SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013 ZICHT OP VEILIG JOSÉ LAZEROMS RVB UWV HENK WESSELING TASKFORCE BID NCTV

SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013

ZICHT OP VEILIG DIGIVERKEER DIGI VERKEER

HENK WESSELING TASKFORCE BID

DICK SCHOOF NCTV

KEES JAN DE VET BESTUUR VNG

JOSÉ LAZEROMS RVB UWV

editorial

digibeWust

W

ordt informatieveiligheid het nieuwe management buzz-woord? Gezien de urgentie die het thema de afgelopen jaren gekregen heeft, mag ik het hopen. Het Pobelka-Botnet, de DDoS-aanvallen, Lektober, het Dorifel-virus en DigiNotar hebben in elk geval ook de overheid flink doen opschrikken. Met de digitalisering van overheidsdiensten bleek een cyberincident al snel een risico voor de continuïteit van de overheidsdienstverlening. Informatiebeveiliging is de nieuwe bananenschil waar je als bestuurder heel gemakkelijk over uitglijdt als je niet oplet. Tijd dus om te zorgen dat bestuurders en overheidsmanagers meer kennis en besef wordt bijgebracht van informatieveiligheid, oordeelde de Onderzoeksraad voor Veiligheid na het DigiNotar-incident. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) kreeg van Binnenlandse Zaken de schone taak de missie te leiden. Belangrijk in het programma dat het afgelopen jaar vorm kreeg, is de boodschap dat informatiebeveiliging een onderwerp is voor de bestuurstafel – en, zoals bestuurlijk hoofd Henk Wesseling en manager Douwe Leguit van de Taskforce BID in deze special benadrukken, niet langer aan ‘de jongens van de ICT’ alleen kan worden overlaten. In dit magazine, dat in opdracht van de Taskforce BID werd gemaakt, laten we zien wat sturen op informatieveiligheid inhoudt en wat nodig is om het onderwerp goed verankerd te krijgen in de organisatie. Lees op pagina 6-7 hoe de verschillende overheidslagen de informatieveiligheid op orde proberen te krijgen door bijvoorbeeld afspraken te maken over minimumeisen die als basis moeten dienen voor een planning- en controlecyclus. Kijk wat samenwerking op kan leveren in een ICT-samenwerkingsverband zoals de Drechtsteden kennen (p. 26-27) en in de loonaangifteketen (p. 16-19), die tegenwoordig zelfs een eigen ketenmanager heeft. Ook de verhalen uit de praktijk beveel ik van harte aan, bijvoorbeeld van de gemeente Urk, die overstapte naar de cloud. Veel is op de rit gezet, maar de overheid is er nog niet. Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof beschrijft op pagina 9 hoe overheden op de rollercoaster van zich vermenigvuldigende cyber-risico’s de toenemende versnelling van ontwikkelingen maar nauwelijks kunnen bijbenen. Schoof bespeurt dat een aantal overheidsorganisaties zich inmiddels ontwikkeld heeft van ‘onbewust’ tot ‘bewust’. Het predikaat ‘bekwaam’ in informatieveiligheid kan hij nog niet uitdelen. Wat is nodig voor een volgende stap? De Delftse hoogleraar Michel van Eeten verwacht veel van het organiseren van aansprakelijkheid. ‘Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen,’ zegt hij. Of een afrekencultuur beter werkt dan de weg van zelfregulering die nu gekozen is, staat de komende tijd te bezien. Laten we eerst maar eens afwachten of informatieveiligheid voor voldoende buzz zorgt in de campagnes voor de gemeenteraadsverkiezingen.

Chris van de Wetering Hoofdredacteur Specials

deze special is een uitgave van sdu uitgevers redactieadres

drukkerij Senefelder Misset, Doetinchem

Postbus 20025, 2500 EA Den Haag

Verschijning Deze PM-Special verschijnt eenmalig als bijlage

Tel. 070 – 378 07 30

bij inGovernment, PM Public Mission, SC, VNG Magazine en het

www.pm.nl | [email protected]

Waterschap, in een oplage van 50.200 exemplaren

Hoofdredacteur Chris van de Wetering

Deze special is mede mogelijk gemaakt door de Taskforce Bestuur

Medewerkers aan deze special Pieter van den Brand, Rutger van den

en Informatieveiligheid Dienstverlening, welke in opdracht van het

Dikkenberg, Ana Karadarevic, Yvonne Kroese (illustraties), Ed Lute,

ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt en als

Arenda Oomen (fotografie), Richard Sandee, Fred Teunissen, Maurits

programma is ondergebracht bij ICTU.

van den Toorn en Rianne Waterval Vormgeving Jan Heijnen - www.janheijnen.com uitgever Roel Langelaar salesmanager Asha Narain

2

Niets uit deze uitgave mag worden overgenomen in welke vorm dan ook zonder schriftelijke toestemming van de uitgever. De uitgever kan op generlei wijze aansprakelijk worden gesteld voor eventueel geleden schade door foutieve vermelding in het blad. © 2013 Sdu Uitgevers

PM SPECIALoktober 2013

iNHoud

8 ratrace tegen bedreigingen De visie van Henk Wesseling, Dick Schoof, Michel van Eeten en

ben de diverse overheden al op de rit gekregen?

tKees Janckhisade Vet ministerie op de digitale weerbaarheid van de overheid t van financiën

st

kam koo er va pha n nde l

belastingdienst bel

asti

ngd

ien

intensief toezicht

bericht voor belasting dienst

aa

lak pelv kop ulier form

ont buffvange n adr eren e dist ssere n ribu ere n

s

ld ge

6 overheden op weg naar informatieveiligheid Hoe Nieuwegein DigiNotar-incident wist te managen; wat heb-

-


bericht voor uwv

aa

Corng ift darectie?e


ta


loket belastingsdienst

ta

uwv bericht voor uwv

bijzondere premie taken

loket uwv

Unit aa


koppelvlak

ta

ld

ge

loo gege

signaal nieuwe inschrijving of mutatie

handelsregister

werkgeversadministratie U bent inhoudingsplichtige, dus...

centrale ontvangersadministratie

heffingsadministratie voorcontrole

genereren beschikking aanslag of beschikking met evt. boete

aanmaken correctieverplichting

signaal

correctie verplichting

polisadministratie verzekerings bericht

herstelverzoek

werknemersgegevens

voorcontrole

claim

cv, vof of eenmansza

ak

bv, nv of and

ers

80

loonaangifte* inclusief data per werknemer

milj

ard

verplicht correctiebericht

correctie loondata

klant

werkgever/inhoudingsplichtige

correctie loondata

gevraagd of spontaan

werknemer/verzekerde per tijdvak (maand of vier weken)

14 'omslag in denken is nodig'

16 Facts & figures

DG Gert Jan Buitendijk vindt dat de digitalisering niet ten koste

Loonaangifteketen toont complexe opgave

mag gaan van de betrouwbaarheid van publieke dienstverlening

4

taskforce zet in op bestuurlijke awareness

en verder:

Douwe Leguit van de Taskforce BID over de missie

12

goede hacker komt makkelijk binnen Hans Goedhart bepleit eigen verantwoordelijkheid

13

Herbestem gelden voor de digitale snelweg! Sociale Verzekeringsbank bezorgd over financiering

18

Ketensamenwerking vergt soft skills Nieuwe managementtools voor loonaangifteketen

22

20 21 24 25 26 28 30 31 32

uit de praktijk van de gemeente utrecht Column Henri lenferink Column erik gerritsen uit de praktijk van de belastingdienst iCt-samenwerkingsverbanden doorgelicht Vijf security mythes ontraadseld interview Kingdirecteur tof thissen uit de praktijk van de gemeente urk up to date

gevraagd: ibewuste ambtenaar Maarten Hillenaar werkt aan het rijksdigibewustzijn

PM SPECIAL oktober 2013

3

O u p d at e

Taskforce zeT in op bewusTwording bij alle overheidslagen

InfOrmatIeVeIlIgheId VereIst OVerheIdsbrede aanpak

‘Door inciDenten als De recente DDos-aanvallen is De nooDzaak eviDent’ nisatie en haar diensten te waarborgen. Dat is niet iets om er even bij te doen, het is een wezenlijk onderdeel dat het primaire proces van een organisatie direct raakt. Om te bereiken dat dit overheidsbreed wordt opgepakt, werkt de Taskforce BID nauw samen met de koepels van waterschappen, provincies, gemeenten, rijksoverheid en zbo’s. Daarnaast is er een directe link met de partijen die een actieve rol hebben op dit thema zoals het Nationaal Cyber Security Centrum (NCSC), de Informatiebeveiligheidsdienst voor 4

‘Het is niet de vraag of, maar wanneer iemand gehackt gaat worden. Je moet weten wat je dan gaat doen,’ stelt Douwe leguit, manager van de taskforce Bestuur en informatieveiligheid Dienstverlening (BiD). ‘alle risico’s afvangen kan niet. Het moet wel duidelijk zijn dat je je verantwoordelijkheid hebt genomen. De burger kan geen andere overheid kiezen.’

gemeenten (IBD) en het Centrum Inforeerder werkzaam was, is toch gekozen matiebeveiliging en Privacybescherming voor een aparte taskforce. Hij legt uit (CIP). ‘De Taskforce BID is opgezet als een waarom: ‘In de eerste plaats staan wij interbestuurlijk programma met mensen bewust los van het reguliere werk om uit de diverse overheidslagen. We invenhet noodzakelijke momentum te kuntariseren samen met een interbestuurlijnen benutten. Vanuit het reguliere werk ke werkgroep waar alle belanghebbenden is het in de praktijk veel lastiger om een in zitten, wat er op het gebied van infordergelijk dossier vlot te trekken. In de matieveiligheid nog ontbreekt en wat er tweede plaats zijn er inderdaad veel partoegevoegd moet worden,’ Douwe Leguit vertelt Douwe Leguit, manager van de Taskforce BID. ‘Is bekend wat de belangen en risico’s zijn? Is altijd duidelijk wie waarvoor verantwoordelijk is? Hoe kunnen we de kwaliteit verbeteren zonder direct de regeldruk te verhogen? Het doel is uiteindelijk een sluitende en gedragen aanpak, waarbij we voorzien in de noodzakelijke onderzoeken, opleidingen en handreikingen. Omdat er sprake is van zelfregulering ligt de uitvoering vervolgens bij de organisaties zelf.’ Verankeren

Hoewel er al veel organisaties zijn die zich met informatieveiligheid bezighouden, zoals het NCSC waar Leguit

foto arenda Oomen

B

egin dit jaar heeft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de Taskforce BID opgezet om het onderwerp informatieveiligheid op de agenda te krijgen bij bestuurders en topmanagers van overheidsorganisaties. Informatieveiligheid gaat niet om technische beveiligingsmaatregelen alleen. De maatschappelijke en politieke risico's vragen om een bredere oriëntatie. Informatieveiligheid wil zeggen dat organisaties informatie op de juiste manier opslaan, verwerken, beheren en gebruiken, maar vooral ook kijken naar de noodzakelijke (organisatorische) randvoorwaarden om in brede zin de continuïteit van de orga-

Veld In kaart aIVd

Algemene Inlichtingen- en

enCs

veiligheidsdienst aCm

Autoriteit Consument en Markt

at

Agentschap Telecom

Cbp

College Bescherming Centrum Informatiebeveiliging

Team van het ministerie van

nCtV

Platform voor de Informatie Samenleving

tijen betrokken bij het onderwerp; die hebben elk een verschillende en eigenstandige verantwoordelijkheid. Omdat we voor alle overheidslagen werken, hebben we als Taskforce BID enige distantie en daarmee een neutralere rol. Dit biedt ons de positie om als intermediair op te kunnen treden en zo de noodzakelijke verbinding te realiseren tussen de verschillende organisaties.’ De Taskforce BID kan en zal geen zaken dwingend opleggen, het streven is om in nauwe samenwerking alle overheidsorganisaties tot ‘verplichtende zelfregulering’ te brengen. ‘Je kunt wel van alles opleggen, maar uit de affaire DigiNotar hebben we geleerd dat normen en audits alleen niet voldoende zijn om de veiligheid te waarborgen,’ verklaart Leguit de werkwijze. ‘Het gaat er juist om dat het bestuur, het management en de medewerkers van een organisatie hun verantwoordelijkheid nemen. Dat bereik je het beste door zelfregulering. Daar zetten wij dan ook vol op in en de gesprekken daarover lopen binnen alle overheidslagen. Dit proces kan ertoe leiden dat we aan het eind van het traject, in samenspraak met de koepelorganisaties, bepaalde zaken wél dwingend willen opleggen. Momenteel verkent minister Plasterk welke weten regelgeving mogelijk ondersteunend kan zijn en welke wetgeving ingezet zou moeten worden als het via de Taskforce BID niet lukt om informatieveiligheid te verankeren.’ Dat laatste is de essentie. Informatieveiligheid is namelijk meer dan alleen techniek, het onderwerp moet niet beperkt blijven tot de ‘jongens van de ICT-afdeling’. Het gaat veeleer om de structuur en de verantwoordelijkheidsverdeling binnen organisaties. ‘Wij proberen juist weg te sturen van de techniek en duidelijk te maken dat het bij informatieveiligheid ook gaat om de organisatorische vraagstukken,’ aldus Leguit. ‘Het management en de medewerkers moeten gaan beseffen dat het thema PM sPecial okTober 2013

Nationaal Coördinator Terrorismebestrijding en Veiligheid

nfI

Nederlands Forensisch Instituut

pvIb

Platform voor

Defensie eCp

Nationaal Cyber Security Centrum

Cyber Security Raad

defCert Computer Emergency Response

Informatiebeveiligingsdienst voor gemeenten

nCsC

en Privacybescherming Csr

u p d at e

Cyber Security Ibd

Persoonsgegevens CIp

European Network for

Informatiebeveiligers thtC

Team High Tech Crime van de Nationale Recherche

in de hele organisatie een plaats moet hebben. Bovendien werken overheidsorganisaties steeds meer in ketens en netwerken met elkaar samen. Dat betekent dat je er niet alleen voor moet zorgen dat je eigen tuintje op orde is, maar je je realiseert dat ook de tuin van de buurman van belang is, omdat wat daar gebeurt gevolgen voor jou kan hebben. Informatiesystemen overschrijden immers vaak organisatiegrenzen en organisaties zijn daarmee afhankelijk van elkaar.’ Meer veiligheid en meer waarborgen klinkt alsof er allerlei belemmeringen worden opgeworpen. ‘Het tegendeel is juist waar,’ stelt Leguit. ‘Een goede informatieveiligheid kan meer flexibiliteit en meer mogelijkheden bieden om de vruchten van de digitalisering te plukken. Als je je zaakjes goed hebt geregeld, heb je bijvoorbeeld meer mogelijkheden tot flexibel werken, wat ten goede komt aan de kwaliteit van de dienstverlening. En als je dit als organisatie nu structureel oppakt, voorkom je problemen bij de grote veranderingen waar de overheid voor staat, zoals de decentralisaties.’ De Taskforce BID heeft twee jaar de tijd om in samenwerking met de koepels van gemeenten, provincies, waterschappen, rijksoverheid en zbo’s te komen tot verplichtende zelfregulering per overheidslaag. Dat gebeurt door bestuurders te leren verantwoordelijkheid voor het onderwerp te nemen en door met handreikingen te komen: welke stuurvragen moet je stellen, hoe richt je je control in, hoe met de audits om te gaan, enzovoort. Om de werklast te beperken wordt gekeken of het concept van single information single audit (SISA) – het systeem dat de rijksoverheid hanteert voor de verantwoording van specifieke uitkeringen – hierbij ook mogelijk is. Dit zou de informatieverstrekking aanzienlijk beperken. De Taskforce BID richt zich op de verschillende overheidsorganisaties van de rijksoverheid, gemeenten, provincies en waterschappen en de zbo’s. Daarbij wordt

vooral ingezet op de olievlekwerking: het ondersteunen van de voortrekkers, zodat deze hun ervaringen kunnen delen en de overige organisaties mee kunnen nemen in hun kielzog. Leguit: ‘Door incidenten als de recente DDoS-aanvallen is de noodzaak evident en hebben we de wind mee. Daardoor kunnen we nú dit dossier oppakken, maar we moeten zorgen dat de aandacht ervoor blijft bestaan als de wind weer gaat liggen. Het is zaak dat het onderwerp een vaste plek krijgt aan de bestuurstafel en in de jaarlijkse cyclus van een organisatie. Daarmee wordt het business as usual en eigenlijk is dat onze voornaamste doelstelling.’ • mvdt

nIeuwe regels De Europese privacyverordening zal op korte termijn omvangrijke privacyregelgeving met zich mee brengen. Van belang is met name de meldplicht datalekken die hieruit voortkomt. Deze meldplicht komt overeen met de reeds in Nederland bij wet voorgestelde meldplicht. De Europese privacyverordening zal waarschijnlijk voor de verkiezingen van het Europees Parlement in mei 2014 worden aangenomen en treedt dan twee jaar later in werking. De Nederlandse meldplicht zal vermoedelijk al iets eerder van kracht zijn. Medio 2013 is er een Nederlands wetsvoorstel voor een meldplicht cyberincidenten gedaan. Volgens die wet moeten vitale sectoren melding maken van ICT-inbreuken aan het Nationaal Cyber Security Centrum. Ook de Europese Netwerk en Informatie Beveiliging (NIB) Richtlijn komt met meldplicht met betrekking tot ICT-incidenten. Deze meldplicht wijkt af van de Nederlandse. Over de NIB Richtlijn wordt momenteel nog onderhandeld. Volgens de aanhangige Nederlandse wetgeving moeten ICT-inbreuken waarbij ook persoonsgegevens zijn gecompromitteerd in de toekomst gemeld worden aan zowel het NCSC als het CBP. Wanneer er sprake is van een ICT-inbreuk bij een certificaatdienstverlener van gekwalificeerde certificaten (certificaten die rechtsgeldigheid aanduiden) moet die dienstverlener volgens aankomende wetgeving

melding

van de inbreuk maken aan de Autoriteit Consument en Markt, het NCSC en het CBP alls daarbij tevens persoonsgegevens gecompromitteerd worden.

