SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013
ZICHT OP VEILIG DIGIVERKEER DIGI VERKEER
HENK WESSELING TASKFORCE BID
DICK SCHOOF NCTV
KEES JAN DE VET BESTUUR VNG
JOSÉ LAZEROMS RVB UWV
editorial
digibeWust
W
ordt informatieveiligheid het nieuwe management buzz-woord? Gezien de urgentie die het thema de afgelopen jaren gekregen heeft, mag ik het hopen. Het Pobelka-Botnet, de DDoS-aanvallen, Lektober, het Dorifel-virus en DigiNotar hebben in elk geval ook de overheid flink doen opschrikken. Met de digitalisering van overheidsdiensten bleek een cyberincident al snel een risico voor de continuïteit van de overheidsdienstverlening. Informatiebeveiliging is de nieuwe bananenschil waar je als bestuurder heel gemakkelijk over uitglijdt als je niet oplet. Tijd dus om te zorgen dat bestuurders en overheidsmanagers meer kennis en besef wordt bijgebracht van informatieveiligheid, oordeelde de Onderzoeksraad voor Veiligheid na het DigiNotar-incident. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) kreeg van Binnenlandse Zaken de schone taak de missie te leiden. Belangrijk in het programma dat het afgelopen jaar vorm kreeg, is de boodschap dat informatiebeveiliging een onderwerp is voor de bestuurstafel – en, zoals bestuurlijk hoofd Henk Wesseling en manager Douwe Leguit van de Taskforce BID in deze special benadrukken, niet langer aan ‘de jongens van de ICT’ alleen kan worden overlaten. In dit magazine, dat in opdracht van de Taskforce BID werd gemaakt, laten we zien wat sturen op informatieveiligheid inhoudt en wat nodig is om het onderwerp goed verankerd te krijgen in de organisatie. Lees op pagina 6-7 hoe de verschillende overheidslagen de informatieveiligheid op orde proberen te krijgen door bijvoorbeeld afspraken te maken over minimumeisen die als basis moeten dienen voor een planning- en controlecyclus. Kijk wat samenwerking op kan leveren in een ICT-samenwerkingsverband zoals de Drechtsteden kennen (p. 26-27) en in de loonaangifteketen (p. 16-19), die tegenwoordig zelfs een eigen ketenmanager heeft. Ook de verhalen uit de praktijk beveel ik van harte aan, bijvoorbeeld van de gemeente Urk, die overstapte naar de cloud. Veel is op de rit gezet, maar de overheid is er nog niet. Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof beschrijft op pagina 9 hoe overheden op de rollercoaster van zich vermenigvuldigende cyber-risico’s de toenemende versnelling van ontwikkelingen maar nauwelijks kunnen bijbenen. Schoof bespeurt dat een aantal overheidsorganisaties zich inmiddels ontwikkeld heeft van ‘onbewust’ tot ‘bewust’. Het predikaat ‘bekwaam’ in informatieveiligheid kan hij nog niet uitdelen. Wat is nodig voor een volgende stap? De Delftse hoogleraar Michel van Eeten verwacht veel van het organiseren van aansprakelijkheid. ‘Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen,’ zegt hij. Of een afrekencultuur beter werkt dan de weg van zelfregulering die nu gekozen is, staat de komende tijd te bezien. Laten we eerst maar eens afwachten of informatieveiligheid voor voldoende buzz zorgt in de campagnes voor de gemeenteraadsverkiezingen.
Chris van de Wetering Hoofdredacteur Specials
deze special is een uitgave van sdu uitgevers redactieadres
drukkerij Senefelder Misset, Doetinchem
Postbus 20025, 2500 EA Den Haag
Verschijning Deze PM-Special verschijnt eenmalig als bijlage
Tel. 070 – 378 07 30
bij inGovernment, PM Public Mission, SC, VNG Magazine en het
www.pm.nl |
[email protected]
Waterschap, in een oplage van 50.200 exemplaren
Hoofdredacteur Chris van de Wetering
Deze special is mede mogelijk gemaakt door de Taskforce Bestuur
Medewerkers aan deze special Pieter van den Brand, Rutger van den
en Informatieveiligheid Dienstverlening, welke in opdracht van het
Dikkenberg, Ana Karadarevic, Yvonne Kroese (illustraties), Ed Lute,
ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt en als
Arenda Oomen (fotografie), Richard Sandee, Fred Teunissen, Maurits
programma is ondergebracht bij ICTU.
van den Toorn en Rianne Waterval Vormgeving Jan Heijnen - www.janheijnen.com uitgever Roel Langelaar salesmanager Asha Narain
2
Niets uit deze uitgave mag worden overgenomen in welke vorm dan ook zonder schriftelijke toestemming van de uitgever. De uitgever kan op generlei wijze aansprakelijk worden gesteld voor eventueel geleden schade door foutieve vermelding in het blad. © 2013 Sdu Uitgevers
PM SPECIALoktober 2013
iNHoud
8 ratrace tegen bedreigingen De visie van Henk Wesseling, Dick Schoof, Michel van Eeten en
ben de diverse overheden al op de rit gekregen?
tKees Janckhisade Vet ministerie op de digitale weerbaarheid van de overheid t van financiën
st
kam koo er va pha n nde l
belastingdienst bel
asti
ngd
ien
intensief toezicht
bericht voor belasting dienst
aa
lak pelv kop ulier form
ont buffvange n adr eren e dist ssere n ribu ere n
s
ld ge
6 overheden op weg naar informatieveiligheid Hoe Nieuwegein DigiNotar-incident wist te managen; wat heb-
-
lak pelv kop ulier form
bericht voor uwv
aa
Corng ift darectie?e
Corng ift darectie?e
ta
bericht voor belasting dienst
loket belastingsdienst
ta
uwv bericht voor uwv
bijzondere premie taken
loket uwv
Unit aa
Corng ift darectie?e
koppelvlak
ta
ld
ge
loo gege
signaal nieuwe inschrijving of mutatie
handelsregister
werkgeversadministratie U bent inhoudingsplichtige, dus...
