 6635
6503 GC Nijmegen Tel. 024 344 6288
Mail
[email protected] www.daadkracht.nl
@Daadkrachtmedia