5

G overheden op weG

Koepels paKKen het onderwerp informatieveiligheid op

InformatIeveIlIGheId Is ook een kwestIe van

GedraG

Hoe pakken de verschillende overheidslagen het onderwerp informatieveiligheid op? Vijf bestuurders en topambtenaren schetsen hoe hun koepels én hun eigen organisatie omgaan met informatieveiligheid.

‘I

edereen denkt bij informatieveiligheid dat het alleen maar over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat, ook bij de provincies. Denk eens aan op afstand bediende bruggen en verkeerslichten, aan sluizen en tunnels. Dat zit allemaal tjokvol ICT, als daar iets verkeerd mee gaat staat het verkeer in de halve provincie vast,’ stelt Gea van Craaikamp, algemeen directeur en provincieGea van Craaikamp Ric de Rooij secretaris van de provincie Noord-Holland. SZW. Hij is voorzitter van de Subcommissie InformatieDe provincies hebben met minister Plasterk afspraken gebeveiliging en Privacy (SIB) van de Interdepartementale maakt over maatregelen op het gebied van informatieveiligCommissie Chief Information Officers (ICCIO). Daarin zitheid. ‘Daar gaan we uiteraard aan voldoen, maar de provincies ten de elf CIO’s van de departementen, die onder leiding van zijn zelfstandig democratisch gelegitimeerde organisaties, de rijks-CIO Maarten Hillenaar de informatievoorziening en geen uitvoeringskantoor van het Rijk. Zelfregulering betekent het ICT-beleid van de rijksdienst coördineren en afstemmen. dan ook dat iedereen het in zijn eigen tempo en op zijn eigen ‘Twee ontwikkelingen kwamen eigenlijk samen, waardoor het manier doet. Dat wil niet zeggen dat we twaalf keer alles opRijk slagkracht kon ontwikkelen,’ vertelt De Rooij. ‘De awareness nieuw gaan bedenken, we overleggen in IPO-verband over één groeide, maar vanwege de bezuinigingen moesten we ook meer standaard en één rapportagemodel. samen gaan doen.’ Het Rijk kreeg gemeenschappelijke ICT-orVan Craaikamp waarschuwt dat aandacht voor de techniek ganisaties en stelde een rijksbrede i-strategie op. In 2012 kwam alleen onvoldoende is. ‘Voor een goede informatieveiligheid het ICCIO met de Baseline Informatiebeveiliging Rijksdienst zijn hard controls nodig, maar minstens zo belangrijk is het (BIR), een instrument waarmee gemeten kan worden of de orgedrag van de medewerkers, hoe gaan ze met de stukken om ganisatie in control is op het gebied van informatiebeveiliging. en met sociale media. Ze moeten zich ervan bewust zijn dat de Wat zou helpen om meters te maken, aldus De Rooij, is de provincie weliswaar een transparante organisatie is, maar dat komst van een overheids-CIO; ‘een functionaris die dedicated bepaalde informatie vertrouwelijk is en dat niet iedereen altijd binnen de overheid, inclusief de zbo’s, informatietechnologigoede bedoelingen heeft. Als je dit aspect niet op orde hebt, sche ontwikkelingen, waaronder informatieveiligheid, propakun je systemen beveiligen zoveel je wilt, maar dan is er desongeert. Een soort deltacommissaris die boven de partijen staat, danks geen sprake van informatieveiligheid.’ ook boven de rijks-CIO’. Een overheids-CIO zou beter kunnen Informatieveiligheid kwam bij het Rijk ruim voor inspelen op kwetsbaarheden. ‘Door de onderlinge verbondenDigiNotar al in beeld. Incidenten rond vermiste USB-sticks heid in ketens is een overheidsonderdeel nu zo sterk als de die Defensie in 2007 in verlegenheid brachten, voedden de zwakste schakel. Het UWV kan zijn zaken nog zo op orde hebsense of urgency. ‘We zagen ook dat de departementale webben, maar blijft afhankelijk van de beleidspartner die dat niet sites flink werden aangevallen, waardoor we ons bewust heeft.’ De overheids-CIO zou volgens De Rooij ‘veel geld kunwerden van onze kwetsbaarheid,’ zegt pSG Ric de Rooij van

6

PM SPECIAL oKtober 2013

overheden op weG

nen besparen’ als hij zich net als de rijks-CIO bezig zou kunnen houden met aanbodsturing, zodat overheden meer samen optrekken bij de aanschaf van IT-systemen. Het UWV heeft vorig jaar samen met andere leden van de Manifestgroep het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgezet. Het doel van dit kenniscentrum is het weerbaarheids-, herstel- en leervermogen van zelfstandige bestuursorganen te versterken door expertise te bundelen. ‘Waarom zou iedereen zelf het wiel gaan uitvinden?’ stelt algemeen directeur van de RDW Johan Hakkenberg, die ook voorzitter van de Manifestgroep is. ‘Informatieveiligheid begint met bepalen wie de eigenaar van een systeem is,’ stelt Gert Maneschijn, corporate security officer bij de RDW. Er zijn vier vaste stappen bij de invoering van een nieuw ICT-systeem. ‘We beginnen met te bepalen wie er de eigenaar van is: wie is aanspreekbaar, wie moet er wakker van liggen als het misgaat? De tweede stap is classificeren hoe

Johan Hakkenberg

Frans Backhuijs

bedrijfskritisch het systeem is, en dus hoe betrouwbaar het moet functioneren. Een derde stap is kijken of de baseline voor alle ICT-systemen voldoende is of dat er extra maatregelen nodig zijn. De vierde stap is een extra risicoanalyse voor kritische systemen: wat zijn de risico’s, hoe groot is de kans dat het misgaat, hoe erg is het als het misgaat?’ Hakkenberg vult aan: ‘Eigenlijk is er nog een stap voor je begint: inventariseren wat je al aan systemen in huis hebt, want dat levert soms verrassende resultaten op. En ook een opruimkalender is van belang, wat je niet meer gebruikt moet je ook echt verwijderen.’ Sinds begin dit jaar heeft de RDW het ISO 27001-certificaat voor informatiebeveiliging. Maneschijn is er trots op: ‘Er zijn nog maar een paar overheidsorganisaties die dit hebben. Het bevestigt dat we bewust met informatieveiligheid omgaan.’ Frans Backhuijs is voorzitter van de subcommissie Gemeentelijke Dienstverlening en Informatiebeleid van de VNG en burgemeester van Nieuwegein, een van de gemeenten die getroffen werd door de problemen van DigiNotar twee jaar geleden. ‘Nagenoeg al onze producten hadden DigiNotar-certificaten. Enkele diensten waren zelfs weken niet online beschikbaar,’ vertelt Backhuijs. De veiligheidscertificaten van bijna alle zestig online diensten moesten worden vervangen. ‘Gelukkig was digitale dienstverlening nog niet zo ingeburgerd; we hadden de balies nog.’ PM SPECIAL oKtober 2013

DigiNotar was een bruuske wake-up call. In Nieuwegein kwam de Nota informatiebeveiliging daarna prompt op de bestuursagenda en door DigiNotar en Lektober gingen gemeenten hun kennis bundelen. Er kwam een gemeentelijk kenniscentrum voor informatieveiligheid, de Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Nu de urgentie zo voelbaar was, werd er op de algemene ledenvergadering van de VNG ook vrij gemakkelijk ingestemd met de financiering van de IBD uit het Gemeentefonds,’ zegt Backhuijs. Nu kan bij incidenten gemakkelijk opgeschaald worden. Als een gemeente een incident meldt, worden andere gemeenten ingeseind; de IBD kan ook hulp bieden bij oplossing van het probleem. ‘Anticiperen op veiligheidsrisico’s is echt iets voor de waterschappen, daarom zijn ze ooit ontstaan,’ vertelt Hans Oosters, dijkgraaf van het Hoogheemraadschap Schieland en Krimpenerwaard en sinds kort bestuurslid van de Unie van Waterschappen met informatieveiligheid in zijn portefeuille.

Hans Oosters

‘De automatisering heeft bij de waterschappen al een enorme vlucht genomen, denk aan gemalen en afvalwaterzuiveringen die volledig op afstand worden bestuurd door middel van ICTtoepassingen.’ Vanwege dat belang heeft de Unie van Waterschappen onderzoek laten doen naar omgang van de Waterschappen met informatieveiligheid. ‘Het bleek dat dit overal een issue was, en we konden zien wat er al aan maatregelen was genomen. Op basis van de uitkomsten van dat onderzoek hebben we een programmaplan gemaakt waarmee we invulling geven aan de verplichtende zelfregulering.’ Oosters vindt die zelfregulering van groot belang: ‘Organisaties zijn alerter als ze het zelf moeten doen, dat is veel effectiever dan wetgeving vanuit het Rijk.’ Er is al een baseline die nu wordt geïmplementeerd en elk waterschap stelt op basis van het programmaplan een eigen plan op voor het aanpakken van informatieveiligheid. Het wordt onderdeel van de planning- en controlcyclus en er komen elk jaar audits. Dat gaat met een getrapt systeem dat steeds strenger wordt: over twee jaar komt er een peer review door collega-waterschappen en het jaar daarna volgt er een externe audit. Oosters benadrukt aan het eind van het gesprek nogmaals het belang van informatieveiligheid, maar voegt er een oproep aan toe: ‘Laat het geen belemmering worden om door te gaan met automatisering.’ • mvdt en Cvdw 7

Vier Visies op de toekomst Van onze informatieVeiligheid

Digitale weerbaarheiD vergt breDe Samenwerking De overheid digitaliseert en informatieketens worden complexer. Data en applicaties verhuizen in hoog tempo naar de cloud en verlaten dan soms hun oude, vertrouwde behuizingen. Mobile devices werden in korte tijd alomtegenwoordig en vormen nu evenzovele toegangspoorten tot achterliggende systemen en gevoelige data. Door al deze ontwikkelingen neemt onze digitale kwetsbaarheid toe. Hoe zorgt de overheid ervoor dat ze het hoge tempo van de ontwikkelingen bijhoudt en op het gebied van informatieveiligheid niet met de onderwerpen van gisteren, maar met die van vandaag en de toekomst bezig is? Wat vraagt dit van bestuurders, maar ook van burgers en bedrijfsleven? Anders gezegd: hoe zorgen we er gezamenlijk voor dat de bad guys niet aan het langste eind gaan trekken? Vier zwaargewichten uit de wereld van de cybersecurity buigen zich over deze en aanverwante vragen.

8


K

an hij een vergezicht schilderen, een beeld van wat er de komende vijf tot tien jaar allemaal op ons af gaat komen op het gebied van cybercrime en cyberspionage? Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid, waagt zich niet aan voorspellingen. Hij trekt met zijn linkerhand een lijn door de lucht, die ter hoogte van zijn gezicht stopt: ‘Hier komen we vandaan en hier zijn we nu. We kunnen die lijn lineair doortrekken en daar ons toekomstbeeld op baseren, maar als één ding zeker is, dan is het wel dat de werkelijkheid zich zo niet zal gedragen. Als je naar de afgelopen periode kijkt, is wel duidelijk dat de weerbaarheid van de overheid en van de vitale infrastructuur weliswaar is toegenomen, maar dat de activiteiten aan de illegale kant – en dan zowel de cyberspionage als de cybercriminaliteit – naar verhouding nog meer zijn toegenomen. De eindbalans is dus negatief. Het is geen hele grote min, maar toch echt wel een minnetje. Daarom hamer ik zo op awareness, op maatregelen en op het nemen van de eigen verantwoordelijkheid door betrokkenen. Schuif die niet op elkaar af. Het gaat om het welbegrepen eigenbelang van organisaties. Want als je nu nog niet begonnen bent maatregelen te treffen, dan ben je extra kwetsbaar in de toekomst. Dat komt omdat de ontwikkelingen zo razendsnel gaan en blijven versnellen. Daarom is de nationale cybersecurity-strategie geen kwestie van de verre toekomst, maar van het hier en nu. Om dezelfde reden is het ontoereikend om alleen te repareren wat er in het verleden fout is gegaan, want ook dan ga je voorbij aan de vereisten van dit moment en loop je het risico dat je morgen achter de feiten aanloopt. Het is nu juist tijd om samen te investeren in smart security. ‘Qua cyber-awareness zijn er aanzienlijke verschillen tussen de landelijke overheid en de vitale sectoren enerzijds, en de gemeenten anderzijds. De eersten hebben inmiddels wat betreft het besef van de risico’s de beweging van onbewust naar bewust wel gemaakt en bevinden zich nu in de overgangsfase van bewust naar bekwaam. Maar veel gemeenten zijn daar nog een eind van verwijderd. Er moet echt een tandje bij. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) en de pas opgerichte Informatiebeveiligingsdienst voor gemeenten (IBD) gaan hier een belangrijke rol vervullen. Vanuit het Nationale Cyber Security Centrum ondersteunen we de IBD door informatie te delen. Al deze activiteiten moeten ertoe leiden dat de awareness flink toeneemt. Dat is absoluut punt één. Bestuurders moeten doordrongen zijn van de risico’s die ze lopen, met name in de vertrouwensrelatie met de burgers. Vervolgens gaat het erom dat je jezelf op cruciale onderdelen effectief beschermt PM SPECIAL oktober 2013

Dick Schoof (nctv):

‘DE CybErSECurItyStrAtEgIE IS gEEn kWEStIE

Foto welmer keesmaat

beeld Yvonne kroese

viSie

VAn DE VErrE toEkoMSt, MAAr gErICHt oP HEt HIEr En nu’

door forse dammen op te werpen tegen digitale dreigingen. Dat begint met kleine routines, zoals het op tijd aanbrengen van veiligheidsupdates van besturingssoftware. Toch sta ik soms versteld van rapportages waaruit blijkt dat dit onvoldoende gebeurt. En verder moet je zorgen dat je aanvallen – als die plaatsvinden – beheersbaar houdt en zorgt voor een passende respons. Je moet niet denken dat je ermee weg komt als je dit soort maatregelen niet treft. De burger verlangt van je dat je dit doet. Bovendien zitten er social economic benefits aan cybersecurity, want de burger zal makkelijker en sneller met je communiceren als de omgeving waarin dat gebeurt veilig is. ‘Een belangrijk deel van de oplossingen moet door wederzijdse participatie van overheden, burgers en bedrijven tot stand komen. Je kunt deze participatie, het gebruikmaken van elkaars kennis en daarmee je weerbaarheid versterken door een responsible disclosure policy bekend te maken op je website. Hackers kunnen dan kwetsbaarheden aan je melden, zonder dat ze al te bang hoeven te zijn zich aan strafvervolging bloot te stellen omdat je aangeeft geen aangifte te doen. Keerzijde is wel dat de melder en jij er pas mee in de openbaarheid treden als de kwetsbaarheid is verholpen. Wij kregen al in de week nadat we deze policy op onze eigen website bekendmaakten een aantal waardevolle meldingen. Banken en veel andere grote ondernemingen hebben zo’n policy inmiddels al. De komende anderhalve maand volgt ook het Rijk. En ik zou graag alle overheidsorganisaties in navolging van een aantal koplopers willen oproepen om hetzelfde te doen.’