centrale ontvangersadministratie
heffingsadministratie voorcontrole
genereren beschikking aanslag of beschikking met evt. boete
aanmaken correctieverplichting
signaal
correctie verplichting
polisadministratie verzekerings bericht
herstelverzoek
werknemersgegevens
voorcontrole
claim
cv, vof of eenmansza
ak
bv, nv of and
ers
80
loonaangifte* inclusief data per werknemer
milj
ard
verplicht correctiebericht
correctie loondata
klant
werkgever/inhoudingsplichtige
correctie loondata
gevraagd of spontaan
werknemer/verzekerde per tijdvak (maand of vier weken)
14 'omslag in denken is nodig'
16 Facts & figures
DG Gert Jan Buitendijk vindt dat de digitalisering niet ten koste
Loonaangifteketen toont complexe opgave
mag gaan van de betrouwbaarheid van publieke dienstverlening
4
taskforce zet in op bestuurlijke awareness
en verder:
Douwe Leguit van de Taskforce BID over de missie
12
goede hacker komt makkelijk binnen Hans Goedhart bepleit eigen verantwoordelijkheid
13
Herbestem gelden voor de digitale snelweg! Sociale Verzekeringsbank bezorgd over financiering
18
Ketensamenwerking vergt soft skills Nieuwe managementtools voor loonaangifteketen
22
20 21 24 25 26 28 30 31 32
uit de praktijk van de gemeente utrecht Column Henri lenferink Column erik gerritsen uit de praktijk van de belastingdienst iCt-samenwerkingsverbanden doorgelicht Vijf security mythes ontraadseld interview Kingdirecteur tof thissen uit de praktijk van de gemeente urk up to date
gevraagd: ibewuste ambtenaar Maarten Hillenaar werkt aan het rijksdigibewustzijn
PM SPECIAL oktober 2013
3
O u p d at e
Taskforce zeT in op bewusTwording bij alle overheidslagen
InfOrmatIeVeIlIgheId VereIst OVerheIdsbrede aanpak
‘Door inciDenten als De recente DDos-aanvallen is De nooDzaak eviDent’ nisatie en haar diensten te waarborgen. Dat is niet iets om er even bij te doen, het is een wezenlijk onderdeel dat het primaire proces van een organisatie direct raakt. Om te bereiken dat dit overheidsbreed wordt opgepakt, werkt de Taskforce BID nauw samen met de koepels van waterschappen, provincies, gemeenten, rijksoverheid en zbo’s. Daarnaast is er een directe link met de partijen die een actieve rol hebben op dit thema zoals het Nationaal Cyber Security Centrum (NCSC), de Informatiebeveiligheidsdienst voor 4
‘Het is niet de vraag of, maar wanneer iemand gehackt gaat worden. Je moet weten wat je dan gaat doen,’ stelt Douwe leguit, manager van de taskforce Bestuur en informatieveiligheid Dienstverlening (BiD). ‘alle risico’s afvangen kan niet. Het moet wel duidelijk zijn dat je je verantwoordelijkheid hebt genomen. De burger kan geen andere overheid kiezen.’
gemeenten (IBD) en het Centrum Inforeerder werkzaam was, is toch gekozen matiebeveiliging en Privacybescherming voor een aparte taskforce. Hij legt uit (CIP). ‘De Taskforce BID is opgezet als een waarom: ‘In de eerste plaats staan wij interbestuurlijk programma met mensen bewust los van het reguliere werk om uit de diverse overheidslagen. We invenhet noodzakelijke momentum te kuntariseren samen met een interbestuurlijnen benutten. Vanuit het reguliere werk ke werkgroep waar alle belanghebbenden is het in de praktijk veel lastiger om een in zitten, wat er op het gebied van infordergelijk dossier vlot te trekken. In de matieveiligheid nog ontbreekt en wat er tweede plaats zijn er inderdaad veel partoegevoegd moet worden,’ Douwe Leguit vertelt Douwe Leguit, manager van de Taskforce BID. ‘Is bekend wat de belangen en risico’s zijn? Is altijd duidelijk wie waarvoor verantwoordelijk is? Hoe kunnen we de kwaliteit verbeteren zonder direct de regeldruk te verhogen? Het doel is uiteindelijk een sluitende en gedragen aanpak, waarbij we voorzien in de noodzakelijke onderzoeken, opleidingen en handreikingen. Omdat er sprake is van zelfregulering ligt de uitvoering vervolgens bij de organisaties zelf.’ Verankeren
Hoewel er al veel organisaties zijn die zich met informatieveiligheid bezighouden, zoals het NCSC waar Leguit
foto arenda Oomen
B
egin dit jaar heeft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de Taskforce BID opgezet om het onderwerp informatieveiligheid op de agenda te krijgen bij bestuurders en topmanagers van overheidsorganisaties. Informatieveiligheid gaat niet om technische beveiligingsmaatregelen alleen. De maatschappelijke en politieke risico's vragen om een bredere oriëntatie. Informatieveiligheid wil zeggen dat organisaties informatie op de juiste manier opslaan, verwerken, beheren en gebruiken, maar vooral ook kijken naar de noodzakelijke (organisatorische) randvoorwaarden om in brede zin de continuïteit van de orga-
Veld In kaart aIVd
Algemene Inlichtingen- en
enCs
veiligheidsdienst aCm
Autoriteit Consument en Markt
at
Agentschap Telecom
Cbp
College Bescherming Centrum Informatiebeveiliging
Team van het ministerie van
nCtV
Platform voor de Informatie Samenleving
tijen betrokken bij het onderwerp; die hebben elk een verschillende en eigenstandige verantwoordelijkheid. Omdat we voor alle overheidslagen werken, hebben we als Taskforce BID enige distantie en daarmee een neutralere rol. Dit biedt ons de positie om als intermediair op te kunnen treden en zo de noodzakelijke verbinding te realiseren tussen de verschillende organisaties.’ De Taskforce BID kan en zal geen zaken dwingend opleggen, het streven is om in nauwe samenwerking alle overheidsorganisaties tot ‘verplichtende zelfregulering’ te brengen. ‘Je kunt wel van alles opleggen, maar uit de affaire DigiNotar hebben we geleerd dat normen en audits alleen niet voldoende zijn om de veiligheid te waarborgen,’ verklaart Leguit de werkwijze. ‘Het gaat er juist om dat het bestuur, het management en de medewerkers van een organisatie hun verantwoordelijkheid nemen. Dat bereik je het beste door zelfregulering. Daar zetten wij dan ook vol op in en de gesprekken daarover lopen binnen alle overheidslagen. Dit proces kan ertoe leiden dat we aan het eind van het traject, in samenspraak met de koepelorganisaties, bepaalde zaken wél dwingend willen opleggen. Momenteel verkent minister Plasterk welke wet- en regelgeving mogelijk ondersteunend kan zijn en welke wetgeving ingezet zou moeten worden als het via de Taskforce BID niet lukt om informatieveiligheid te verankeren.’ Dat laatste is de essentie. Informatieveiligheid is namelijk meer dan alleen techniek, het onderwerp moet niet beperkt blijven tot de ‘jongens van de ICT-afdeling’. Het gaat veeleer om de structuur en de verantwoordelijkheidsverdeling binnen organisaties. ‘Wij proberen juist weg te sturen van de techniek en duidelijk te maken dat het bij informatieveiligheid ook gaat om de organisatorische vraagstukken,’ aldus Leguit. ‘Het management en de medewerkers moeten gaan beseffen dat het thema PM sPecial okTober 2013
Nationaal Coördinator Terrorismebestrijding en Veiligheid
nfI
Nederlands Forensisch Instituut
pvIb
Platform voor
Defensie eCp
Nationaal Cyber Security Centrum
Cyber Security Raad
defCert Computer Emergency Response
Informatiebeveiligingsdienst voor gemeenten
nCsC
en Privacybescherming Csr
u p d at e
Cyber Security Ibd
Persoonsgegevens CIp
European Network for
Informatiebeveiligers thtC
Team High Tech Crime van de Nationale Recherche
in de hele organisatie een plaats moet hebben. Bovendien werken overheidsorganisaties steeds meer in ketens en netwerken met elkaar samen. Dat betekent dat je er niet alleen voor moet zorgen dat je eigen tuintje op orde is, maar je je realiseert dat ook de tuin van de buurman van belang is, omdat wat daar gebeurt gevolgen voor jou kan hebben. Informatiesystemen overschrijden immers vaak organisatiegrenzen en organisaties zijn daarmee afhankelijk van elkaar.’ Meer veiligheid en meer waarborgen klinkt alsof er allerlei belemmeringen worden opgeworpen. ‘Het tegendeel is juist waar,’ stelt Leguit. ‘Een goede informatieveiligheid kan meer flexibiliteit en meer mogelijkheden bieden om de vruchten van de digitalisering te plukken. Als je je zaakjes goed hebt geregeld, heb je bijvoorbeeld meer mogelijkheden tot flexibel werken, wat ten goede komt aan de kwaliteit van de dienstverlening. En als je dit als organisatie nu structureel oppakt, voorkom je problemen bij de grote veranderingen waar de overheid voor staat, zoals de decentralisaties.’ De Taskforce BID heeft twee jaar de tijd om in samenwerking met de koepels van gemeenten, provincies, waterschappen, rijksoverheid en zbo’s te komen tot verplichtende zelfregulering per overheidslaag. Dat gebeurt door bestuurders te leren verantwoordelijkheid voor het onderwerp te nemen en door met handreikingen te komen: welke stuurvragen moet je stellen, hoe richt je je control in, hoe met de audits om te gaan, enzovoort. Om de werklast te beperken wordt gekeken of het concept van single information single audit (SISA) – het systeem dat de rijksoverheid hanteert voor de verantwoording van specifieke uitkeringen – hierbij ook mogelijk is. Dit zou de informatieverstrekking aanzienlijk beperken. De Taskforce BID richt zich op de verschillende overheidsorganisaties van de rijksoverheid, gemeenten, provincies en waterschappen en de zbo’s. Daarbij wordt
vooral ingezet op de olievlekwerking: het ondersteunen van de voortrekkers, zodat deze hun ervaringen kunnen delen en de overige organisaties mee kunnen nemen in hun kielzog. Leguit: ‘Door incidenten als de recente DDoS-aanvallen is de noodzaak evident en hebben we de wind mee. Daardoor kunnen we nú dit dossier oppakken, maar we moeten zorgen dat de aandacht ervoor blijft bestaan als de wind weer gaat liggen. Het is zaak dat het onderwerp een vaste plek krijgt aan de bestuurstafel en in de jaarlijkse cyclus van een organisatie. Daarmee wordt het business as usual en eigenlijk is dat onze voornaamste doelstelling.’ • mvdt
nIeuwe regels De Europese privacyverordening zal op korte termijn omvangrijke privacyregelgeving met zich mee brengen. Van belang is met name de meldplicht datalekken die hieruit voortkomt. Deze meldplicht komt overeen met de reeds in Nederland bij wet voorgestelde meldplicht. De Europese privacyverordening zal waarschijnlijk voor de verkiezingen van het Europees Parlement in mei 2014 worden aangenomen en treedt dan twee jaar later in werking. De Nederlandse meldplicht zal vermoedelijk al iets eerder van kracht zijn. Medio 2013 is er een Nederlands wetsvoorstel voor een meldplicht cyberincidenten gedaan. Volgens die wet moeten vitale sectoren melding maken van ICT-inbreuken aan het Nationaal Cyber Security Centrum. Ook de Europese Netwerk en Informatie Beveiliging (NIB) Richtlijn komt met meldplicht met betrekking tot ICT-incidenten. Deze meldplicht wijkt af van de Nederlandse. Over de NIB Richtlijn wordt momenteel nog onderhandeld. Volgens de aanhangige Nederlandse wetgeving moeten ICT-inbreuken waarbij ook persoonsgegevens zijn gecompromitteerd in de toekomst gemeld worden aan zowel het NCSC als het CBP. Wanneer er sprake is van een ICT-inbreuk bij een certificaatdienstverlener van gekwalificeerde certificaten (certificaten die rechtsgeldigheid aanduiden) moet die dienstverlener volgens aankomende wetgeving
melding
van de inbreuk maken aan de Autoriteit Consument en Markt, het NCSC en het CBP alls daarbij tevens persoonsgegevens gecompromitteerd worden.
5
G overheden op weG
Koepels paKKen het onderwerp informatieveiligheid op
InformatIeveIlIGheId Is ook een kwestIe van
GedraG
Hoe pakken de verschillende overheidslagen het onderwerp informatieveiligheid op? Vijf bestuurders en topambtenaren schetsen hoe hun koepels én hun eigen organisatie omgaan met informatieveiligheid.
‘I
edereen denkt bij informatieveiligheid dat het alleen maar over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat, ook bij de provincies. Denk eens aan op afstand bediende bruggen en verkeerslichten, aan sluizen en tunnels. Dat zit allemaal tjokvol ICT, als daar iets verkeerd mee gaat staat het verkeer in de halve provincie vast,’ stelt Gea van Craaikamp, algemeen directeur en provincieGea van Craaikamp Ric de Rooij secretaris van de provincie Noord-Holland. SZW. Hij is voorzitter van de Subcommissie InformatieDe provincies hebben met minister Plasterk afspraken gebeveiliging en Privacy (SIB) van de Interdepartementale maakt over maatregelen op het gebied van informatieveiligCommissie Chief Information Officers (ICCIO). Daarin zitheid. ‘Daar gaan we uiteraard aan voldoen, maar de provincies ten de elf CIO’s van de departementen, die onder leiding van zijn zelfstandig democratisch gelegitimeerde organisaties, de rijks-CIO Maarten Hillenaar de informatievoorziening en geen uitvoeringskantoor van het Rijk. Zelfregulering betekent het ICT-beleid van de rijksdienst coördineren en afstemmen. dan ook dat iedereen het in zijn eigen tempo en op zijn eigen ‘Twee ontwikkelingen kwamen eigenlijk samen, waardoor het manier doet. Dat wil niet zeggen dat we twaalf keer alles opRijk slagkracht kon ontwikkelen,’ vertelt De Rooij. ‘De awareness nieuw gaan bedenken, we overleggen in IPO-verband over één groeide, maar vanwege de bezuinigingen moesten we ook meer standaard en één rapportagemodel. samen gaan doen.’ Het Rijk kreeg gemeenschappelijke ICT-orVan Craaikamp waarschuwt dat aandacht voor de techniek ganisaties en stelde een rijksbrede i-strategie op. In 2012 kwam alleen onvoldoende is. ‘Voor een goede informatieveiligheid het ICCIO met de Baseline Informatiebeveiliging Rijksdienst zijn hard controls nodig, maar minstens zo belangrijk is het (BIR), een instrument waarmee gemeten kan worden of de orgedrag van de medewerkers, hoe gaan ze met de stukken om ganisatie in control is op het gebied van informatiebeveiliging. en met sociale media. Ze moeten zich ervan bewust zijn dat de Wat zou helpen om meters te maken, aldus De Rooij, is de provincie weliswaar een transparante organisatie is, maar dat komst van een overheids-CIO; ‘een functionaris die dedicated bepaalde informatie vertrouwelijk is en dat niet iedereen altijd binnen de overheid, inclusief de zbo’s, informatietechnologigoede bedoelingen heeft. Als je dit aspect niet op orde hebt, sche ontwikkelingen, waaronder informatieveiligheid, propakun je systemen beveiligen zoveel je wilt, maar dan is er desongeert. Een soort deltacommissaris die boven de partijen staat, danks geen sprake van informatieveiligheid.’ ook boven de rijks-CIO’. Een overheids-CIO zou beter kunnen Informatieveiligheid kwam bij het Rijk ruim voor inspelen op kwetsbaarheden. ‘Door de onderlinge verbondenDigiNotar al in beeld. Incidenten rond vermiste USB-sticks heid in ketens is een overheidsonderdeel nu zo sterk als de die Defensie in 2007 in verlegenheid brachten, voedden de zwakste schakel. Het UWV kan zijn zaken nog zo op orde hebsense of urgency. ‘We zagen ook dat de departementale webben, maar blijft afhankelijk van de beleidspartner die dat niet sites flink werden aangevallen, waardoor we ons bewust heeft.’ De overheids-CIO zou volgens De Rooij ‘veel geld kunwerden van onze kwetsbaarheid,’ zegt pSG Ric de Rooij van
6
PM SPECIAL oKtober 2013
overheden op weG
nen besparen’ als hij zich net als de rijks-CIO bezig zou kunnen houden met aanbodsturing, zodat overheden meer samen optrekken bij de aanschaf van IT-systemen. Het UWV heeft vorig jaar samen met andere leden van de Manifestgroep het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgezet. Het doel van dit kenniscentrum is het weerbaarheids-, herstel- en leervermogen van zelfstandige bestuursorganen te versterken door expertise te bundelen. ‘Waarom zou iedereen zelf het wiel gaan uitvinden?’ stelt algemeen directeur van de RDW Johan Hakkenberg, die ook voorzitter van de Manifestgroep is. ‘Informatieveiligheid begint met bepalen wie de eigenaar van een systeem is,’ stelt Gert Maneschijn, corporate security officer bij de RDW. Er zijn vier vaste stappen bij de invoering van een nieuw ICT-systeem. ‘We beginnen met te bepalen wie er de eigenaar van is: wie is aanspreekbaar, wie moet er wakker van liggen als het misgaat? De tweede stap is classificeren hoe
Johan Hakkenberg
Frans Backhuijs
bedrijfskritisch het systeem is, en dus hoe betrouwbaar het moet functioneren. Een derde stap is kijken of de baseline voor alle ICT-systemen voldoende is of dat er extra maatregelen nodig zijn. De vierde stap is een extra risicoanalyse voor kritische systemen: wat zijn de risico’s, hoe groot is de kans dat het misgaat, hoe erg is het als het misgaat?’ Hakkenberg vult aan: ‘Eigenlijk is er nog een stap voor je begint: inventariseren wat je al aan systemen in huis hebt, want dat levert soms verrassende resultaten op. En ook een opruimkalender is van belang, wat je niet meer gebruikt moet je ook echt verwijderen.’ Sinds begin dit jaar heeft de RDW het ISO 27001-certificaat voor informatiebeveiliging. Maneschijn is er trots op: ‘Er zijn nog maar een paar overheidsorganisaties die dit hebben. Het bevestigt dat we bewust met informatieveiligheid omgaan.’ Frans Backhuijs is voorzitter van de subcommissie Gemeentelijke Dienstverlening en Informatiebeleid van de VNG en burgemeester van Nieuwegein, een van de gemeenten die getroffen werd door de problemen van DigiNotar twee jaar geleden. ‘Nagenoeg al onze producten hadden DigiNotar-certificaten. Enkele diensten waren zelfs weken niet online beschikbaar,’ vertelt Backhuijs. De veiligheidscertificaten van bijna alle zestig online diensten moesten worden vervangen. ‘Gelukkig was digitale dienstverlening nog niet zo ingeburgerd; we hadden de balies nog.’ PM SPECIAL oKtober 2013
DigiNotar was een bruuske wake-up call. In Nieuwegein kwam de Nota informatiebeveiliging daarna prompt op de bestuursagenda en door DigiNotar en Lektober gingen gemeenten hun kennis bundelen. Er kwam een gemeentelijk kenniscentrum voor informatieveiligheid, de Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Nu de urgentie zo voelbaar was, werd er op de algemene ledenvergadering van de VNG ook vrij gemakkelijk ingestemd met de financiering van de IBD uit het Gemeentefonds,’ zegt Backhuijs. Nu kan bij incidenten gemakkelijk opgeschaald worden. Als een gemeente een incident meldt, worden andere gemeenten ingeseind; de IBD kan ook hulp bieden bij oplossing van het probleem. ‘Anticiperen op veiligheidsrisico’s is echt iets voor de waterschappen, daarom zijn ze ooit ontstaan,’ vertelt Hans Oosters, dijkgraaf van het Hoogheemraadschap Schieland en Krimpenerwaard en sinds kort bestuurslid van de Unie van Waterschappen met informatieveiligheid in zijn portefeuille.