D

e Taskforce BID is nu ruim een half jaar actief. Samen met het hoofd van de taskforce, Henk Wesseling, blikken we terug, bekijken we de huidige stand van zaken en kijken we vooruit. ‘We stapten begin dit jaar in een sterk gedifferentieerd veld. Op enkele uitzonderingen na bleek dat de meeste organisaties nog weinig weten van sturing op informatieveiligheid. Maar het stadium 9

Foto arenda oomen

viSie

dat mensen niet meer weten dat er überhaupt spra- veiliging is van die informatie. Bij basisregistraties ke is van informatieonveiligheid, zijn we inmid- als de GBA speelt informatieveiligheid al veel langer dels wel gepasseerd. Alleen hoe ermee om te gaan, een centrale rol. Dat dit onderwerp nu maatschapmoet op veel plaatsen nog wel vanaf het begin af pijbreed speelt, bewijst eens te meer de ernst van de aan worden opgebouwd. Om daar te komen volgen zaak. Het is niet de vraag of de eisen rondom inforwe twee lijnen: verplichtende zelfregulering en het matieveiligheid belemmerend zijn voor sommige gericht blijven op informatieveiligheid. Organisa- (politieke) dossiers. Integendeel, als je als overheidsbestuurder je ties moeten informainformatieveiligheid tieveiligheid leren te niet voldoende op beschouwen als een ‘SoMMIgE gEVoLgEn VAn EEn orde hebt, dan zal dat vast onderdeel van de je belemmeren in de dagelijkse praktijk. DAtALEk zIjn nu AL dienstverlening. Hiertoe creëren we ‘De erfenis van gezamenlijk enkele EEn VErzEkErbAAr rISICo’ deze taskforce moet handige en goede kazijn dat informatieders en dient de rest per overheidslaag zelf ingevuld te worden. In alle veiligheid is geborgd in de organisatie van alle domeinen – van het Rijk tot de waterschappen en overheidspartijen. Naast inbedding van controle van provincies tot de gemeenten – lopen nu al initi- en coördinatie, plus voorzieningen zoals het opleidingsaanbod, willen we dat het overleg tussen atieven om dit verder invulling te geven. ‘Om te zorgen dat de huidige aandacht niet ver- de koepels en hun leersystemen de normaalste slapt, is een systeembenadering belangrijk. Je borgt zaak van de wereld is. Dat wil niet zeggen dat de geen continuïteit door heel hard iets te roepen of informatieveiligheid dan helemaal op orde is, door sec aan bewustzijn te werken. Daarom wordt er maar het vormt wel een gedegen basis. Deze beconcreet aan de verankering in processen gewerkt, wustwording én de concrete verankering moeten als ook aan het blijven leren van elkaar. Organisaties uiterlijk in het voorjaar van 2015 zichtbaar zijn bij van de toekomst zijn wellicht van nature gespitst de jaarrekening. Eigenlijk liever iets eerder en het op informatiebeveiliging, maar op dit moment is proces moet in alle organisaties dan al veel eerhet noodzakelijk dat juist de mensen die sturen en der op gang gekomen zijn. We streven ernaar als beslissen op hoofdlijnen Taskforce BID om eind 2014 door een vorm van begrijpen hoe informa- monitoring een duidelijke indruk te kunnen getieveiligheid technisch en ven over wat de voortgang is. Overigens formusociaal werkt. Dat komt leren sommige overheidslagen nu al ambities die omdat de techniek en hiermee overeenkomen of zelfs stelliger zijn. ‘Ik ondersteun de ambitie van Digitaal 2017 van het bewustzijn over ons gedrag nog niet zodanig minister Plasterk volledig. Gezien de huidige ontzijn doorontwikkeld dat wikkeling zou ik zeggen: het kan bijna niet anders. je daar blind op kan ver- In de tussentijd gaat de informatisering onverdrotrouwen. Je moet in staat ten voort. Ook zal het besef dat je de informatiezijn om het juiste onder- veiligheid vooraf geregeld moet hebben, heel snel scheid te maken naar ri- toenemen. Er zullen zich zonder twijfel nog insico’s als gevolg van tech- cidenten voordoen en af en toe zal een crimineel nische en gedragskeuzes. iets slims of onverwachts doen. Maar dit gaan we Dit kan je doen door de onder controle krijgen met de counterforce die nu juiste stuurvragen te ontwikkeld wordt, daar ben ik van overtuigd. Let stellen. Anders laat je je wel, “onder controle” betekent een gerichte risicoalleen leiden door de des- beheersing; het zal, zoals in alle veiligheidskweskundigen en die zijn het ties, een strijd blijven van je risico’s kennen, leren maar al te vaak onderling van incidenten en weer streven naar beheersen. Honderd procent veiligheid bestaat immers niet!’ ook niet met elkaar eens. ‘De fundamentele vragen over informatieveiligheid zijn voor het henk weSSeling e Delftse hoogleraar Governance bedrijfsleven niet anders van Cybersecurity Michel van Eeten (taSkforce biD): dan voor de overheid. pleit ervoor om cybercrime absoOok in het bedrijfsleven luut serieus te nemen, maar ook om ‘WE gAAn DIt onDEr geldt dat hoe omvanger nuchter mee om te gaan. ‘Maak rijker of gevoeliger de hierin vooral rationele en proportionele keuzes.’ ControLE krIjgEn’ informatieverwerking is, ‘De komende jaren moeten we een antwoord hoe belangrijker de bevinden op de vraag: hoe ver ga je in het aanvaarden

D

10


Foto arenda oomen PM SPECIAL oktober 2013

oproepen dat we alles dicht moeten timmeren. Volgens mij gaat goede informatiebeveiliging over bewustwording. Daarom is wat de Taskforce BID doet absoluut noodzakelijk. Overheden moeten worden gestimuleerd om bewust afwegingen te maken omtrent informatiebeveiliging, iets wat tot nog toe nauwelijks gebeurde. Dit bewustzijn groeit gelukkig, maar de echte crux is natuurlijk dat het bestuur in staat moet zijn om hierover zinnige beslissingen te nemen. Dat is een stuk moeilijker. Resultaten kunnen we pas over een aantal jaren beoordelen, maar het is evident dat het thema nu veel zichtbaarder is en veel serieuzer wordt genomen.'

H

et weekend van 8 en 9 oktober 2011, waarin bekend werd dat de websites van vijftig gemeenten gehackt waren, zal hem nog lang heugen. Het was vooraf aangekondigd door onderzoeksjournalist Brenno de Winter en het gebeurde met de beste, want waarschuwende intenties, maar toch. De door Lektober getroffen gemeenten werden compleet overvallen. Kees Jan de Vet, lid van de directieraad van de VNG, maakte het allemaal van zeer nabij mee. ‘Wij als VNG werden eveneens overvallen. Bij de gemeenten leefde de verwachting dat wij het wel zouden coördineren en oplossen, maar daarvoor Foto arenda oomen

van onveiligheid? Op bepaalde terreinen in de maatschappij is deze vraag al beantwoord, zoals bij huisinbraken of verkeersongelukken. Daar zijn we gewend aan een bepaald niveau van onveiligheid en hebben we aanvullende mechanismen michel van eeten verzonnen, zoals (tU Delft): ve r z e k e r i n g e n . Op deze en andere ‘bEWuSt, MAAr nIEt gebieden hebben we inmidHyStErISCH’ dels een aardige balans gevonden. Qua cybercrime doorlopen we nu een soortgelijk traject. Zodra we beter wennen aan het af en toe uitvallen van een service als internetbankieren, zal een deel van het mysterie verdwijnen. We zullen er niet meer zo hysterisch op reageren. Daarnaast zal de samenleving haar gebruikelijke instrumentarium inzetten. De eerste verzekeringspolissen tegen cybercrime zijn inmiddels al op de markt. Sommige gevolgen van een datalek zijn nu al een verzekerbaar risico, al wagen verzekeraars zich vooralsnog niet aan het vergoeden van directe schade. Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risicogebied. ‘De samenleving beschikt over een enorm adaptief vermogen. Dat heeft ons in het verleden grote diensten bewezen en dat zal het ook blijven doen. Dit aanpassingsvermogen is uiteraard wel gebaseerd op organisaties of instanties die het belangrijk vinden en er hun best voor doen. Hoe het er over vijf of tien jaar uit zal zien, valt onmogelijk te voorspellen. Bepaalde takken van cybercrime zullen blijven, maar ongetwijfeld ontstaan er weer nieuwe moeilijk te bestrijden vormen. Daar komen dan weer aanpassingen op, want uiteindelijk is alles te bestrijden. De grote vraag blijft: hoever wil je daarin gaan? Dit in algemene zin beantwoorden is onzinnig. Het optimale niveau van onveiligheid bepalen we van geval tot geval. ‘Volgens mij heeft het omgaan met criminaliteit ook in belangrijke mate te maken met het organiseren van aansprakelijkheid. Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen. Dit moet juridisch beter worden geregeld en ook de overheid kan hier bijsturen of een goede prikkel initiëren. Ik geloof niet zo in hysterische

viSie

keeS Jan De vet (vng):

‘kEnnISDELIng IS HEt CEntrALE InnoVAtIEtHEMA Voor DE koMEnDE jArEn’

ontbrak de infrastructuur. We hadden geen 24-uurs beschikbaarheidsdienst voor dit soort gevallen. En dergelijke dingen gebeuren natuurlijk altijd in het weekend... Het ministerie van Justitie vroeg ons op een gegeven moment of we de getroffen websites niet tijdelijk op zwart konden zetten, maar dat lag uiteraard niet in onze macht. De 408 gemeenten hebben allemaal hun eigen softwareleveranciers en zeer uiteenlopende systemen voor het beheer van hun websites en wij hadden daar geen centraal overzicht over. Bovendien heeft de VNG geen mogelijkheid om gemeentelijke websites te sluiten. 11

viSie

‘Dit incident heeft geleid tot het besluit van onze leden om de Informatiebeveiligingsdienst voor gemeenten (IBD) op te richten. De IBD moet ervoor zorgen dat we in het vervolg wél een systematisch en proactief antwoord hebben op dit soort incidenten. De IBD is ondergebracht bij KING, het landelijke kwaliteitsinstituut dat gemeenten ondersteunt. Voor de opstart is twee miljoen euro uitgetrokken. De IBD is sinds 1 januari 2013 operationeel en is zeven dagen per week en 24 uur per dag bereikbaar. Dat betekent dat er nu een goede infrastructuur is om effectief te reageren op incidenten. Andere taken van de IBD zijn preventie en kennisdeling. Twee jaar geleden stond vooral de coördinatie sterk in de aandacht en dat is logisch vanuit wat er destijds speelde, maar ik vind het belangrijk dat we met de IBD nu beter gaan doordenken op het vlak van de kennisdeling. Dat zie ik als het centrale innovatiethema voor de komende jaren. ‘Ik hoop dat binnen twee jaar ook andere overheden – waterschappen en provincies – deel zullen uitmaken van de IBD, juist ook vanuit het oogpunt van kennisdeling. Dit is essentieel omdat de ontwikkelingen razendsnel gaan en onvoorspelbaar zijn. De maatschappelijke omgeving is permanent in beweging. Nieuwe ontwikkelingen landen niet automatisch in overheidsprogramma’s. Er zal dus altijd sprake zijn van

‘ambtenaar moet zelf ook letten op vertroUweliJk StUk' Provinciesecretaris Hans goedhart van de provincie utrecht waarschuwt voor een al te luchthartige omgang met de systemen die toegang geven tot vertrouwelijke informatie. Een inspecteur die met een gevoelig dossier in de snackbar gaat zitten en het daar laat liggen of een medewerker die het wachtwoord van zijn computer op een Post-it aan zijn scherm heeft geplakt. Het is niet de technische kant van informatiebeveiliging die Hans goedhart, provinciesecretaris in utrecht, de meeste zorgen baart. Wel dat ambtenaren denken dat de veiligheid hans goedhart

goed geregeld is en zich daardoor onvoldoende be-

wust zijn van hun eigen verantwoordelijkheid. ‘We moeten weg zien te komen van de automatiseringstechnische benadering, maar het veel meer zoeken

‘tAbLEtS En SMArtPHonES zIjn

in de manier van omgaan met informatie,’ aldus de provinciesecretaris. De provincie heeft haar ICt goed bevei-

In oPEnbArE nEtWErkEn bInnEn

ligd, zegt goedhart, maar dat voorkomt niet dat een goede hacker toch altijd binnenkomt als hij het lang genoeg

DrIE SEConDEn tE HACkEn’

probeert. ‘je kunt het allemaal technisch op orde hebben, maar als iemand in de systemen gericht op zoek gaat naar specifieke informatie, dan is daar bijna niet tegen te be-

nieuwe risico’s. Drie jaar geleden waren er nog geen iPads, nu werkt heel bestuurlijk Nederland ermee. Onlangs was ik bij een demonstratie waaruit bleek dat tablets en smartphones in openbare netwerken, zoals in hotels, met de juiste apparatuur binnen drie seconden te hacken zijn. Dat is echt schrikken. Al deze nieuwe ontwikkelingen maken dat we permanent naar onze omgevingen moeten kijken, dat we moeten monitoren en detecteren en alert moeten reageren. ‘Een belangrijk onderdeel van de systematische bewustwording van risico’s is een betere vastlegging van de verantwoordelijkheid voor de informatieveiligheid in gemeenten. We gaan tijdens de najaarsvergadering aan onze 408 leden voorstellen dat in alle nieuwe colleges een portefeuillehouder voor informatieveiligheid komt. Je kunt dit een vorm van verplichtende zelfregulering noemen. Het zal ervoor zorgen dat dit thema bestuurlijk geborgd wordt in het hele land. Daarnaast zullen er op allerlei gebieden landelijke werkprogramma’s moeten komen, zoals bijvoorbeeld een betere beveiliging van mobiele apps.’ • ft en el 12

veiligen.’

verkeerSmanagement Provincies lopen dezelfde beveiligingsrisico’s als andere overheden, maar de informatie is verschillend. zo hebben de provincies weinig van doen met privégegevens van burgers, maar behoort de beveiliging van het verkeersmanagementsysteem wel tot hun taken. Dat neemt niet weg dat als er ergens een ICt-lek is, de provincie utrecht het systeem moet platgooien, waardoor het werk niet meer gedaan kan worden. Daarnaast kan er politiek-gevoelige informatie op straat komen te liggen, benadrukt goedhart. ‘Dan gaat het niet om mensenlevens, maar zo’n lek kan wel het politieke proces verstoren.’ uiteindelijk gaat het om hoe ambtenaren met het systeem omgaan, stelt goedhart. ‘Het is belangrijk dat de mensen die met de systemen werken, beseffen dat ze belangrijke informatie in handen hebben. Informatieveiligheid is niet alleen het probleem van de ICt-staf, maar moet ook in de rest van de organisatie leven.’ • rvdD


UIT DE PRAKTIJK

DIGITALE SNELWEG VERDIENT TIJDELIJKE REALLOCATIE VAN MIDDELEN

MOOIE AMBITIES, MAAR WIE GAAT HET BETALEN?

D

e DDoS-aanvallen en de problemen met DigiD, die soms digitale diensten plat kunnen leggen, lieten nog eens pijnlijk voelen hoe afhankelijk de dienstverlening van de overheid is van ICT. De ambities van de ministers Plasterk en Blok, die tot nog grotere ICT-afhankelijkheid zullen leiden, baren de uitvoering dan ook een beetje zorgen. Bestuurder Ronald Barendse van de SVB, een van de grote uitvoerders, vindt dat de financiering van 'stelselvoorzieningen' als de DigiD-pas, het eID-stelsel, de authenticatie en de modernisering van de basisadministraties dan ook meer politieke aandacht verdient. ‘In Nederland is het met de informatiebeveiliging best goed gesteld, zo heeft de afgelopen periode laten zien. DDoS-aanvallen wisten we afdoende te beantwoorden. Als dit echter de opmaat is naar de komende tien jaar, dan staat ons allen nog een behoorlijke uitdaging te wachten. De vraag is of we daarop zijn voorbereid. Immers de afgelopen periode heeft helder gemaakt hoe afhankelijk de dienstverlening van de overheid is geworden van de veiligheid van de informatievoorziening.’

Het kabinet zet in de nota Digitaal 2017 in op volledige digitale dienstverlening in 2017. Een hele mooie ambitie, vindt Ronald Barendse, lid van de raad van bestuur van de Sociale Verzekeringsbank (SVB), maar hij mist de financiële paragraaf. Hoe gaan we de nationale voorzieningen bekostigen die zorgen dat digitale diensten straks ook veilig zijn?

zouden burgers bijvoorbeeld weer zelf moeten vragen naar gegevens die we nu geautomatiseerd en beveiligd uitwisselen met de Belastingdienst en het UWV. Om maar niet te spreken van de maatschappelijke onrust die het te laat betalen van uitkeringen of kinderbijslag tot gevolg heeft.’ VERNETWERKING

Qua informatiebeveiliging staan we aan het begin van een agressiever tijdperk van cyber criminaliteit, denkt Barendse, die binnen het SVB-bestuur de portefeuille ICT en informatieveiligheid voor zijn rekening neemt. ‘Er staat ons ontzettend veel te wachten. De vernetwerking van gegevens tussen de verschillende onderdelen van de overheid heeft de burger veel gemak in dienstverlening gebracht. De beveiliging van deze gegevens en de uitwisseling met de burger is voor de overheid een groot goed.’ De SVB heeft samen met DUO, UWV en de

Ronald Barendse

‘Aan de achterkant werken we keihard, maar er zijn ook politieke keuzes nodig,´ signaleert Barendse. Natuurlijk, hij beCHAOS grijpt het politieke dilemma wel: in deze De belangen bij continuïteit van de tijden van financiële krapte is investeren dienstverlening zijn groot. De SVB (circa in informatieveiligheid ten 3.000 medewerkers) verstrekt opzichte van bezuinigingen jaarlijks voor 37 miljard euro in bijvoorbeeld de zorg niet aan uitkeringen aan mensen 'WE ZOUDEN VIER KEER ZOVEEL gemakkelijk. die volgens Barendse vaak 'Maar wellicht kunnen er ‘elke maand op dat geld zitMENSEN NODIG HEBBEN OM WEER tijdelijk middelen gerealloten te wachten’. De dienstverceerd worden,' oppert hij. Hij lening is nu voor 70 procent ALLES HANDMATIG TE DOEN' denkt daarbij aan reallocatie digitaal, schat hij. ‘Nu al zou à la het Infrastructuurfonds de chaos compleet zijn als we voor wegen, verreweg het grootste fonds Belastingdienst het expertisecentrum bijvoorbeeld niet in staat zijn op tijd te van het ministerie van Infrastructuur Centrum voor Informatiebeveiliging en betalen. Daarnaast zouden we zeker vier en Milieu. ‘De digitale snelweg hoort Privacy (CIP) opgericht waarin zij hun keer zoveel mensen nodig hebben om tenslotte inmiddels ook tot onze vitale krachten bundelen om externe dreiginalle zaken handmatig in plaats van geauinfrastructuur.’ • CvdW gen het hoofd te kunnen bieden. tomatiseerd te moeten behandelen. We 22

PM SPECIAL OKTOBER 2013

13

intErViEW

DG Gert-Jan BuitenDiJk Bepleit Beter samenspel BiJ iCt-inCiDenten

‘EEn omslag in dEnkEn is nodig’ deze zomer bij het UWV het geval was?

De digitalisering van overheidsdiensten mag niet ten koste gaan van de continuïteit van de publieke dienstverlening, vindt Gert-Jan Buitendijk, Directeur-Generaal bestuur en koninkrijksrelaties van Binnenlandse Zaken. ‘Het is zaak dat het openbaar bestuur investeert in informatieveiligheid om betrouwbare dienstverlening te kunnen blijven bieden.’

W

at heeft uw hoogste prioriteit inzake informatieveiligheid?

‘Het DigiNotar-incident in de zomer van 2011 toont nog eens hoe indringend de invloed van informatie- en communicatietechnologie op de samenleving is geworden. De samenleving digitaliseert, maar slechts weinig mensen realiseren zich hoe belangrijk het slotje in de linkerhoek van de websites is. We vertrouwen er allemaal op dat overheidssites veilig zijn. Dit voorjaar waren er ook de nodige DDoS-aanvallen. Banken en enkele overheidsvoorzieningen waren daardoor dagenlang niet of nauwelijks voor gebruikers beschikbaar. Dat laat zien dat de grote afhankelijkheid van digitale informatievoorziening een goede informatiebeveiliging en bijbehorende noodprocedures hoogst belangrijk maakt. Gert-Jan Buitendijk De overheid legt al veel digitaal vast en communiceert veel digitaal met burgers en bedrijven. Met de doelstelling om in 2017 de dienstverlening van de overheid digitaal te laten verlopen gaat daar nog een schepje bovenop. Het openbaar bestuur moet investeren in informatieveiligheid om hoogwaardige dienstverlening te kunnen blijven bieden. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Er mag gewoon geen sprake zijn van een acuut, redelijkerwijs te voorkomen beveiligingsrisico, waardoor de veiligheid van mensen, persoonlijke informatie en organisaties in het geding komt.’ Hoe kan voorkomen worden dat de digitale dienstverlening ‘hapert’ zoals 14

‘Dit kunnen we nooit volledig voorkomen. De technologische ontwikkelingen gaan daarvoor te snel. Maar we moeten er wel ons uiterste best voor doen om het zo goed mogelijk tegen te gaan. Uitvoeringsorganisaties zijn primair zelf verantwoordelijk voor de beveiliging van hun netwerken en systemen. Ze moeten er alles aan doen om hun klanten de dienstverlening te bieden die deze mogen verwachten. Het is dan ook verstandig een voorziening binnen de overheid te creeren waar de klassieke post of het vertrouwde loket een plek krijgt. ‘Het is ook van belang dat organisaties in het openbaar bestuur door een beter samenspel tot een efficiënte en effectieve aanpak van calamiteiten komen. Ik wil daarom toe naar heldere richtlijnen en een handleiding bij digitale incidenten. Vanuit de verantwoordelijkheid voor de kwaliteit van het openbaar bestuur hecht minister Plasterk er belang aan dat er interbestuurlijke afspraken worden gemaakt over samenwerking bij digitale incidenten, om de digitale weerbaarheid van het openbaar bestuur te vergroten. Overheidsorganisaties wisselen tegenwoordig veel informatie uit en zijn vaak van el-

intErViEW

kaar afhankelijk. Een belangrijke ontwikkeling op dit gebied is bijvoorbeeld de uit de VNG voortgekomen Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Met de ICT-Response Board, het publiek-private samenwerkingsverband waarin nu twintig en in 2014 zestig experts zitting hebben, is een belangrijke stap gezet naar netwerksamenwerking bij calamiteiten. Hierin wordt preventie, de detectie van incidenten en de coördinatie van de probleemoplossing samen en interbestuurlijk opgepakt. We sluiten ons verder aan bij het Nationaal Response Netwerk dat de minister van Veiligheid & Justitie aan het opbouwen is.’ de onderzoeksraad voor Veiligheid vindt dat de kennis van informatieveiligheid bij bestuurders en overheidstopmanagers beter kan. Hoe zorgt u dat het thema

Foto BZk

bij strategische beslissingen zwaarder mee gaat wegen?

via de weg van verplichtende zelfregulering dan met wetgeving, al wil dat niet zeggen dat extra weten regelgeving wordt uitgesloten. De Taskforce zit er twee jaar, die tijd zal worden benut om een analyse te maken van bestaande en noodzakelijke weten regelgeving, inclusief de handhaving van al bestaande regels. Mocht bij de evaluatie van de Taskforce blijken dat het gewenste resultaat niet bereikt is, dan zal minister Plasterk zich beraden over mogelijke weten regelgeving.’ Wat zijn de goede voorbeelden?

‘Ik had het zojuist al over de Baseline informatiebeveiliging Rijk (BIR) als best practice. Met ingang van volgend jaar gaat de rijksoverheid ook rapporteren. Elk jaar worden er thema’s en onderwerpen uitgelicht om te kijken of voldaan wordt aan de BIR. ‘Als buitenlands voorbeeld zou ik Estland willen noemen. Hoewel daar in 2007 door een aantal grote DDoS-aanvallen nog de kwetsbaarheid van een iSamenleving ondervonden werd, is het land toch koploper geworden in e-diensten aan burgers. Zo beschikt e-Estonia over e-taks, een e-politie

‘De Onderzoeksraad voor Veiligheid richtte zich op de wijze waarop de overheid de veiligheid van de digitale communicatie met burgers waarborgt en de manier waarop overheden invulling geven aan digitale veiligheid. Burgers moeten erop kunnen vertrouwen dat de overheid alles in het werk stelt om de digi´WeiniGen realiseren ZicH Het BelanG van Het tale communicatie met de overheid zo veilig mogelijk te laten verlopen. Daarom heeft slotJe in De linkerHoek van De WeBsites´ minister Plasterk in februari van dit jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ingesteld. De bedoeling is het en tal van e-health diensten. Estland is ook bezig met de onderwerp informatieveiligheid hoog op de agenda te krijgen ontwikkeling van een e-identiteit voor e-burgers met een bij bestuurders en topmanagement van alle overheidslagen. Zo band met Estland, die zo ook vanuit het buitenland veikan er een versnelling op gang komen. De Taskforce BID zet in lig kunnen communiceren met overheid en bedrijfsleven.’ op vergroten van de awareness bij bestuurders en op meer bestuurlijke sturing op informatieveiligheid. Uiteindelijk moet goede basisvoorzieningen zijn van belang. Hoe staat u dat ertoe leiden dat informatieveiligheid in de bedrijfsprocessen tegenover een basis portal of generieke kernwebsite voor wordt verankerd, waardoor de risico’s op incidenten zoals met gemeenten? het Citadelvirus, dat het Dorifelvirus hielp binnenkomen op ‘Momenteel wordt onderzocht of er niet één loket op internet veel overheidscomputers, tot een minimum beperkt worden.’ kan komen voor alle gemeenten. De kernwebsite zou bijvoorbeeld Mijnoverheid.nl kunnen zijn, waar gemeenten bij kunnen aansluiten. De VNG overlegt nu over wat een dergelijk Er is gekozen is voor zelfregulering. Waarom die keuze? gezamenlijk digitaal loket precies zou inhouden en hoe dit ‘Je kunt wel een wet maken, maar het is aanzienlijk sneller en gerealiseerd kan worden. Het zou een voorbeeld zijn van saeffectiever als overheden en zbo’s zelf scherp en bewust sturen menwerking aan de achterkant op een veilige manier zonder en reguleren. Zelfregulering betekent geen vrijblijvendheid. dat burgers er iets van merken. Burgers willen graag hun eigen De Taskforce BID heeft de opdracht om verplichtende zelfregemeente blijven herkennen.’ gulering te helpen ontwikkelen en te faciliteren en werkt daarvoor nauw samen met de koepelorganisaties. ‘Dat krijgt nu vorm. De rijksoverheid is druk bezig met de de uitvoerders maken zich zorgen of het authenticatiemiddel invoering van de Baseline Informatiebeveiliging Rijk (BIR), eid, dat digid moet vervangen, er wel op tijd zal zijn. Wat is die bestaande departementale en interdepartementale basede planning? lines (minimumeisen) vervangt. Daarmee wordt het basisbe‘Het kabinetsbesluit voor de invoering van het eID-stelsel en veiligingsniveau bij de rijksdienst gelijkgetrokken en ontstaat de uitrol van de kaart is in voorbereiding. Het streven is om dit eenduidigheid. De BIR wordt nu vertaald naar gemeenten en besluit aan het einde van het jaar aan het kabinet voor te legwaterschappen tot de Baseline Informatiebeveiliging Gemeengen. Daarin komen ook afspraken over de veiligheid. Ik begrijp ten (BIG) en de Baseline Informatiebeveiliging Waterschappen de zorg, we kunnen op dit terrein nooit snel genoeg zijn, maar (BIWA). De koepelorganisaties hebben die samen met de Taskwillen we echt een toekomstbestendiger systeem, dan moeten force BID ontwikkeld. Ze zijn nu ter vaststelling aan gemeenwe ook zorgvuldig zijn. ten en waterschappen voorgelegd. ‘DigiD wordt tientallen miljoenen keren per jaar gebruikt: ‘Belangrijker nog dan deze ontwikkelingen vind ik een omvoor de belastingaangifte, de studiefinanciering, het pensioenslag in het denken over informatieveiligheid. Informatieveiligoverzicht en de ziektekostenadministratie. Er wordt nu met heid moet standaard worden meegenomen bij het inrichten en alle betrokken partijen gekeken of er nieuwe financieringsonderhouden van informatiesystemen, waar ook leveranciers en besturingsvormen te ontwikkelen zijn voor de digitale een verantwoordelijkheid in hebben. Dat lukt sneller en beter basisinfrastructuur.’ • CvdW PM sPecial oktoBer 2013

15

FAC T S & F I G U R E S

VERSTERKEN VAN DE SCHAK De loonaangifteketen wordt wel gezien als de financiële gegevensaorta van Nederland. In de loonaangifteketen gaat maar liefst 145 miljard euro om. Dat zijn premie- en belastingopbrengsten die door 650.000 werkgevers, uitkeringsinstanties en pensioenfondsen worden binnengebracht. Het

GOVERNANCE

bedrag is goed voor ongeveer 60 procent van alle belastingontvangsten, en er zijn enkele tientallen miljarden gegevens mee gemoeid. Belastingdienst UWV en CBS werken sinds 2006 samen in de loonaangifteketen die een

➧

eenmalige uitvraag van inkomensafhankelijke gegevens mogelijk maakt.

is elke acht weken op hoog

Over de loonaangifteketen

niveau strategisch overleg van

De gegevens komen binnen via de Belastingdienst en worden vervolgens

de managementteams van de

na controles van het UWV gedeeld met diverse afnemers zoals het CVZ,

Belastingdienst en CBS, de

het CAK, de IND en gerechtsdeurwaarders. Ze zijn de basis voor onder

raad van bestuur van UWV

meer de vooringevulde belastingaangifte, de toeslagen en uitkeringen

en de ketenmanager van de loonaangifteketen. ➧ Elke maand

en de premievaststelling van pensioenen. Nodeloos te zeggen dat bij

is er ook een tactisch overleg op

obstructie van deze gegevensstroom een hartinfarct van de BV Nederland

directieniveau. UWV controleert

op de loer kan liggen.

de juistheid van de gegevens; onjuistheden worden via de Belastingdienst teruggekoppeld aan werkgevers (verantwoordelijk voor de salarisadministratie) en softwareontwikkelaars met het verzoek deze te corrigeren. ge

sch kisatt ministerie ld

vanministerie financiën van financiën

ont buffvange n adr eren e dist ssere ribu n ere n ont v buff ange n adr eren e dist ssere ribu n ere n

ld

geldstroom gegevensstroom processtroom

ge

sch kisatt

belastingdienst belastingdienst uwv uwv -

-

st ien ngd bel asti

Cong rre ift da ctiee? ta

bericht voor uwv



lak pelv er kop voor bericht uli bericht uwv voor form belasting



-


bericht voor uwv

dienst

aa




loket uwv

bericht voor uwv


Unit

aa


koppelvlak

koppelvlak signaal

inschrijving handels-ofinschrijving handelswerkgeverswerkgeverscentrale centrale genereren of heffingsheffingsmutatie register mutatie register administratie administratie ontvangers- ontvangersbeschikking U bent U bent administratie administratie administratie administratie aanslag of inhoudingsinhoudingsplichtige, dus...

beschikking met evt. boete

plichtige, dus...

voorcontrole voorcontrole

genereren aanmaken aanmaken correctiecorrectiebeschikking verplichting verplichting aanslag of

correctie beschikking met evt. verplichting boete

signaal

correctie verplichting

herstelverzoek

bv, nv

ers


rd ilja

of and

m

f of eenmansza ak

80

cv, vo

rd ilja

ers

m

of and

80

bv, nv

f of eenmansza ak

correctie loondata


correctie loondata

signaal

loongegevens

loongegevens

polisadministratie polisadministratie signaal herstelverzoek

verzekerings bericht

verzekerings bericht

voorcontrole voorcontrole werknemersgegevens werknemersgegevens

claim

cv, vo


loket uwv

Unit

ld

bel ka asti me koongdr va phaien n ndest l

aa


aa

ge

nieuwe



ld

nieuwe

aa

intensief toezicht intensief toezicht aa

ge

kam koo er va pha n nde l



claim


klant

werkgever/inhoudingsplichtige werkgever/inhoudingsplichtige

klant

correctie loondata


correctie loondata


werknemer/verzekerde werknemer/verzekerde

per tijdvak (maand of vier weken)

per tijdvak (maand of vier weken)

BRON: PAPERNOTE 35 VAN PBLQ EN KETENBUREAU LOONAANGIFTEKETEN, SDU UITGEVERS 2011.

CYBERCRIME

➧ Ongeveer 40

➧ Uit onderzoek van BZK

➧ Van 2007 tot 2012 had

procent van de

is gebleken dat er vorig

volgens het onderzoek 13,3

Nederlandse

jaar tussen 670.000 en

procent van de Nederlanders

ondernemers is in

870.000 slachtoffers van

met identiteitsfraude te

2012 slachtoffer

identiteitsfraude waren. De

maken. Naar schatting heeft

geworden van

geleden schade lag tussen

9,5 procent van de bevolking

cybercrime.

390 en 510 miljoen euro.

in die periode schade opgelopen.

16


FAC T S & F I G U R E S

ELS IN DE INFORMATIEKETEN MALWARE

INCIDENTEN EN SCHADE

➧ De grootste oorzaak van

➧ Uit internationaal onderzoek blijkt dat het aantal

HACKERS DIE HELPEN

➧ De Rabobank heeft begin

een malwarebesmetting zijn

beveiligingsincidenten het afgelopen jaar met 25 procent

oktober ‘tientallen meldingen’

‘gaten’ in software. Ook het

is toegenomen, hoewel organisaties vorig jaar substantieel

binnengekregen van hackers

gebruik van USB-sticks en

meer aandacht en geld aan de beveiliging van hun

die de bank hebben gewezen

andere removable media kan

informatie besteedden.

op kwetsbaarheden op de

leiden tot malware-infectie.

➧ De schade als gevolg van fraude met internetbankieren

site en in zijn systemen

➧ Gemeenten die vorig jaar

is in de eerste helft van 2013 met 58 procent gedaald

voor internetbankieren. De

door het Dorifel-virus werden

ten opzichte van de tweede helft van 2012. Het bedrag

bank ontwikkelde afgelopen

getroffen moesten meer dan

dat daarmee gemoeid was daalde van 10 naar 4,2 miljoen

maanden in samenwerking

tienduizend euro besteden

euro. Ten opzichte van de dezelfde periode vorig jaar is de

met het Nationaal Cyber

aan opruim- en herstelacties.

daling nog groter: 82 procent.