Hans Oosters
‘De automatisering heeft bij de waterschappen al een enorme vlucht genomen, denk aan gemalen en afvalwaterzuiveringen die volledig op afstand worden bestuurd door middel van ICTtoepassingen.’ Vanwege dat belang heeft de Unie van Waterschappen onderzoek laten doen naar omgang van de Waterschappen met informatieveiligheid. ‘Het bleek dat dit overal een issue was, en we konden zien wat er al aan maatregelen was genomen. Op basis van de uitkomsten van dat onderzoek hebben we een programmaplan gemaakt waarmee we invulling geven aan de verplichtende zelfregulering.’ Oosters vindt die zelfregulering van groot belang: ‘Organisaties zijn alerter als ze het zelf moeten doen, dat is veel effectiever dan wetgeving vanuit het Rijk.’ Er is al een baseline die nu wordt geïmplementeerd en elk waterschap stelt op basis van het programmaplan een eigen plan op voor het aanpakken van informatieveiligheid. Het wordt onderdeel van de planning- en controlcyclus en er komen elk jaar audits. Dat gaat met een getrapt systeem dat steeds strenger wordt: over twee jaar komt er een peer review door collega-waterschappen en het jaar daarna volgt er een externe audit. Oosters benadrukt aan het eind van het gesprek nogmaals het belang van informatieveiligheid, maar voegt er een oproep aan toe: ‘Laat het geen belemmering worden om door te gaan met automatisering.’ • mvdt en Cvdw 7
Vier Visies op de toekomst Van onze informatieVeiligheid
Digitale weerbaarheiD vergt breDe Samenwerking De overheid digitaliseert en informatieketens worden complexer. Data en applicaties verhuizen in hoog tempo naar de cloud en verlaten dan soms hun oude, vertrouwde behuizingen. Mobile devices werden in korte tijd alomtegenwoordig en vormen nu evenzovele toegangspoorten tot achterliggende systemen en gevoelige data. Door al deze ontwikkelingen neemt onze digitale kwetsbaarheid toe. Hoe zorgt de overheid ervoor dat ze het hoge tempo van de ontwikkelingen bijhoudt en op het gebied van informatieveiligheid niet met de onderwerpen van gisteren, maar met die van vandaag en de toekomst bezig is? Wat vraagt dit van bestuurders, maar ook van burgers en bedrijfsleven? Anders gezegd: hoe zorgen we er gezamenlijk voor dat de bad guys niet aan het langste eind gaan trekken? Vier zwaargewichten uit de wereld van de cybersecurity buigen zich over deze en aanverwante vragen.
8
PM SPECIAL oktober 2013
K
an hij een vergezicht schilderen, een beeld van wat er de komende vijf tot tien jaar allemaal op ons af gaat komen op het gebied van cybercrime en cyberspionage? Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid, waagt zich niet aan voorspellingen. Hij trekt met zijn linkerhand een lijn door de lucht, die ter hoogte van zijn gezicht stopt: ‘Hier komen we vandaan en hier zijn we nu. We kunnen die lijn lineair doortrekken en daar ons toekomstbeeld op baseren, maar als één ding zeker is, dan is het wel dat de werkelijkheid zich zo niet zal gedragen. Als je naar de afgelopen periode kijkt, is wel duidelijk dat de weerbaarheid van de overheid en van de vitale infrastructuur weliswaar is toegenomen, maar dat de activiteiten aan de illegale kant – en dan zowel de cyberspionage als de cybercriminaliteit – naar verhouding nog meer zijn toegenomen. De eindbalans is dus negatief. Het is geen hele grote min, maar toch echt wel een minnetje. Daarom hamer ik zo op awareness, op maatregelen en op het nemen van de eigen verantwoordelijkheid door betrokkenen. Schuif die niet op elkaar af. Het gaat om het welbegrepen eigenbelang van organisaties. Want als je nu nog niet begonnen bent maatregelen te treffen, dan ben je extra kwetsbaar in de toekomst. Dat komt omdat de ontwikkelingen zo razendsnel gaan en blijven versnellen. Daarom is de nationale cybersecurity-strategie geen kwestie van de verre toekomst, maar van het hier en nu. Om dezelfde reden is het ontoereikend om alleen te repareren wat er in het verleden fout is gegaan, want ook dan ga je voorbij aan de vereisten van dit moment en loop je het risico dat je morgen achter de feiten aanloopt. Het is nu juist tijd om samen te investeren in smart security. ‘Qua cyber-awareness zijn er aanzienlijke verschillen tussen de landelijke overheid en de vitale sectoren enerzijds, en de gemeenten anderzijds. De eersten hebben inmiddels wat betreft het besef van de risico’s de beweging van onbewust naar bewust wel gemaakt en bevinden zich nu in de overgangsfase van bewust naar bekwaam. Maar veel gemeenten zijn daar nog een eind van verwijderd. Er moet echt een tandje bij. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) en de pas opgerichte Informatiebeveiligingsdienst voor gemeenten (IBD) gaan hier een belangrijke rol vervullen. Vanuit het Nationale Cyber Security Centrum ondersteunen we de IBD door informatie te delen. Al deze activiteiten moeten ertoe leiden dat de awareness flink toeneemt. Dat is absoluut punt één. Bestuurders moeten doordrongen zijn van de risico’s die ze lopen, met name in de vertrouwensrelatie met de burgers. Vervolgens gaat het erom dat je jezelf op cruciale onderdelen effectief beschermt PM SPECIAL oktober 2013
Dick Schoof (nctv):
‘DE CybErSECurItyStrAtEgIE IS gEEn kWEStIE
Foto welmer keesmaat
beeld Yvonne kroese
viSie
VAn DE VErrE toEkoMSt, MAAr gErICHt oP HEt HIEr En nu’
door forse dammen op te werpen tegen digitale dreigingen. Dat begint met kleine routines, zoals het op tijd aanbrengen van veiligheidsupdates van besturingssoftware. Toch sta ik soms versteld van rapportages waaruit blijkt dat dit onvoldoende gebeurt. En verder moet je zorgen dat je aanvallen – als die plaatsvinden – beheersbaar houdt en zorgt voor een passende respons. Je moet niet denken dat je ermee weg komt als je dit soort maatregelen niet treft. De burger verlangt van je dat je dit doet. Bovendien zitten er social economic benefits aan cybersecurity, want de burger zal makkelijker en sneller met je communiceren als de omgeving waarin dat gebeurt veilig is. ‘Een belangrijk deel van de oplossingen moet door wederzijdse participatie van overheden, burgers en bedrijven tot stand komen. Je kunt deze participatie, het gebruikmaken van elkaars kennis en daarmee je weerbaarheid versterken door een responsible disclosure policy bekend te maken op je website. Hackers kunnen dan kwetsbaarheden aan je melden, zonder dat ze al te bang hoeven te zijn zich aan strafvervolging bloot te stellen omdat je aangeeft geen aangifte te doen. Keerzijde is wel dat de melder en jij er pas mee in de openbaarheid treden als de kwetsbaarheid is verholpen. Wij kregen al in de week nadat we deze policy op onze eigen website bekendmaakten een aantal waardevolle meldingen. Banken en veel andere grote ondernemingen hebben zo’n policy inmiddels al. De komende anderhalve maand volgt ook het Rijk. En ik zou graag alle overheidsorganisaties in navolging van een aantal koplopers willen oproepen om hetzelfde te doen.’
D
e Taskforce BID is nu ruim een half jaar actief. Samen met het hoofd van de taskforce, Henk Wesseling, blikken we terug, bekijken we de huidige stand van zaken en kijken we vooruit. ‘We stapten begin dit jaar in een sterk gedifferentieerd veld. Op enkele uitzonderingen na bleek dat de meeste organisaties nog weinig weten van sturing op informatieveiligheid. Maar het stadium 9
Foto arenda oomen
viSie
dat mensen niet meer weten dat er überhaupt spra- veiliging is van die informatie. Bij basisregistraties ke is van informatieonveiligheid, zijn we inmid- als de GBA speelt informatieveiligheid al veel langer dels wel gepasseerd. Alleen hoe ermee om te gaan, een centrale rol. Dat dit onderwerp nu maatschapmoet op veel plaatsen nog wel vanaf het begin af pijbreed speelt, bewijst eens te meer de ernst van de aan worden opgebouwd. Om daar te komen volgen zaak. Het is niet de vraag of de eisen rondom inforwe twee lijnen: verplichtende zelfregulering en het matieveiligheid belemmerend zijn voor sommige gericht blijven op informatieveiligheid. Organisa- (politieke) dossiers. Integendeel, als je als overheidsbestuurder je ties moeten informainformatieveiligheid tieveiligheid leren te niet voldoende op beschouwen als een ‘SoMMIgE gEVoLgEn VAn EEn orde hebt, dan zal dat vast onderdeel van de je belemmeren in de dagelijkse praktijk. DAtALEk zIjn nu AL dienstverlening. Hiertoe creëren we ‘De erfenis van gezamenlijk enkele EEn VErzEkErbAAr rISICo’ deze taskforce moet handige en goede kazijn dat informatieders en dient de rest per overheidslaag zelf ingevuld te worden. In alle veiligheid is geborgd in de organisatie van alle domeinen – van het Rijk tot de waterschappen en overheidspartijen. Naast inbedding van controle van provincies tot de gemeenten – lopen nu al initi- en coördinatie, plus voorzieningen zoals het opleidingsaanbod, willen we dat het overleg tussen atieven om dit verder invulling te geven. ‘Om te zorgen dat de huidige aandacht niet ver- de koepels en hun leersystemen de normaalste slapt, is een systeembenadering belangrijk. Je borgt zaak van de wereld is. Dat wil niet zeggen dat de geen continuïteit door heel hard iets te roepen of informatieveiligheid dan helemaal op orde is, door sec aan bewustzijn te werken. Daarom wordt er maar het vormt wel een gedegen basis. Deze beconcreet aan de verankering in processen gewerkt, wustwording én de concrete verankering moeten als ook aan het blijven leren van elkaar. Organisaties uiterlijk in het voorjaar van 2015 zichtbaar zijn bij van de toekomst zijn wellicht van nature gespitst de jaarrekening. Eigenlijk liever iets eerder en het op informatiebeveiliging, maar op dit moment is proces moet in alle organisaties dan al veel eerhet noodzakelijk dat juist de mensen die sturen en der op gang gekomen zijn. We streven ernaar als beslissen op hoofdlijnen Taskforce BID om eind 2014 door een vorm van begrijpen hoe informa- monitoring een duidelijke indruk te kunnen getieveiligheid technisch en ven over wat de voortgang is. Overigens formusociaal werkt. Dat komt leren sommige overheidslagen nu al ambities die omdat de techniek en hiermee overeenkomen of zelfs stelliger zijn. ‘Ik ondersteun de ambitie van Digitaal 2017 van het bewustzijn over ons gedrag nog niet zodanig minister Plasterk volledig. Gezien de huidige ontzijn doorontwikkeld dat wikkeling zou ik zeggen: het kan bijna niet anders. je daar blind op kan ver- In de tussentijd gaat de informatisering onverdrotrouwen. Je moet in staat ten voort. Ook zal het besef dat je de informatiezijn om het juiste onder- veiligheid vooraf geregeld moet hebben, heel snel scheid te maken naar ri- toenemen. Er zullen zich zonder twijfel nog insico’s als gevolg van tech- cidenten voordoen en af en toe zal een crimineel nische en gedragskeuzes. iets slims of onverwachts doen. Maar dit gaan we Dit kan je doen door de onder controle krijgen met de counterforce die nu juiste stuurvragen te ontwikkeld wordt, daar ben ik van overtuigd. Let stellen. Anders laat je je wel, “onder controle” betekent een gerichte risicoalleen leiden door de des- beheersing; het zal, zoals in alle veiligheidskweskundigen en die zijn het ties, een strijd blijven van je risico’s kennen, leren maar al te vaak onderling van incidenten en weer streven naar beheersen. Honderd procent veiligheid bestaat immers niet!’ ook niet met elkaar eens. ‘De fundamentele vragen over informatieveiligheid zijn voor het henk weSSeling e Delftse hoogleraar Governance bedrijfsleven niet anders van Cybersecurity Michel van Eeten (taSkforce biD): dan voor de overheid. pleit ervoor om cybercrime absoOok in het bedrijfsleven luut serieus te nemen, maar ook om ‘WE gAAn DIt onDEr geldt dat hoe omvanger nuchter mee om te gaan. ‘Maak rijker of gevoeliger de hierin vooral rationele en proportionele keuzes.’ ControLE krIjgEn’ informatieverwerking is, ‘De komende jaren moeten we een antwoord hoe belangrijker de be- vinden op de vraag: hoe ver ga je in het aanvaarden
D
10
PM SPECIAL oktober 2013
Foto arenda oomen PM SPECIAL oktober 2013
oproepen dat we alles dicht moeten timmeren. Volgens mij gaat goede informatiebeveiliging over bewustwording. Daarom is wat de Taskforce BID doet absoluut noodzakelijk. Overheden moeten worden gestimuleerd om bewust afwegingen te maken omtrent informatiebeveiliging, iets wat tot nog toe nauwelijks gebeurde. Dit bewustzijn groeit gelukkig, maar de echte crux is natuurlijk dat het bestuur in staat moet zijn om hierover zinnige beslissingen te nemen. Dat is een stuk moeilijker. Resultaten kunnen we pas over een aantal jaren beoordelen, maar het is evident dat het thema nu veel zichtbaarder is en veel serieuzer wordt genomen.'