Security Centrum (NCSC)

➧ Iedere 37 seconden wordt

➧ Uit internationaal onderzoek onder 9600 respondenten

een beleid voor responsible

een computer met malware

blijkt dat ondanks een toename van bijna 50 procent

disclosure en plaatste dit half

besmet. Er wordt overigens

van de uitgaven aan informatieveiligheid het nog steeds

september op zijn site. Bij het

ook iedere 37 seconden een

slechts 3,8 procent van het totaal van het IT-budget is. Het

Meldpunt Kwetsbaarheden

fiets gestolen…

is een relatief kleine investering.

kunnen deskundigen op

➧ Er gaan steeds meer data verloren als gevolg van

gebied van internetbeveiliging

security-incidenten. Internationaal onderzoek laat een

kwetsbaarheden en lekken

toename van 16 procent zien. Data van medewerkers en

melden.

klantgegevens zijn het meest waardevol.

loongegevens

ce

ven s

nt

ra

ove

rige

afn e

zoa ls pen s ib-g ioenfo n ger roep, dsen , ech tsd eur waa rde rs.

me

rs lo

ong

ege

st ien

ong

ngd ove

rige

afn e

zoa ls pen s ib-g ioenfo n ger roep, dsen , ech tsd eur waa rde rs.

me

rs lo

bel asti

ven s

voor ondermeer IB-controle Toeslagen en data derden

ege

st

nst

ien

ngd

die

iale soc

jke gem

een

teli

bel asti

nst

die

sba

soc

eke

jke

een

gem

soc ia

teli

le v

erz

eke erz

le v

iale

ring

sba ring

ars/ a era

rze k gve

soc ia

zor

nk

nk

z wb

z wb ars/ a era gve

rze k

bel asti

st

v

zor

uitkeringsadministratie

al

bu re au

vo

or

de

uw

ngd toe ienst slag en uw v

k sta de or vo bu re au

ld

ld

uitkeringsuitkeringsadministratie administratie

budget ge

ge

uitkeringsuitkeringsadministratie administratie

ge meente

budget

ld

uitkeringsadministratie

fo nds ge

Cor gif te darectie? ta

ld

aan

ge

Cor gif te darectie? ta

ld

ld

toeslagen uitkeringsuitkeringsadministratie administratie

fo nds fo nds

ge

ld

ge

al

fo nds

ge

ld

ld

aan

toeslagen

fo nds

fo nds

ge

ld

ge

ld

ld

ra

fo nds fo nds

fo nds ge

ld

nt

fo nds

ge

ge

ld

ce

fo nds

ge

tis

tie

fo nds

ge

bel atisti asti e ngd k toe ienst slag en

loongegevens

voor ondermeer IB-controle ge meente enToeslagen data derden

claim

claim

claim m g lai din

m g lai din

c ergoe kte- n v

teziek ring e uitk klant

klant

rkwe n loze ring e uitk

klant

steziek ring arbeid hikte esc uitk ong eids- g h rin e uitk

klant

rkwe n loze ring e uitk

klant

kl

ant

seid arb schikte ong eids- g h rin e uitk

klant

kl

c ergoe kte- n

zie ste ko

v

klant

ant

toeslaggerechtigde toeslaggerechtigde zieke, werkloze of zieke, arbeidsongeschikte werkloze of arbeidsongeschikte zieke

zie ste ko

claim

claim kinderna bijslag be-

nabestaand e

staand

uitkerine g

uitkerin

g

klant

a uit owke rin klant g

klant klant

zieke65-plusser, ouder, 65-plusser, nab nabestaande ouder,

claim kinderbijslag

snd sta ng bij keuri aow uit itke rin g

klant t klan

snd sta ng bij keri uit klan

t

nabestaande uitkeringsgerechtigde uitkeringsgerechtigde

➧ Meer dan 200.000 Nederlanders zijn

➧ Uit onderzoek blijkt dat

➧ TNS NIPO concludeert in een onderzoek naar (internet-)

vorig jaar slachtoffer geworden van

92 procent van de data

veiligheid onder burgers dat 71 procent te maken heeft gehad

identiteitsfraude via internet of betaal-

breaches om gegevens

met verschillende vormen van cybercriminaliteit. De helft

of pinautomaten. Het gaat dan om 1,5

te stelen van buiten de

van de respondenten zegt over zichzelf matig tot helemaal

procent van de bevolking van 15 jaar en

organisatie komen. Een

niet op de hoogte te zijn van de gevaarlijke kanten van

ouder.

slecht beveiligd netwerk is

internetgebruik, waaronder cybercriminaliteit, virussen, spam

een open uitnodiging voor

of het bezoeken van valse websites.

alle type aanvallers.


17

i n f o R m at i e k e t e n s

‘Soft SkillS’ nodig voor vruchtbare ketenSamenwerking

De ouDe managementtools volDoen niet meeR samenwerking in ketens neemt een hoge vlucht. iCt-systemen worden op elkaar aangesloten om de dienstverlening te verbeteren. maar dat levert ook weer nieuwe problemen op. werken de organisaties wel samen? en hoe controleer je of alles goed gaat in zo’n keten? promovendus ype van wijk van de rijksuniversiteit groningen en ketenmanager mart driessen laten hun licht schijnen over informativeiligheid en ketensamenwerking.

D

e zakelijke netwerksite LinkedIn heeft in Nederland zo’n vier miljoen leden. Die zien één site, één applicatie. ‘Maar schijn bedriegt,’ zegt Ype van Wijk van de Rijksuniversiteit Groningen. Hij doet promotieonderzoek naar de samenwerking in en betrouwbaarheid van de ITondersteunde service-economie. ‘In werkelijkheid kijk je naar het samenspel van zo’n 1200 applicaties, die zich fysiek verspreid over de wereld bevinden. Je gegevens staan dus overal en nergens, bijvoorbeeld in de cloud, in goede en slechte rekencentra, met elk hun eigen programmeer- en security-standaarden.’ Samenwerking is in, weet Van Wijk. ‘Het is wel degelijk een trend. Je ziet dat organisaties zich steeds verder specialiseren in die onderdelen waar ze goed in zijn. En dat er vervolgens wordt samengewerkt in collaboratieve netwerkorganisaties om

ype van wijk ‘voor de eisen en systemen

Foto Johan Zwart

in een keten bestaat geen

18

blauwdruk’

diensten of goederen bij de consument te krijgen.’ Volgens Van Wijk moet daarbij heel wat op z’n kop. ‘De interne controle-frameworks voor bijvoorbeeld de boekhouding en risicobeheersing volstaan niet meer. Je kunt je eigen beleid prima op orde hebben, maar zit je vervolgens in de cloud met allerlei figuren waarbij dat niet zo is, dan is je informatiebeveiliging zo veilig als de zwakste schakel.’ Dat klinkt logisch, maar Van Wijk geeft toe: ‘Zowel op academisch niveau als in professionele kringen heeft mijn werk een vrij hoog pioniersgehalte.’ Volgens Van Wijk moet je een keten als ‘één virtuele organisatie’ zien. Daarbij moet duidelijk worden gemaakt wat het gewenste niveau van veiligheid is. Partners moeten hieraan voldoen én de juiste controlesystemen hebben ingericht. Voor die eisen en systemen bestaat geen blauwdruk. ‘Het scheelt nogal of je het hebt over gegevens van een bank, de overheid of Buienradar.’ Ruggen naaR elkaaR

Voor de loonaangifteketen beschikt de overheid sinds enige tijd over een ketenmanager, een functionaris met een behoorlijk bestuurlijk gewicht die de samenwerking in de keten vlot moet laten lopen. Deze ketenmanager Mart Driessen werd aangesteld door de minister van Sociale Zaken en de staatssecretaris van Financiën om vanuit een onafhankelijke rol de samenwerking tussen de Belastingdienst en UWV, de uitvoerder van de werknemersverzekeringen, te bevorderen. Helemaal in het begin, in 2006 en de eerste jaren daarna, was dat nog niet echt een succes. ‘Het leek soms op schelden met de ruggen naar elkaar toe,’ weet Driessen. ‘Men wilde eigenlijk niet samenwerken en vond het heel moeilijk dingen voor elkaar te doen waar ze zelf niets aan hadden.’ De problemen waren in het begin legio – zo moesten meer dan 100.000 werkgevers de loonaangifte over 2007 opnieuw doen, omdat door automatiseringsproblemen gegevens waren zoekgeraakt pm speCial oktober 2013

– maar er zijn nooit gegevens van belastingbetalers uit de loonaangifteketen op straat beland. ‘The proof of the pudding is in the eating: in die zin was de infomratieveiligheid dus op orde. Bij de Belastingdienst wordt gewerkt met meerdere veiligheidsniveaus, en deze gegevens bevinden zich op het hoogste niveau. De veiligheid is bij de Belastingdienst intern belegd, bij het UWV wordt meer met externe partners gewerkt. We laten de systemen geregeld onder vuur nemen door hackers die we daarvoor inhuren. Dat is wat ik erover kan zeggen,’ aldus Driessen. gRoeienD begRip

afschuDDen

'Wat veiligheid betreft hoeven we niet allemaal het hoogste niveau te hebben,' benadrukt Van Wijk. ‘Denk vooral goed na,’ zegt hij. ‘Een klassieker is het verhaal van de London Stock Exchange, die een systeem liet maken om de aandelenkoersen met meer dan een kwartier vertraging openbaar te maken. Er werd gigantisch in de beveiliging van de gegevens geïnvesteerd – onnodig, want het ging dus om informatie die op dat moment niet meer afgeschermd hoefde te worden.’ Anderzijds, zegt hij: ‘Ga ook niet zomaar gegevens in de cloud zetten, omdat je denkt “dat is modern”.’ Van Wijk adviseert: ‘Wees je bewust van de risico’s die met ketensamenwerking pm speCial oktober 2013

mart driessen ‘men zit ermee als de ander op een vervelende manier in het nieuws komt’ Foto ictu

Driessen heeft de ervaring dat naast al het werk van de techneuten soft skills het allerbelangrijkst zijn voor een vruchtbare ketensamenwerking. ‘Zorg dat mensen met elkaar praten. Zo zitten we ook continu met softwareontwikkelaars en werkgevers enerzijds en met afnemers anderzijds om de tafel. Eigenlijk interesseert het werkgevers niet zo wat die overheid allemaal van ze vraagt. Ze vinden het vervelend, er gaan administratieve lasten mee gepaard. Maar als ze het idee krijgen dat ze half Nederland ermee helpen, en ook hun eigen werknemers bij de aanvraag van toeslagen en dergelijke, dan ontstaat er veelal begrip.’ In Driessens ervaring is het van groot belang dat de bestuurders van de organisaties daarin meegaan. ‘Dan kijk ik met name weer even naar de periode waarin het verkeerd ging: toen was er geen wil om samen te werken. Maar in de tweewekelijkse vergaderingen van de hoogste bestuurders is dat omgeslagen. Inmiddels zit men er bijvoorbeeld mee als de ander op een vervelende manier in het nieuws komt. In het begin werd daarom gegniffeld.’ De samenwerking vergt ook op juridisch niveau veel. Vooral de Wet bescherming persoonsgegevens – privacy dus – vraagt veel aandacht. Driessen: ‘Volgens de wet mag je gegevens niet zomaar overal voor gebruiken. We moeten dus goed uitzoeken en bijhouden voor welke doeleinden we gegevens inzetten. Soms mag informatie niet uitgewisseld worden. Zo zijn er gegevens van de Belastingdienst die het UWV graag wil hebben in verband met de bestrijding van uitkeringsfraude. Dat moet dan wel apart wettelijk worden geregeld.’

gepaard gaan. Weet wat je wilt, weet wat je vraagt, als voorwaarde om te kunnen functioneren binnen de keten, en weet hoe risico’s en controles beheerst worden.’ Daarvoor zijn nieuwe managementtools nodig, zegt hij, die draaien om governance (het bestuur) en assurance (kwaliteitsborging en verzekering) van de keten. ‘De maatschappelijke belangen zijn te groot om te ontkennen en deze links te laten liggen. We moeten de tools van de vorige eeuw en het hokjesdeken van ons afschudden.’ Zijn grote organisaties misschien betrouwbaardere ketenpartners omdat ze hun veiligheid doorgaans beter op orde hebben? Kleine gemeenten waren bijvoorbeeld al vaak slachtoffer van hacks. ‘De Rabobank is ook met grote regelmaat aan de beurt,’ brengt Van Wijk tegen die theorie in. ‘Hoe groter, hoe spannender je soms ook weer bent voor aanvallers. Het Pentagon is geloof ik recordhouder met meer dan 250.000 hack-pogingen per uur.’ • Rs 19

UIT DE PRAKTIJK

DRIE VEILIGHEIDSNIVEAUS EN 133 MAATREGELEN

‘NA DIGINOTAR HEBBEN WE EEN TANDJE BIJGEZET’ Hoe breng je als gemeente je informatieveiligheid op orde? Bewuste medewerkers zijn de sleutel tot succes, aldus de Utrechtse gemeentesecretaris Maarten Schurink en chief information security officer Kaj Siekman. ‘We moeten de naïviteit voorbij.’

E

Foto Arenda Oomen

ven de mail checken via de hotspot ‘VGSCongres’. Moet kunnen, dachten zo’n zeventig bezoekers van het jaarlijkse congres van de Vereniging voor Gemeentesecretarissen (VGS) in september. ‘De deelnemers schrokken toen we ter plekke tijdens een live demonstratie lieten zien hoe gemakkelijk het is persoonlijke gegevens te achterhalen,’ vertelt Maarten Schurink. ‘Die informatie werd via een onbeveiligde wifi-verbinding verstuurd.’ De Utrechtse gemeentesecretaris hoopt dat de actie als eye-opener heeft gewerkt. Een grotere bewustwording van informatieveiligheid is volgens hem noodzakelijk, op alle niveaus van de gemeentelijke organisatie, benadrukt Schurink. ‘Daarom laten we ook onze medewerkers heel concreet zien wat er kan gebeuren als je onveilig met informatie omgaat.’ Kaj Siekman, chief information security officer (CISO) bij de gemeente, bevestigt dat. Hij is in september gestart

Maarten Schurink (links) en Kaj Siekman 22 20

met een bewustwordingsprogramma. De dagelijkse praktijk staat daarbij centraal. ‘De focus ligt niet zozeer op de apparaten zelf, maar op de vertaalslag naar de werksituatie. Het uitgangspunt vormt de dienstverlening die we de gebruikers aanbieden. Die moet veilig zijn,’ aldus Siekman. ‘Dat geldt bijvoor-

van de baseline drie veiligheidsniveaus – basis, middel en hoog – en heeft daarbij keuze uit 133 maatregelen, legt Siekman uit. ‘De maatregelen zijn toegespitst op het soort informatie. Denk bijvoorbeeld aan het versleuteld versturen van informatie als deze uiterst privacygevoelig is.’ Het doel van de CISO is ‘om het zo eenvoudig mogelijk te houden’. Onlangs hield hij nog een presentatie voor de vijftien informatiemanagers van de gemeente. Siekman: ‘Iedere medewerker zou moeten begrijpen welke maatregel

MET DE HUIDIGE MIDDELEN VAN COMMUNICATIE ZIJN ER STEEDS MEER ACHTERDEURTJES beeld voor de digitale werkplek die vanaf de tablet beschikbaar is.’ Gebruiksvriendelijkheid is de leidraad. ‘Als maatregelen niet makkelijk toe te passen zijn, gaan ambtenaren “eromheen werken” en ben je verder van huis,’ zegt Siekman. ‘De populariteit van bring your own device maakt dat besef van informatieveiligheid nóg belangrijker is geworden.’ De afgelopen maanden is Siekman druk bezig geweest met het maken van plannen en een risicoanalyse. ‘Het is niet nieuw, maar we maken nu een volgende stap in volwassenheid.’ Belangrijk onderdeel is de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). ‘We verwachten dat deze voor het eind van het jaar door het college van B&W wordt vastgesteld,’ zegt Siekman. ‘Vervolgens kunnen we jaarlijks aan de hand van de BIG laten zien wat de stand van zaken is. Zo kunnen we een cyclus voor informatieveiligheid op gang brengen. Dit maakt het mogelijk te sturen op informatiebeveiliging. Idealiter zou je moeten kunnen “plussen en minnen” waar het nodig is.’ De gemeente Utrecht hanteert in lijn

je bij welke informatie moet toepassen.’ 'De DigiNotar-kwestie heeft de zaken op scherp gezet,' aldus Schurink. ‘Informatieveiligheid stond al op de agenda, maar we hebben een tandje bijgezet. We zijn alerter op wat er kán gebeuren. Er is nu meer concernsturing.’ Daarnaast werkt de Informatiebeveiligingsdienst voor gemeenten (IBD) nauwer samen met het Nationaal Cyber Security Centrum. ‘We hebben concretere afspraken gemaakt over onderlinge bijstand en hulp,’ aldus de gemeentesecretaris. Ook de overgang naar het nieuwe stadskantoor – gepland voor het najaar van 2014 – speelt hierbij een rol. ‘We zijn in oktober begonnen met de eerste stappen naar een nieuwe ICT-infrastructuur in het kader van de verhuizing naar deze locatie. Bij de uitrol hiervan willen we ook een slag slaan op het gebied van beveiliging,’ zegt Schurink. Wederom staat bewustwording hierbij centraal. Schurink: ‘We moeten de naïviteit voorbij. Je kunt de beste firewalls hebben, maar met de huidige middelen van communicatie zijn er steeds meer achterdeurtjes waardoor het systeem van de gemeente kan worden bereikt.’ • RW PM SPECIAL OKTOBER 2013

column

een cyberaanval kan meteen gevolgen hebben in alle veiligheidsregio’s

menselijke factor is het grootste veiligheidsrisico


Doordat veiligheidsregio’s veelal gebruik maken van digitale informatie uit andere organisaties is het onderwerp informatiebeveiliging bij uitstek een netwerkvraagstuk. De aanpak hiervan kunnen we als veiligheidsregio’s dan ook het beste gezamenlijk uitvoeren, zodat met andere (landelijke) partijen ook gezamenlijk afspraken kunnen worden gemaakt. Laten we daarbij van elkaar leren bij het voorkomen Burgemeester Henri Lenferink en bestrijden van cyberincidenten. Door goede technische vEILIghEIdSrEgIo'S maatregelen te treffen, kunnen DDoS-aanvallen worden bundELEn afgeslagen en kunnen ervaren hackers niet binnendringen hun krAChtEn in de systemen van de veiligheidsregio’s. Dit heeft echter nauwelijks effect als het beveiligingsbewustzijn in de veiligheidsregio’s zelf te laag is. Het beveiligen van informatie tegen aanvallen van buitenaf dient dan ook gelijke tred te houden met de informatiebeveiliging binnen de veiligheidsregio zelf. Slordig omgaan met inlognamen en wachtwoorden, verspreiden van informatie via privémail of USB-sticks, printen van gevoelige documenten op onbeheerde printers. Het zijn enkele voorbeelden uit de dagelijkse praktijk die duiden op onvoldoende bewustzijn van het werken met gevoelige informatie. De veiligheidsregio’s dienen kortom – in gezamenlijkheid – adequate maatregelen te treffen, waarbij naast het invoeren van technische maatregelen vooral ook aandacht nodig is voor het verhogen van het bewustzijn van de betrokken medewerkers inzake informatieveiligheid. Ik nodig mijn collegabestuurders in de veiligheidsregio’s uit om deze handschoen op te pakken en hiermee aan de slag te gaan. Informatieveiligheid moet een zaak van iedereen binnen de veiligheidsregio worden.