H
et weekend van 8 en 9 oktober 2011, waarin bekend werd dat de websites van vijftig gemeenten gehackt waren, zal hem nog lang heugen. Het was vooraf aangekondigd door onderzoeksjournalist Brenno de Winter en het gebeurde met de beste, want waarschuwende intenties, maar toch. De door Lektober getroffen gemeenten werden compleet overvallen. Kees Jan de Vet, lid van de directieraad van de VNG, maakte het allemaal van zeer nabij mee. ‘Wij als VNG werden eveneens overvallen. Bij de gemeenten leefde de verwachting dat wij het wel zouden coördineren en oplossen, maar daarvoor Foto arenda oomen
van onveiligheid? Op bepaalde terreinen in de maatschappij is deze vraag al beantwoord, zoals bij huisinbraken of verkeersongelukken. Daar zijn we gewend aan een bepaald niveau van onveiligheid en hebben we aanvullende mechanismen michel van eeten verzonnen, zoals (tU Delft): ve r z e k e r i n g e n . Op deze en andere ‘bEWuSt, MAAr nIEt gebieden hebben we inmidHyStErISCH’ dels een aardige balans gevonden. Qua cybercrime doorlopen we nu een soortgelijk traject. Zodra we beter wennen aan het af en toe uitvallen van een service als internetbankieren, zal een deel van het mysterie verdwijnen. We zullen er niet meer zo hysterisch op reageren. Daarnaast zal de samenleving haar gebruikelijke instrumentarium inzetten. De eerste verzekeringspolissen tegen cybercrime zijn inmiddels al op de markt. Sommige gevolgen van een datalek zijn nu al een verzekerbaar risico, al wagen verzekeraars zich vooralsnog niet aan het vergoeden van directe schade. Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risicogebied. ‘De samenleving beschikt over een enorm adaptief vermogen. Dat heeft ons in het verleden grote diensten bewezen en dat zal het ook blijven doen. Dit aanpassingsvermogen is uiteraard wel gebaseerd op organisaties of instanties die het belangrijk vinden en er hun best voor doen. Hoe het er over vijf of tien jaar uit zal zien, valt onmogelijk te voorspellen. Bepaalde takken van cybercrime zullen blijven, maar ongetwijfeld ontstaan er weer nieuwe moeilijk te bestrijden vormen. Daar komen dan weer aanpassingen op, want uiteindelijk is alles te bestrijden. De grote vraag blijft: hoever wil je daarin gaan? Dit in algemene zin beantwoorden is onzinnig. Het optimale niveau van onveiligheid bepalen we van geval tot geval. ‘Volgens mij heeft het omgaan met criminaliteit ook in belangrijke mate te maken met het organiseren van aansprakelijkheid. Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen. Dit moet juridisch beter worden geregeld en ook de overheid kan hier bijsturen of een goede prikkel initiëren. Ik geloof niet zo in hysterische
viSie
keeS Jan De vet (vng):
‘kEnnISDELIng IS HEt CEntrALE InnoVAtIEtHEMA Voor DE koMEnDE jArEn’
ontbrak de infrastructuur. We hadden geen 24-uurs beschikbaarheidsdienst voor dit soort gevallen. En dergelijke dingen gebeuren natuurlijk altijd in het weekend... Het ministerie van Justitie vroeg ons op een gegeven moment of we de getroffen websites niet tijdelijk op zwart konden zetten, maar dat lag uiteraard niet in onze macht. De 408 gemeenten hebben allemaal hun eigen softwareleveranciers en zeer uiteenlopende systemen voor het beheer van hun websites en wij hadden daar geen centraal overzicht over. Bovendien heeft de VNG geen mogelijkheid om gemeentelijke websites te sluiten. 11
viSie
‘Dit incident heeft geleid tot het besluit van onze leden om de Informatiebeveiligingsdienst voor gemeenten (IBD) op te richten. De IBD moet ervoor zorgen dat we in het vervolg wél een systematisch en proactief antwoord hebben op dit soort incidenten. De IBD is ondergebracht bij KING, het landelijke kwaliteitsinstituut dat gemeenten ondersteunt. Voor de opstart is twee miljoen euro uitgetrokken. De IBD is sinds 1 januari 2013 operationeel en is zeven dagen per week en 24 uur per dag bereikbaar. Dat betekent dat er nu een goede infrastructuur is om effectief te reageren op incidenten. Andere taken van de IBD zijn preventie en kennisdeling. Twee jaar geleden stond vooral de coördinatie sterk in de aandacht en dat is logisch vanuit wat er destijds speelde, maar ik vind het belangrijk dat we met de IBD nu beter gaan doordenken op het vlak van de kennisdeling. Dat zie ik als het centrale innovatiethema voor de komende jaren. ‘Ik hoop dat binnen twee jaar ook andere overheden – waterschappen en provincies – deel zullen uitmaken van de IBD, juist ook vanuit het oogpunt van kennisdeling. Dit is essentieel omdat de ontwikkelingen razendsnel gaan en onvoorspelbaar zijn. De maatschappelijke omgeving is permanent in beweging. Nieuwe ontwikkelingen landen niet automatisch in overheidsprogramma’s. Er zal dus altijd sprake zijn van
‘ambtenaar moet zelf ook letten op vertroUweliJk StUk' Provinciesecretaris Hans goedhart van de provincie utrecht waarschuwt voor een al te luchthartige omgang met de systemen die toegang geven tot vertrouwelijke informatie. Een inspecteur die met een gevoelig dossier in de snackbar gaat zitten en het daar laat liggen of een medewerker die het wachtwoord van zijn computer op een Post-it aan zijn scherm heeft geplakt. Het is niet de technische kant van informatiebeveiliging die Hans goedhart, provinciesecretaris in utrecht, de meeste zorgen baart. Wel dat ambtenaren denken dat de veiligheid hans goedhart