Foto hielco kuiper

W

at zijn de gevolgen als er wordt ingebroken in systemen op de meldkamer? Wat als 112 langdurig onbereikbaar is omdat de telefooncentrale wordt verstoord? En als het Landelijk Crisismanagementsysteem LCMS niet meer werkt, omdat het internet ontoegankelijk is door een cyberaanval? Het zijn situaties die rampzalige gevolgen kunnen hebben in de veiligheidsregio. De veiligheidsregio’s bundelen hun krachten. Brandweer, politie, geneeskundige diensten en de gemeenten werken samen aan het verbeteren van de rampenbestrijding en crisisbeheersing in iedere regio, waarbij ook belangrijke partners worden betrokken. Hierbij maken veiligheidsregio’s in toenemende mate gebruik van landelijke ICT-voorzieningen. Die worden deels in de cloud aangeboden en maken flexibel gebruik mogelijk, waarbij het beheer efficient en kosteneffectief kan worden uitgevoerd. Deze centralisatie van voorzieningen bergt ook gevaar in zich. Een goed geplaatste cyberaanval kan meteen gevolgen hebben voor de dienstverlening in alle veiligheidsregio’s. Daarnaast kunnen de gevolgen van al dan niet bewust misbruik van toegangsgegevens groot zijn. Een veiligheidsregio is voor haar dagelijkse bedrijfsvoering steeds meer afhankelijk van voorzieningen als elektriciteit of vaste en mobiele telefonie. Maar voor goede uitoefening van haar taken is tegenwoordig ook vereist dat ondersteunende ICT-systemen zoals het geïntegreerd meldkamersysteem GMS en LCMS, goed blijven functioneren. Nu hoort het tot de kerntaak van een veiligheidsregio om voorbereid te zijn op onvoorzienbare en soms onwaarschijnlijke incidenten. Juist tijdens crises waar allerlei functies kunnen uitvallen, moeten veiligheidsregio’s als crisisorganisatie kunnen blijven doorfunctioneren. In navolging van de rijksoverheid zijn de veiligheidsregio’s daarom zogenaamde continuïteitsplannen aan het opstellen. De veiligheidsregio’s Twente en Zuid-Limburg nemen hierin enthousiast het voortouw. De plannen beschrijven hoe kan worden voorzien in de continuering van de bedrijfsvoering wanneer een veiligheidsregio te maken krijgt met uitval van elektriciteit of ICT. In deze plannen dient echter ook nadrukkelijk aandacht te worden besteed aan cyber security of informatieveiligheid.

Henri Lenferink is burgemeester van Leiden en portefeuillehouder informatievoorziening in het Veiligheidsberaad.

21

Focus

Volop initiatieVen om Veiligheidsbewustzijn te Vergroten

GevraaGd: iBewuste amBtenaar

E

r is altijd veel commotie als een werknemer een USBstick met vertrouwelijke gegevens laat slingeren. Vandaag de dag wordt een groot aantal apparaten naast elkaar gebruikt: laptop, smartphone, tablet en pc. Zo’n tablet is in feite een grote USBstick. Ook even de vakantiefoto’s van de zakelijke Blackberry downloaden op de thuiscomputer is niet zonder risico’s als diezelfde computer een poort naar internet en verouderde software heeft. En er zijn steeds meer ambtenaren die voor hun werk eigen apparatuur gebruiken (in jargon: Bring Your Own Device, BYOD). Met de huidige bedreigingen die via internet op de loer liggen, is dat riskant. Het is van belang ambtenaren erop te wijzen dat ze verantwoord omgaan met de middelen die ze tot hun beschikking krijgen en dat ze zich bewust josé lazeroms

techniek alleen is onvoldoende. in de online wereld waarin gebruikers 24/7 toegang tot gegevens hebben, lopen systemen permanent risico. Veel incidenten zijn toe te schrijven aan menselijke fouten. Bewustzijn van informatieveiligheid bij gebruikers is dan ook onmisbaar. rijks-cio maarten Hillenaar en josé lazeroms, lid van de raad van Bestuur van het uwV, beschrijven hoe zij ‘iBewuste’ medewerkers creëren.

moeten zijn van de gevaren die in de online wereld op de loer liggen, meent rijks-CIO Maarten Hillenaar. Voor de gebruikers van eigen apparaten mogen die eisen zelfs iets hoger liggen. Om een voorbeeld te noemen: ‘Bij phishing zie je dat er altijd wel medewerkers zijn die tóch op zo’n mailtje ingaan, doorklikken en zo kwaadaardige software (malware) binnen halen. Bij onze eigen rijks-managed devices is zoiets veel lastiger, want

die malware wordt direct geweigerd. We zijn niet tegen het gebruik van eigen apparatuur en we zijn voor thuiswerken, maar medewerkers moeten goed weten wat ze doen, wanneer ze bijvoorbeeld een app of andere software installeren.’ Handvat

Het ICT-beleid van de rijksoverheid heeft volgens de CIO Rijk veel aandacht voor ‘iBewustzijn’. In de eind 2011 door de ministerraad vastgestelde i-strategie is een van de zeven thema’s gewijd aan informatiebeveiliging. ‘We kijken inderdaad vooral naar de techniek, maar

‘iBewustzijn mag

Foto uwv

in elk functieprofiel’

22

het digibewustzijn wordt niet vergeten. In de i-strategie stellen we nadrukkelijk dat een ambtenaar zich meer dan ooit bewust moet zijn van de risico’s van het gebruik van digitale middelen. Wij zetten de techniek zo goed mogelijk in om apparaten en gegevens te beveiligen, maar we verwachten tegelijkertijd dat iedereen ook verstand heeft van een veilig gebruik daarvan.’ In de Baseline Informatiebeveiliging Rijk (BIR), het eind vorig jaar opgestelde unipm special oktober 2013

Handvat

Hillenaar constateert dat de rijksambtenaar zich steeds bewuster wordt van het belang van informatieveiligheid. ‘We doen daar veel aan. Op het DigiVent in november, dat we samen met de Taskforce BID organiseren, staat iBewust gedrag breed op het programma. We hebben een e-learning module ontwikkeld waarmee medewerkers zich kunnen trainen in iBewust worden: van het beveiligen van de flexwerkplek en het opslaan van gegevens op mobiele apparaten tot het zich bewust worden van digitale dreigingen als phishing en malware. Dat gaat juist over gedrag en niet over technologie.’ Van Hillenaar mag de eis van iBewustzijn in het functieprofiel van iedere ambtenaar staan. ‘Bij het afleggen van de eed belooft een ambtenaar verantwoord met papieren gegevens om te zullen gaan. Ik vind dat voor die belofte vandaag de dag automatisch de doorvertaling geldt naar de digitale wereld.’

Foto BZK

forme normenkader voor alle rijksdiensten, komen we het woord ‘bewustzijn’ slechts tweemaal tegen. ‘Misschien had dat iets vaker gemogen, maar vreemd is het niet,’ zegt Hillenaar. ‘De BIR is meer technisch ingestoken. We hebben de nationale en internationale normen voor informatiebeveiliging, waaronder de ISO 27001, vertaald naar de rijksdienst. Volgend jaar vinden er audits plaats, dat is belangrijk om de voortgang te peilen.’ rijks-Cio maarten hillenaar

de toename van het aantal klanten als gevolg van de crisis neemt het telefoonverkeer relatief gezien af. Bellers willen vooral weten waar hun uitkering blijft. De status daarvan kunnen ze voortaan op onze site met hun DigiD bijhouden.’ Het snel doorontwikkelen naar online

‘Het eVenwicHt tussen dienstBaarHeid en VeiligHeid is wankel’ dienstverlening wordt overigens ingegeven door de Haagse bezuinigingsdrift van 500 miljoen euro op het UWV-budget. In 2015 moet het aantal vestigingen van het UWV Werkbedrijf zijn teruggesnoeid naar dertig. ‘Daarmee wordt het aantal face-to-face contacten aanzienlijk beperkt,’ zegt Lazeroms. wasstraat

uwv

Bij het UWV is het mobiele werken nog geen gemeengoed, bewust vanwege de veiligheid. José Lazeroms, lid van de Raad van Bestuur met digitalisering in haar portefeuille, laat de kekke tablet met klein formaat toetsenbord op haar tafel zien, maar die draait mee in een proef in een superbeveiligde omgeving die alleen apps van de eigen UWV-store toelaat. ‘Tot nu toe hebben onze medewerkers alleen op kantoor toegang tot de backoffice-systemen met de klantgegevens. Ook worden er geen dossiers mee naar huis genomen,’ vertelt ze. Dat weerhoudt de uitkeringsinstantie er niet van om in recordtempo van internet haar hoofdcommunicatiekanaal te maken. Zo schrijft ruim negentig procent van de WW’ers zich digitaal in. Het vervolg van de dienstverlening is eveneens volledig gedigitaliseerd. ‘Ondanks pm special oktober 2013

veiligheid wisselt sterk. We kunnen veel van elkaar leren.’ Een van die lessen vormen de positieve verhalen die Lazeroms hoorde over het awareness-programma van CIP-deelnemer RDW. ‘We willen dit voorbeeld volgen wanneer we nog eind van dit

Cyberveiligheid is daarmee van het allerhoogste belang voor het UWV. Over de technische beveiliging kan Lazeroms niet te veel uitweiden. Wel spreekt ze trots over de ‘wasstraat’ die DDoS-aanvallen wegfiltert die vanaf besmette pc’s met een overkill aan dataverkeer computernetwerken lam kunnen leggen. ‘Bij leveranciers dringen we aan op veilige software. Het komt nog wel eens voor dat nieuwe versies toch weer al eerder aan licht gebrachte lekken bevatten. Dat kan dus niet.’ De aandacht voor veiligheid heeft een impuls gekregen met de oprichting van het Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. Met de drie collega-uitvoeringsorganisaties DUO, Belastingdienst en SVB en een reeks partners uit overheidsland worden kennis en ervaringen uitgewisseld. ‘Het kennisniveau van informatie-

jaar een eigen bewustzijnsprogramma starten. Je kunt wel van allerlei ICT-beveiliging inbouwen, maar veiligheid zit toch vooral in het gedrag van mensen zelf.’ Volgens Lazeroms is de gemiddelde UWV-medewerker zich onvoldoende bewust van de gevaren van internet. ‘Ik ben daar niet tevreden over.’ Het UWV organiseerde in het najaar van 2011 al een awareness-programma. Voor deze keer dringt Lazeroms erop aan dat het ICTbedrijf samen met de servicegerichte afdelingen een goed programma opstelt. ‘Ik hoef het management niet te vertellen hoe belangrijk het is dat klantgegevens veilig zijn, dat is zonneklaar. De medewerker die in aanraking komt met de klant, wordt echter in de verleiding gebracht om daar anders mee om te gaan. Er wordt regelmatig gecommuniceerd per e-mail. Daarin schuilt een risico, denk aan gevoelige gegevens als medische informatie. Maar ik kan moeilijk het e-mailverkeer afsluiten. Bij online dienstverlening hoort dat je het de klant zo makkelijk mogelijk maakt. Onze medewerkers zijn dienstgericht. Alleen het evenwicht tussen dienstbaarheid en veiligheid is wankel.’ Als het aan Lazeroms ligt, gaan alle 19 duizend medewerkers van het UWV het awarenessprogramma volgen. • PvdB 23

column

erik Gerritsen

Kind én Kinddossier blijvend veilig

B

ureau Jeugdzorg Amsterdam heeft als missie de veiligheid van kinderen te garanderen. ‘Ieder kind blijvend veilig’ is dan ook onze leus. Maar hoe veilig is het kind als het kinddossier niet veilig is? Dit is een vraag waar bestuurders zich druk over moeten maken. De jeugdzorg werkt immers met zeer vertrouwelijke gegevens over de situatie binnen gezinnen. Gelukkig geeft de wetgeving duidelijke kaders aan met wie we informatie over de gezinnen mogen delen en hoe dat dan in zijn werk gaat. Maar hoe gaan we om met de dossiers bij de transitie Jeugdzorg, de lopende overheveling van de hele jeugdzorg naar gemeenten, waarbij gelijktijdig een inhoudelijke vernieuwing moet plaatsvinden? Erik Gerritsen En wat betekent samenwerking in de keten straks dat gemeenten en ketenpartners zich aansluiten voor de toegang tot vertrouwelijke informatie over bij dit systeem, waardoor gegevens over de gezingezinnen? nen slechts eenmalig opgeslagen worden en bovenBinnen de transitie Jeugdzorg is de informadien veilig gedeeld kunnen worden. Prettig voor de tiehuishouding nog een onontgonnen gebied. Er cliënt en kostenbesparend voor de maatschappij! wordt gesproken van de overdracht van jeugdzorgDoor kennis te delen kunnen we betere zorg dossiers naar de gemeenten. Maar welke gegevens bieden. De gemeente kent de gezinnen als er sprake bedoelen we hiermee? Gaat het om het complete is van contacten met de sociale dienst, overlast op dossier met alle gevoelige informatie? Gaat het om straat of leerplichtproblemen. Een gezinsmanager zowel de afgesloten dossiers als de lopende dosvan Bureau Jeugdzorg siers? Er ligt nog geen kent het gezin van plan hoe dit proces op binnenuit en weet een veilige wijze kan ZORG VOOR KINDEREN BETEKENT waar de problemen gaan plaatsvinden, liggen, en maakt met terwijl het in 2015 volDUS OOK ZORGEN VOOR DE het gezin een plan van tooid moet zijn – en aanpak. Dit plan en dat is al zeer snel! VEILIGhEID VAN hUN GEGEVENS bijbehorende vertrouDaarbij is er nog welijke, privacygegeen beveiligde portal voelige gegevens worden in de systemen van Bureau waar gegevens over gezinnen op een veilige wijze Jeugdzorg opgeslagen. Natuurlijk zorgt Bureau gedeeld kunnen worden tussen de organisaties die Jeugdzorg goed voor deze gegevens. De regels van samenwerken voor het gezin. De organisaties zijn de Archiefwet gelden ook voor Bureau Jeugdzorg. weliswaar ketenpartners van elkaar, maar ze werEn met fysieke beveiliging en afgeschermde systeken nog allemaal in hun eigen systeem en bewaren men zijn de gegevens veilig bij Bureau Jeugdzorg. ieder voor zich de gegevens over het gezin. Het deZorg voor de veiligheid van kinderen betekent len van kennis en gegevens gebeurt gelukkig wel via dus ook zorgen voor de veiligheid van de gegevens een beveiligd netwerk, maar één portal voor profesvan de kinderen… Dat is een thema waar bestuursionals en voor cliënten maakt het voor de cliënten ders van gemeenten en de jeugdzorg zich meer mee en de professionals een stuk overzichtelijker. moeten bezighouden, nu en in de toekomst. Sinds dit jaar bouwen de Bureaus Jeugdzorg gezamenlijk aan een nieuw informatiesysteem voor Erik Gerritsen is bestuurder van Bureau Jeugdzorg de jeugdzorgprofessional. In de planning is ook Agglomeratie Amsterdam. een portal voor cliënten opgenomen. Onze wens is

24


UIT DE PRAKTIJK

VOORUITDENKEN ZIT BIJ BELASTINGDIENST IN DE KERNPROCESSEN

‘HACKERS ZIJN NIET HET GROOTSTE RISICO’

22


Hackers zijn niet de grootste bedreiging voor de informatieveiligheid van een overheidsorganisatie, je hebt nog honderd andere risico’s te managen, zegt Hans Blokpoel, algemeen directeur van de Belastingdienst. Zijn organisatie zet al jaren zwaar in op informatiebeveiliging. ‘Dankzij goede voorbereidingen lagen we er misschien een half uurtje uit door DDoS-aanvallen.’

voorbereiden op hackers’, aldus Blokpoel. ‘Natuurlijk, je moet je organisatie beveiligen tegen externe dreigingen: dankzij de extra filtercapaciteit die we hebben ingezet, hebben we er misschien een half uurtje uitgelegen door de DDoSaanvallen deze zomer.’

Foto Ministerie van Financiën

B

etrouwbare gegevens zijn voor de Belastingdienst van het hoogste belang. De organisatie investeert al jaren zwaar in informatiebeveiliging. De dienst was een van de founding fathers van DigiD en is nu weer nauw betrokken bij de ontwikkeling van het stelsel rond de elektronische identiteitskaart eID. Security experts van de uitvoeringsorganisatie zitten 24-7 patronen te analyseren, de top 150 van de Belastingdienst werd geschoold en getraind in sturen op informatieveiligheid en sinds enige tijd is er ook een Security Operations Center (SOC), een soort interne brandweer die uitrukt bij bedreigingen van de informatiesystemen. ‘We moeten wel, onze activiteiten zijn volkomen afhankelijk van de informatievoorziening en de veiligheid daarvan. Je kunt nou eenmaal geen belastingaangifte controleren zonder goede gegevens,’ reageert algemeen directeur Hans Blokpoel van de Belastingdienst. Het zijn volgens Blokpoel niet de hack-incidenten die het enige en grootste risico voor de informatieveiligheid vormen. ‘Daarnaast zijn er nog honderd andere risico’s waar je rekening mee moet houden en die misschien nog wel een grotere dreiging vormen,’ waarschuwt hij. Neem het risico voor de continuïteit van de gegevensstromen door een wetswijziging. 'Dat heeft een enorme impact op de informatiestromen en werkprocessen, die je allemaal opnieuw moet inregelen,’ aldus Blokpoel. Software-leveranciers voor administraties van belastingplichtigen moeten misschien hun pakketten aanpassen, die ook nog getest moeten worden en bekeken op onderlinge consistentie, vertelt hij. ‘Daarin zit een enorm risico, maar je kunt natuurlijk niet zeggen dat er geen wetswijzigingen meer mogen komen. Je kunt je er wel goed op voorbereiden.’ Het is een misvatting te denken dat informatiebeveiliging betekent ‘je goed

VAKMANSCHAP

Alertheid op informatieveiligheid was bij de Belastingdienst altijd al onderdeel van de kernprocessen. Blokpoel: ‘Ook met papier is de vaststelling van de authenticiteit van een document in een administratie iets wat veel expertise vergt. En als wij informatie van een belastingplichtige hadden in een fysiek dossier, moest je je zorgen maken over het kwijtraken van dat dossier bij bijvoorbeeld brand of verlies. Zo konden gegevens verloren gaan, of dreigde de privacy van belastingplichtigen geschaad te worden. In het digitale tijdperk gaat het om dezelfde zorgen maar zijn er hackers en DDoS-aanvallen, back-ups die verloren kunnen raken, het uitvallen van de stroom of een fout in een programma. De bedreigingen zijn anders, maar de taak is eigenlijk hetzelfde gebleven.’ De Belastingdienst heeft te maken met grote gegevensstromen en een complexe logistiek. ‘Zonder correcte gegevens weten we bijvoorbeeld niet wat er omgaat in de Rotterdamse haven of Schiphol,’ legt Blokpoel uit. ‘Onze organisatie is volkomen afhankelijk van massale gegevensstromen en het bedrijfsleven is weer afhankelijk van ons. Vandaar dat een zorgvuldige omgang met informatie on-

Hans Blokpoel

derdeel van het vakmanschap moet zijn.’ Was informatieveiligheid bij de Belastingdienst voorheen vooral het werk van experts, nu is het volgens Blokpoel tot in de haarvaten van de organisatie doorgedrongen. Informatieveiligheid gaat volgens hem vooral om ‘vooruitdenken’ en ‘voorkomen’. Blokpoel: ‘Als we iets moeten gaan herstellen, zijn we eigenlijk te laat. Je moet de calamiteit vóór proberen te zijn.’ Dat iedereen nu bijvoorbeeld met een smartphone loopt, hadden we vijftien jaar geleden niet kunnen voorzien, benadrukt Blokpoel. ‘Je moet je blijven aanpassen aan nieuwe risico’s, technieken en toepassingen om opgewassen te zijn tegen de ratrace tussen beveiligers en bedreigingen. Zoiets kun je niet alleen aan de experts overlaten, maar het vraagt ook voortdurende betrokkenheid van bestuurders.’ • CvdW 25

Focus

InformatIeveIlIgheId bInnen ICt-samenwerkIngsverbanden

De inhouD moet leiDenD zijn, niet De hiërarchie Hoe regel je een onderwerp als informatieveiligheid binnen een gemeenschappelijke beheerorganisatie, als de eigenaren daar zelf voor verantwoordelijk zijn? Directeur Michelle Fransen van GBO Provincies en CIO Ronald Mons van de Drechtsteden schetsen hun dilemma’s en hun oplossingen. ‘We kunnen niets verplichten, wel verleiden.’

D

e Drechtsteden is een samenwerkingsverband van de gemeenten Dordrecht, Zwijndrecht, Sliedrecht, Papendrecht, Alblasserdam en Hendrik-Ido-Ambacht. Samen hebben ze 267 duizend inwoners. Op een scala aan beleidsterreinen trekken de zes gemeenten samen op, van bedrijventerreinen, woningbouw en infrastructuur tot het beschermen van het milieu. In totaal werken zo’n 3300 medewerkers samen aan de regio. De bedrijfsvoering is in een shared-service centrum ondergebracht, wat jaarlijks een besparing oplevert. De integratie van ICT-systemen stelde de deelnemers in staat oude apparatuur en applicaties en ook beveiligingslekken te elimineren. Hun bedrijfsprocessen stemden ze op elkaar af en nieuwe initiatieven, zoals de Gemeentelijke basisadministratie persoonsgegegevens (GBA), pakten ze regionaal op. Gewerkt wordt aan verdere consolidatie van ICTsystemen, zoals de GBA’s van de zes gemeenten, wat naast kostenbesparing tevens de dienstverlening vanuit één Drechtstedelijk Klant Contact Centrum mogelijk maakt. Doordat gemeenten nu op elkaar terug kunnen vallen, is ook de continuïteit van de diensten beter geborgd. De samenwerking is op de Gemeenschappelijke Regeling Drechtsteden (GRD) gebaseerd. In de betreffende tekst wordt het onderwerp automatisering expliciet genoemd. ‘De beveiliging van de systemen, de “harde” ICT, kunnen we dan ook prima vanuit het samenwerkingsverband aansturen,’ legt chief information officer (CIO) Ronald Mons uit. ‘Zoiets is ook technisch relatief makkelijk te realiseren, van de identiteits- en toegangscontrole tot de computers en firewalls.’ De informatiebeveiliging, niet expliciet beschreven in de tekst van de GRD, laat zich minder gemakkelijk organiseren. Wettelijk gezien zijn de

26

deelnemende gemeenten zelf voor de beveiliging van hun gegevens verantwoordelijk. De ICT-systemen die gegevens bevatten, zoals de GBA en de BAG (Basisregistraties adressen en gebouwen), zijn met veiligheidsregels en -procedures omlijnd, waar de gemeenten elk apart regelmatig op worden geaudit. ‘Met deze wettelijke beperkingen worden we continu geconfronteerd. Met onze samenwerking lopen we tegen de grenzen van het Huis van Thorbecke aan, wat ons tevens verhindert een onderwerp als informatiebeveiliging goed te beleggen. Consolidatie van de GBA’s in één database is bijvoorbeeld wettelijk niet mogelijk en als we de backoffices zouden samenvoegen en de processen en systemen van de zes gemeenten zouden uniformeren, dan nog ondergaat elke gemeente apart een audit.’ Mons ziet wel bij gemeenten steeds meer het inzicht ontstaan dat de regie over informatieveiligheid beter op het niveau van het samenwerkingsverband kan liggen. ‘De rol van ICT wordt steeds groter. De belangrijkste vernieuwing verwachten we met ICT te bereiken. Daarmee wordt ook de noodzaak om gegevens te beveiligen door de deelnemende gemeenten breed onderkend. Zo hebben we ondanks de bezuinigingen ruimte gekregen voor een security-officer, die het onderwerp informatiebeveiliging alvast gaat invullen en regie gaat voeren op dit thema, ook al blijft de formele verantwoordelijkheid op lokaal niveau.’ De inhoud moet leidend zijn, niet de hiërarchie, meent Mons. ‘Van belang is dat we hier knopen door kunnen hakken. Afspraken over de “harde” ICT kunnen we afdwingen, maar formeel hebben we niets te zeggen over de wijze waarop gemeenten met hun gegevens omgaan, dus ook niet over de beveiliging ervan. We zetten nu voorzichtige stappen dat te veranderen. Tot die tijd kunnen we gemeenten niets verplichten, maar wel verleiden. We zagen bijvoorbeeld dat sommige gemeenten hun digitale vergaderstukken opsloegen met Dropbox. Dat is gemakkelijk, maar druist in tegen de privacywetgeving, die verbiedt datanetwerken te gebruiken die niet onder Nederlandse jurisdictie vallen. We bieden deze gemeenten daarom als proef een vergader-app aan die meteen alle bestuurlijke stukken voor de betreffende PM SPECIAL oktober 2013

Foto rob Kamminga

henk mirck, de regionale portefeuillehouder ICt, staat voor de datastorage van de drechtsteden

vergadering beschikbaar stelt, maar ze wel in ons eigen systeem laat staan. Zelfs de grote criticasters zijn op de app overgegaan.’ Provincies

Op het IPO-kantoor in Den Haag beschrijft directeur Michelle Fransen van GBO Provincies (de gemeenschappelijke beheerorganisatie) eenzelfde spanningsveld. De organisatie (12,5 fte) verzorgt sinds 2008 een groot aantal kernapplicaties voor de twaalf provincies, met name op het gebied van geo-informatie. Zoals het Landelijk Grondwater Register dat integraal voor zowel provincies als waterschappen de vergunningverlening van waterheffingen bevat. In totaal gaat het om een tiental keteninformatiesystemen, wat wil zeggen dat ze niet alleen door provincies, maar ook door rijksoverheid, waterschappen en gemeenten worden gebruikt. De functioneel beheerders van deze applicaties werken op detacheringsbasis voor GBO Provincies, naast hun reguliere werk voor de provincie waar ze in dienst zijn. Negentig procent van de applicaties die GBO Provincies in beheer heeft, worden door alle provincies gebruikt. Ook bij deze systemen spelen wettelijke aspecten mee. ‘Bij de dienst e-formulieren, waarmee burgers en bedrijven provinciale vergunningen aanvragen, moeten we bijvoorbeeld met de Wet bescherming persoonsgegevens rekening houden,’ zegt Fransen. ‘De provincies zijn autonoom. Wat ook wil zeggen dat ze zelf het niveau van beveiligingsmaatregelen bepalen en zelf verantwoordelijk zijn voor de informatiebeveiliging. Wat bovendien meespeelt,’ aldus Fransen, ‘is dat de provincies elk een verschillend niveau van volwassenheid kennen als het om ICT gaat. De ene provincie is verder dan de andere, wat met name samenhangt met de beschikbaarheid van middelen en mankracht.’ Fransen hoopt in 2014 een monitoringfunctie in te kunnen richten, wanPM SPECIAL oktober 2013

neer GBO Provincies in één grote uitvoeringsorganisatie opgaat. Het ‘verleiderschap’ van GBO Provincies ligt volgens Fransen in het gereedschap van de A&Kanalyse, oftewel de Afhankelijkheids- en Kwetsbaarheidsanalyse. Fransen: ‘Voordat we een applicatie in beheer nemen, stellen we een aantal acceptatiecrite-

‘WE kunnEn nIEtS vERPLICHtEn, WEL vERLEIDEn’ ria op. Gebruikers willen vaak een applicatie die 24/7 in de lucht is. Met de A&K-analyse brengen we een advies uit over wat het beveiligingsniveau van zo’n applicatie zou moeten zijn. Zo’n advies wordt altijd overgenomen. Provincies laten zich graag adviseren over de beveiligingseisen. Wij zijn op dat vlak deskundig, de beleidsafdelingen bij de provincie logischerwijs niet. Het is niet hun core business.’ De provincies kennen hun eigen Interprovinciale Baseline Informatiebeveiliging, een dynamisch document dat sinds 2010 de normen stelt voor een adequate beveiliging van gegevens. De informatiebeveiligers bij de twaalf provincies, verenigd in het Centraal Informatiebeveiligingsoverleg (CIBO), richten zich op het bijhouden van dit normenkader. GBO Provincies neemt deel aan dit overleg. De provincies zorgen voor het toewijzen van capaciteit en middelen die het CIBO nodig heeft om de baseline actueel te houden. ‘Onze twee security-officers zien toe op de implementatie van de maatregelen die de baseline suggereert,’ vertelt Fransen. Ook helpen ze bij het oplossen van veiligheidsincidenten. Fransen beschijft het CIBO als een levendig gezelschap. ‘De baseline voor informatiebeveiliging wordt breed ondersteund. Het is beslist geen papieren tijger.’ • PvdB 27

FOCUS

VIJF MYTHES OVER INFORMATIEVEILIGHEID

‘NIETS DOEN AAN BEVEILIGING KOST ALTIJD MEER’ 1

‘INFORMATIEVEILIGHEID IS VOORAL EEN KWESTIE VAN TECHNIEK’

Bij het waterschap draait veel om techniek, toch is het handelen van mensen het grootste risico, weet Sennema van Waterschap Aa en Maas. ‘Mensen maken fouten, uit onderzoek blijkt dat sommigen zonder blikken of blozen inloggegevens weggeven. Informatiebeveiliging vereist een cultuurverandering, niet slechts het invoeren van techniek.’ Burgemeester Weerwind van Velsen noemt informatieveiligheid ‘ook een kwestie van cultuur’. Directie, bestuur en ambtenaren: we zijn allemaal verantwoordelijk voor een veilige omgang met informatie, vertelt hij. ‘Als een willekeurige medewerker thuis inlogt op de e-mail van de gemeente en zijn pc niet goed beveiligt, heeft de hele organisatie een potentieel probleem.’ Gemeentesecretaris Irma Woestenberg van Den Bosch beaamt dit. ‘Je moet sloten op de spreekwoordelijke deuren van je organisatie plaatsen. Zoals je thuis risico’s loopt als je de deur niet op slot doet of de sleutels weggeeft, zo heb je ook een probleem met de ICT-beveiliging als mensen zich niet aan de regels houden. De zwakste schakel in informatiebeveiliging is de mens, doorgaans als gevolg van onwetendheid en achteloosheid.’

2

‘HET IS EEN PROBLEEM VAN DE ICT-AFDELING’

‘De ICT-afdeling speelt een belangrijke rol, maar je kunt anderen niet ontslaan van hun verantwoordelijkheden,’ vindt burgemeester Weerwind van Velsen. 28

Vooroordelen zitten soms in de weg om informatieveiligheid echt op orde te krijgen. Directeur Piet Sennema van Waterschap Aa en Maas, burgemeester Franc Weerwind van Velsen, gemeentesecretaris Irma Woestenberg van ’s-Hertogenbosch en rijksbeveiligingsambtenaar Arnoud van Petersen helpen vijf mythes de wereld uit.

ICT-ers zijn niet eindverantwoordelijk, het bestuur is dat. We moeten allemaal fatsoenlijk omgaan met gegevens, omdat burgers daarop moeten kunnen vertrouwen,’ zegt hij. Piet Sennema van Waterschap Aa en Maas is het daarmee eens. ‘Als er ergens een incident is met de beveiliging van een website of e-mail, bel ik de ICT-afdeling met de vraag of dit bij ons ook kan gebeuren. De directie is eindverantwoordelijk, de ICT-afdeling ondersteunt ons,’ stelt hij. ‘De drive om dit goed te regelen moet van de bestuurders komen en vervolgens moet het algemeen bestuur of de gemeenteraad erop toezien dat we het goed doen.’ Rijksbeveiligingsambtenaar Van Petersen wijst erop dat de ICT-afdeling net zo min eindverantwoordelijk is als de CIO. ‘De ICT-afdeling wordt geacht diensten te leveren die voldoen aan de kwaliteits- en veiligheidseisen die door de klant zijn gesteld. Rijksbreed pakken shared service organisaties (sso’s) dit steeds professioneler op. Zo willen we toewerken naar systemen waarmee de sso’s aan hun klantorganisaties aantonen dat ze voldoen aan de informatiebeveiligingseisen die voor hun diensten gelden zoals accreditatie- en certificeringssystemen voor ICT-diensten.’

3

‘DE CIO MOET DE ORGANISATIE VAN DE GEVAREN BEWUST MAKEN’

‘We hebben onlangs bij het waterschap afgesproken dat we iemand in de directie voor informatieveiligheid eindverantwoordelijk maken. Maar feitelijk deelt iedereen in de organisatie de verantwoordelijkheid voor dit onderwerp,’ vertelt Sennema. ‘Driehonderd van de vierhonderd werknemers loggen regelmatig thuis in op het systeem, dus je bent er niet met alleen een plannetje en een audit.’ ‘Het gaat de hele organisatie aan,’ voegt Woestenberg toe. ‘Informatieveiligheid gaat ook over medewerkers. Je moet spelregels hebben; mensen moeten wachtwoorden niet laten rondslingeren en anderen niet laten meekijken bij het inloggen. Het algemeen management moet ervan doordrongen zijn dat veiligheid belangrijk is voor de interne bedrijfsvoering en voor de omgang met vertrouwelijke gegevens van burgers. Het algemeen management moet zich ook bemoeien met de keuzes die je over veiligheid moet maken en dat niet alleen overlaten aan de CIO en techneuten. Vervolgens moeten ze ook zorgen voor bewustwording bij werknemers.’ ‘Het Rijk werkt al jaren met het uitgangspunt dat het lijnmanagement PM SPECIAL OKTOBER 2013

beeld Yvonne Kroese

FOCUS

verantwoordelijk is voor de beveiliging van de eigen informatie, processen en systemen,’ vertelt Van Petersen. ‘De SG is uiteindelijk eindverantwoordelijk voor informatiebeveiliging binnen het eigen departement. De lijn kan echter niet zelfstandig invulling geven aan de verantwoordelijkheid voor informatiebeveiliging. Het lijnmanagement dient hiervoor ondersteund te worden door partijen die kennis van zaken hebben en hun ook gericht advies kunnen geven, zodat zij optimaal invulling kunnen geven aan hun verantwoordelijkheid.’

4

‘SECURITYMAATREGELEN CONSUMEREN AL SNEL DE HELFT VAN HET ICTBUDGET’

‘Da’s echt onzin,’ reageert Woestenberg. ‘In ’s-Hertogenbosch geven we 10 tot 15 procent van ons technische budget uit aan beveiliging van ICT-systemen. De imagoschade voor de overheid als gevolg van Lektober vorig jaar is niet in geld uit te drukken. Bovendien kost te weinig beveiliging je ook geld als het misgaat. Wij hebben vorig jaar zomer te maken gehad met een DDoS-aanval. Om half zes ’s avonds vond de aanval plaats waarna we zo snel mogelijk alle systemen hebben uitgezet. De volgende ochtend was het probleem verholpen. PM SPECIAL OKTOBER 2013

Het heeft ons bewezen dat investeren in veiligheid en een calamiteitenplan zin heeft.’ Weerwind: ‘Er moet een evenwicht zijn tussen de beveiliging van gegevens en de transparantie die een overheidsorganisatie nastreeft. Een te stringente beveiliging zorgt voor een onwerkbare situatie voor de medewerkers. De financiële investering voor informatiebeveiliging is afhankelijk van het beveiligingsniveau, maar de helft van het ICT-budget is een veel te hoge schatting.’ Dat vindt ook Van Petersen. ‘Internationaal wordt aangenomen dat een professionele ICT-organisatie ongeveer 10 procent van het budget zou moeten besteden aan beveiliging. Voor het Rijk heb ik hier geen goede cijfers over, maar bij de enkele sso waar ik dit wel van weet, ligt het rond de 7 procent. Ik verwacht dat het percentage de komende jaren zal stijgen richting die ‘norm’ van 10 procent om alle dreigingen goed het hoofd te kunnen bieden.’

5

‘ER IS GEEN BUSINESSCASE TE MAKEN VOOR SECURITY’

Je kunt proberen dit te doen door de businesscase te baseren op je risicoanalyse, oppert Van Petersen. ‘Dit begint bij het in kaart brengen en beoordelen van je beveiligingsrisico’s. Het liefst zou je dit zo kwantitatief mogelijk willen

doen, maar dat blijkt vaak best lastig. Dat betekent nog niet dat je geen businesscase kunt maken voor bepaalde beveiligingsmaatregelen. Dat kan vaak prima. Je moet dan kijken naar het beveiligingsrendement dat bepaalde maatregelen oplevert. Ter illustratie: de inzet van antivirussoftware levert gemiddeld 50 procent minder virusbesmettingen op. Daardoor hoef ik als organisatie op jaarbasis bijvoorbeeld 1500 incidenten minder af te handelen waardoor ik vier fte 's minder hoef in te zetten. Daarmee zou ik als sso 400.000 euro per jaar minder uit hoeven geven en bovendien heb ik ook minder storingen en mogelijke schade bij mijn afnemers.’ ‘Elke organisatie kan in kaart brengen welke risico’s er zijn en welke wel of niet geaccepteerd kunnen worden,’ zegt Weerwind. Vervolgens richt je de beveiliging daarop in en zoek je uit hoeveel dat kost. Weerwind: ‘Veiligheid kan je wel degelijk in geld vangen. Al moet ik wel waarschuwen: 100 procent veiligheid bestaat niet, dat kan niemand garanderen.’ ‘Wij laten onze organisatie regelmatig hacken om te zien waar het systeem kwetsbaar is,’ vertelt Sennema. ‘Een hack kost een paar duizend euro. Beveiliging kost minder dan je denkt: ongeveer 5 tot 10 procent van het totale budget. Niets doen aan beveiliging kost altijd meer.’ • AK 29

INteRvIeW

KING-dIrecteur tof thIsseN pleIt voor GezameNlIjKe aaNpaK door GemeeNteN

wat betekent de decentralisatie van sociale taken voor de informatiehuishouding van gemeenten? meer dan ooit wordt beveiliging een integrale verantwoordelijkheid, zegt KIng-directeur tof thissen. ‘de keten is zo sterk als de zwakste schakel.’

V

olgens Tof Thissen, algemeen directeur van het Kwaliteitsinstituut Nederlandse Gemeenten (KING), is het de komende jaren dé uitdaging voor de 408 Nederlandse gemeenten om als meest nabije overheid de mensen beter, eerder en slimmer te helpen tegen minder kosten. Daarvoor dient de informatievoorziening goed op orde te zijn. ‘Burgers moeten weten waar ze terecht kunnen, gemeenten moeten weten binnen welke ketens ze functioneren en wat voor informatie ze op welk niveau kunnen ontsluiten. In hun eentje krijgen ze dat niet voor elkaar, dat moet in collectiviteit gebeuren.’ Deze zomer publiceerde KING in opdracht van de VNG de Verkenning Informatievoorziening Sociaal Domein. Daarin wordt gevraagd om een gezamenlijke aanpak voor de gegevensuitwisseling tussen gemeenten en uitvoerders. KING pleit voor een gedegen juridisch kader met ‘een helder afwegingskader over wat wel en niet is toegestaan ten behoeve van één gezin, één plan, één regisseur’. Thisssen: ‘Veell gemeenten zijn druk bezig met de

‘InformatIeveIlIgheId moet speerpunt worden voor de organIsatIe' decentralisaties aan de voorkant, Neem bijvoorbeeld de 875.000 personen die door het Centrum Indicatiestelling Zorg geïndiceerd zijn, die komen nu bij de gemeente terecht. Dat moet je ook ondersteunen met een slimme informatievoorziening aan de achterkant. Het is zaak dat de juiste mensen bij de juiste informatie kunnen.’ Informatieveiligheid blijft altijd een zorgenkindje, aldus de verkenning. Hoe verklaart u dat? ‘Het is een thema dat iedereen aangaat, maar het blijft vaak zweven als er kosten aan verbonden zijn. Dit herken ik nog wel uit mijn tijd als wethouder voor sociale zaken in Roermond. De bedragen die de burgemeester destijds noemde voor de digitalisering van de dienstverlening en ICT-beveiliging, vonden mijn collega’s en ik vaak hilarisch. Maar door de voortgaande 30

digitalisering van de overheid verdient informatiemanagement een prominentere plek op de agenda. Organisatorische en technische maatregelen zijn nodig om beschikbaarheid, vertrouwelijkheid en integriteit van informatie te waarborgen. Nu gemeenten meer uitvoeringstaken krijgen, komen er nog meer gegevens uit verschillende domeinen bijeen. Dit maakt dat beveiliging meer dan ooit een integrale verantwoordelijkheid is. Het moet een speerpunt zijn van de gemeentelijke organisatie.’

Foto KING

‘De juIste meNseN moeteN bIj De juIste INfoRmatIe KuNNeN’

KING-directeur tof thissen

Zijn bestuurders en ambtenaren zich voldoende bewust van informatieveiligheid? ‘Een gevoel van urgentie is noodzakelijk, de keten is zo sterk als de zwakste schakel. Ik zie dit besef groeien. De colleges van BenW krijgen er fors taken bij. Als deze informatievoorziening plat komt te liggen, heeft dat onherroepelijk consequenties voor de openbare orde en veiligheid. Vanuit de Informatiebeveiligheidsdienst voor gemeenten (IBD) helpen we gemeenten bij het preventief en structureel opbouwen van bewustzijn op het terrein van informatiebeveiliging. De IBD biedt gerichte projectmatige ondersteuning en kan worden ingeschakeld bij incidenten en crisissituaties. Ook brengen we het thema actief onder de aandacht van burgemeesters, wethouders en gemeentesecretarissen. Met de gemeenteraadsverkiezingen op komst is het goed na te denken over de plek die informatieveiligheid zou moeten krijgen binnen de nieuwe collegeprogramma’s.’ Welke stappen zijn noodzakelijk? ‘Professionals hebben toegang tot gegevens nodig, maar je moet er niet aan denken dat deze informatie in verkeerde handen valt. Daarom zijn er al een aantal afspraken gemaakt. Zo dient voor het einde van het jaar iedere gemeente een ICT-beveiligingsassessment voor DigiD af te ronden en aan te leveren bij Logius. We hebben het symbolische wc-raampje gedicht, maar er zijn nog tal van andere arrangementen nodig om de veiligheid van informatie te garanderen. Daarom kijken we continu wat gemeenten nodig hebben en waar draagvlak voor is. Door aan de achterkant te werken aan een generieke aanpak, kunnen we gemeenten ontzorgen. Ook de verkenning in het sociale domein werken we nu uit in samenspraak met een aantal gemeentelijke bestuurders. Dit voorstel zal besproken worden op de bijzondere algemene ledenvergadering van de VNG op 29 november.’ • RW pm speCIal oktober 2013

UIT DE PRAKTIJK

URKSE DATA VERHUIZEN NAAR DE CLOUD

‘DE CLOUD WORDT DE TOEKOMST’

U

rk stapt over op de cloud, omdat de conDe gemeente Urk stapt over naar de cloud. ‘Daar liggen de tinuïteit van de ICTgegevens veiliger opgeslagen dan wanneer we het zelf zouden dienstverlening steeds doen,’ zegt gemeentesecretaris Rien Bogerd. ingewikkelder en kwetsbaarder wordt, vertelt Rien Bode back-updata in Haarlem ook sneller legt uit dat er een dubbel digitaal schild gerd, gemeentesecretaris van Urk. Voor geholpen. Dit wordt de toekomst.’ omheen is gebouwd. Medewerkers van een kleine gemeente – het voormalige Het ministerie van Binnenlandse de gemeente moeten geautoriseerd zijn visserseiland in de Noordoostpolder Zaken stelt strenge eisen aan de cloudom langs zowel het eerste als het tweede heeft nog geen twintigduizend inwoopslag van (burger)gegevens. Bogerd schild te komen. Elke medewerker heeft ners en een kleine ambtelijke organisawijst op regels rond de Basisregistraties een persoonlijke code waarmee direct tie – wordt het steeds moeilijker om de adressen en gebouwen (BAG) en ontwikkelingen bij te houden. de Gemeentelijke BasisadminisUrk ging bij het bedrijfsleven tratie personen (GBA). ‘Die gegete rade. ‘Gelet op de kwetsbaar‘EEN DUBBEL DIGITAAL SCHILD vens zijn volgens protocollen van heid en de continuïteit van onze de rijksoverheid opgesteld en wij dienstverlening in de toekomst VERZEKERT DE VEILIGHEID’ voldoen daaraan.’ denken we een goede slag te slaan De continuïteit van de toemet applicaties en gegevens in de gang tot de gegevens is zekerder door ze te herleiden is wat zijn rechten zijn. Iecloud,’ zegt Bogerd. op te slaan bij PinkRoccade, zegt Bogerd. mand met toegangsrechten voor sociale De gemeente Urk ging in zee met ‘Stel dat in Aalsmeer alles stagneert, dan zaken mag niet automatisch ook in de ICT-concern PinkRoccade Local Goverschakelt het systeem over naar Haarlem. belastingdossiers. nment. Dat bedrijf levert digitale appliWij merken dat niet; de continuïteit is Bogerd: ‘Je moet je eerst aanmelden caties op verschillende overheidsterreiverzekerd.’ De toegangseisen zijn wel bij het buitenhek, maar dan ben je alleen nen, zoals onderwijs, sociale zaken en strenger geworden, vindt hij. ‘Dat moet binnen en nog niet bij de gegevens. Dan financiën. De data worden nu overgeook wel. Hier in huis kent de systeemstuit je op het volgende hek en moet je bracht van de eigen servers van Urk naar beheerder elke ambtenaar, daar niet. We aantonen of je geautoriseerd bent om bij die van PinkRoccade in Aalsmeer en – in hebben geconstateerd dat we nu zelf ook specifieke gegevens te komen. Vervolback-upvorm – naar Haarlem. Om wat veel meer aan autorisaties moeten doen.’ gens kom je bij de hekken voor sociale voor gegevens het gaat? Bogerd: ‘Alle be• RvdD zekerheid, het kadaster, de belastingen lastinggegevens bijvoorbeeld.’ enzovoort.’ De gemeente heeft de opslag van applicaties en gegevens weliswaar volledig Bedrijfszeker overgedragen aan PinkRoccade, maar Opslag in de cloud bij een publiek-priblijft zelf eigenaar van de gegevens. Ze vate onderneming is volgens Bogerd worden zowel fysiek als digitaal veilide toekomst voor vooral de kleinere geger bewaard dan voorheen op Urk, legt meenten. ‘Er zijn ook ontwikkelingen Bogerd uit. ‘Neem de back-ups die we dat kleine gemeenten samenwerken deden. Die sloegen we op tape op, elders met grotere centrumgemeenten in de op Urk. Eén keer in de week ging iemand regio. Maar ook al zet je je data bij een met die dingen onder de arm ernaartoe centrumgemeente neer, dan blijft de om het in de kluis te doen.’ kwetsbaarheid. Je zit in één omgeving Het complex in Aalsmeer kent en wordt daardoor afhankelijk. Door de strenge veiligheidseisen. ‘Als ik zelf in applicaties in de cloud te zetten houd je Aalsmeer aan de poort zou verschijnen, zelf de regie en de verantwoordelijkheid, kom ik er niet in,’ zegt de gemeentemaar ben je bedrijfszekerder, minder secretaris. Ook digitaal is het moeilijk kwetsbaar en als je moet uitwijken naar om bij de gegevens te komen. Bogerd

22


31

U P T O D AT E

LEARN EN SHARE MET

DE TASKFORCE BID INFORMATIEVEILIGHEID IS ESSENTIEEL! De digitalisering van overheidsdiensten biedt kansen, maar brengt ook maatschappelijke, politieke en organisatierisico’s met zich mee. Weet u welke risico’s uw organisatie loopt?

BLIJF OP DE HOOGTE van alle ins en outs rond informatieveiligheid en volg de Taskforce BID via www.twitter.com/TaskforceBID

Uw site en dienstverlening kunnen platliggen. Gevoelige gegevens uit een vergunning of aanvraag kunnen op straat komen te liggen. Heeft u erbij stilgestaan dat uw imago als bestuurder of topmanager schade kan oplopen wanneer informatie binnen uw organisatie niet veilig is? Dit leidt uiteindelijk ook tot verlies aan publiek vertrouwen. Het leeraanbod van de Taskforce BID laat u het belang van informatieveiligheid voelen. Daarnaast worden instrumenten aangereikt om te kunnen sturen op informatieveiligheid in uw organisatie.

TEST UW KENNIS met de online test om een beter beeld te krijgen van de verschillende aspecten van informatieveiligheid. Hoe kunt u daar Bestuur & Informatieveiligheid Dienstverlening

ZELF STUREN OP

Zelf stuur zetten op INFORMATIEVEILIGHEID? informatieveiligheid binnen DAT KAN! uw gemeente? Dat kan!

als bestuurder of topmanager op sturen?

VERKEN UW ROL in de confrontatieworkshop en ervaar het belang van een actieve rol van bestuur en management bij een incident. U leert de juiste stuurvragen te stellen.

BESCHERM UW PROCES In de procesworkshop ondervindt u hoe u via red en blue teaming kunt sturen op het aanscherpen van processen op informatieveiligheid. Verdedigt u of valt u aan?

Lever deze De tegoedbon bij ons in en uen kunt als gemeentesecretaris Taskforce Bestuur Informatieveiligheid kosteloos deelnemen aan éénzet vansamen de workshops Dienstverlening met tijdens de twee trainingsdagen die de Taskforce BID organiseert opuit vrijdag 1 en koepelorganisaties concrete acties binnen overheidslaag. Daar is een uitgebreid pakket maandag 4elke november a.s. aan instrumenten voor: workshops, stuurdagen, learn & share-bijeenkomsten, zelftest en simulatie. Bestuurders Tijdens de workshop krijgt u niet alleen en meertopmanagers inzicht, maar ook praktische

MEER WETEN?

handvatten zelf nog effectiever sturing te geven aangereikt aan informatieveiligheid. krijgenhoeconcrete instrumenten om Want…

informatieveiligheid binnen de eigen organisatie

Neem contact op via

te waarborgen en te verankeren. Kijk op onze

Taskforce BID

Vertrouwen, het komt te voet en gaat te paard

voor een In website de digitale wereld waarin we uitgebreid ons bevinden, zijnoverzicht. er ook voor uw gemeente

Wilhelmina van Pruisenweg 104

dagelijks dreigingen op het vlak van informatieveiligheid. Wat gebeurt er

2595 AN Den Haag

bijvoorbeeld als gevoelige informatie van uw gemeente op straat komt te liggen?

WWW.TASKFORCEBID.NL/PRODUCTEN

Of de digitale dienstverlening aan uw burgers niet meer mogelijk is? Naast

T 06 46 87 91 32

financiële en technische gevolgen kunnen deze gebeurtenissen ook uw imago als

E [email protected]

gemeente en als verantwoordelijke beïnvloeden. En zelfs leiden tot een verlies

W www.taskforcebid.nl

aan vertrouwen bij uw burgers. Wissel uw tegoedbon nu in Interesse? Neem dan contact op met Giulietta Marani via 06 - 183 078 66 of info@taskforcebid. Kijk voor meer informatie op www.taskforcebid.nl

INSPIRATIE HENK WESSELING/ TASKFORCE BID BEKIJK DE FILM

SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013 ZICHT OP VEILIG JOSÉ LAZEROMS RVB UWV HENK WESSELING TASKFORCE BID NCTV

Recommend Documents