goed geregeld is en zich daardoor onvoldoende be-
wust zijn van hun eigen verantwoordelijkheid. ‘We moeten weg zien te komen van de automatiseringstechnische benadering, maar het veel meer zoeken
‘tAbLEtS En SMArtPHonES zIjn
in de manier van omgaan met informatie,’ aldus de provinciesecretaris. De provincie heeft haar ICt goed bevei-
In oPEnbArE nEtWErkEn bInnEn
ligd, zegt goedhart, maar dat voorkomt niet dat een goede hacker toch altijd binnenkomt als hij het lang genoeg
DrIE SEConDEn tE HACkEn’
probeert. ‘je kunt het allemaal technisch op orde hebben, maar als iemand in de systemen gericht op zoek gaat naar specifieke informatie, dan is daar bijna niet tegen te be-
nieuwe risico’s. Drie jaar geleden waren er nog geen iPads, nu werkt heel bestuurlijk Nederland ermee. Onlangs was ik bij een demonstratie waaruit bleek dat tablets en smartphones in openbare netwerken, zoals in hotels, met de juiste apparatuur binnen drie seconden te hacken zijn. Dat is echt schrikken. Al deze nieuwe ontwikkelingen maken dat we permanent naar onze omgevingen moeten kijken, dat we moeten monitoren en detecteren en alert moeten reageren. ‘Een belangrijk onderdeel van de systematische bewustwording van risico’s is een betere vastlegging van de verantwoordelijkheid voor de informatieveiligheid in gemeenten. We gaan tijdens de najaarsvergadering aan onze 408 leden voorstellen dat in alle nieuwe colleges een portefeuillehouder voor informatieveiligheid komt. Je kunt dit een vorm van verplichtende zelfregulering noemen. Het zal ervoor zorgen dat dit thema bestuurlijk geborgd wordt in het hele land. Daarnaast zullen er op allerlei gebieden landelijke werkprogramma’s moeten komen, zoals bijvoorbeeld een betere beveiliging van mobiele apps.’ • ft en el 12
veiligen.’
verkeerSmanagement Provincies lopen dezelfde beveiligingsrisico’s als andere overheden, maar de informatie is verschillend. zo hebben de provincies weinig van doen met privégegevens van burgers, maar behoort de beveiliging van het verkeersmanagementsysteem wel tot hun taken. Dat neemt niet weg dat als er ergens een ICt-lek is, de provincie utrecht het systeem moet platgooien, waardoor het werk niet meer gedaan kan worden. Daarnaast kan er politiek-gevoelige informatie op straat komen te liggen, benadrukt goedhart. ‘Dan gaat het niet om mensenlevens, maar zo’n lek kan wel het politieke proces verstoren.’ uiteindelijk gaat het om hoe ambtenaren met het systeem omgaan, stelt goedhart. ‘Het is belangrijk dat de mensen die met de systemen werken, beseffen dat ze belangrijke informatie in handen hebben. Informatieveiligheid is niet alleen het probleem van de ICt-staf, maar moet ook in de rest van de organisatie leven.’ • rvdD
PM SPECIAL oktober 2013
UIT DE PRAKTIJK
DIGITALE SNELWEG VERDIENT TIJDELIJKE REALLOCATIE VAN MIDDELEN
MOOIE AMBITIES, MAAR WIE GAAT HET BETALEN?
D
e DDoS-aanvallen en de problemen met DigiD, die soms digitale diensten plat kunnen leggen, lieten nog eens pijnlijk voelen hoe afhankelijk de dienstverlening van de overheid is van ICT. De ambities van de ministers Plasterk en Blok, die tot nog grotere ICT-afhankelijkheid zullen leiden, baren de uitvoering dan ook een beetje zorgen. Bestuurder Ronald Barendse van de SVB, een van de grote uitvoerders, vindt dat de financiering van 'stelselvoorzieningen' als de DigiD-pas, het eID-stelsel, de authenticatie en de modernisering van de basisadministraties dan ook meer politieke aandacht verdient. ‘In Nederland is het met de informatiebeveiliging best goed gesteld, zo heeft de afgelopen periode laten zien. DDoS-aanvallen wisten we afdoende te beantwoorden. Als dit echter de opmaat is naar de komende tien jaar, dan staat ons allen nog een behoorlijke uitdaging te wachten. De vraag is of we daarop zijn voorbereid. Immers de afgelopen periode heeft helder gemaakt hoe afhankelijk de dienstverlening van de overheid is geworden van de veiligheid van de informatievoorziening.’
Het kabinet zet in de nota Digitaal 2017 in op volledige digitale dienstverlening in 2017. Een hele mooie ambitie, vindt Ronald Barendse, lid van de raad van bestuur van de Sociale Verzekeringsbank (SVB), maar hij mist de financiële paragraaf. Hoe gaan we de nationale voorzieningen bekostigen die zorgen dat digitale diensten straks ook veilig zijn?
zouden burgers bijvoorbeeld weer zelf moeten vragen naar gegevens die we nu geautomatiseerd en beveiligd uitwisselen met de Belastingdienst en het UWV. Om maar niet te spreken van de maatschappelijke onrust die het te laat betalen van uitkeringen of kinderbijslag tot gevolg heeft.’ VERNETWERKING
Qua informatiebeveiliging staan we aan het begin van een agressiever tijdperk van cyber criminaliteit, denkt Barendse, die binnen het SVB-bestuur de portefeuille ICT en informatieveiligheid voor zijn rekening neemt. ‘Er staat ons ontzettend veel te wachten. De vernetwerking van gegevens tussen de verschillende onderdelen van de overheid heeft de burger veel gemak in dienstverlening gebracht. De beveiliging van deze gegevens en de uitwisseling met de burger is voor de overheid een groot goed.’ De SVB heeft samen met DUO, UWV en de
Ronald Barendse
‘Aan de achterkant werken we keihard, maar er zijn ook politieke keuzes nodig,´ signaleert Barendse. Natuurlijk, hij beCHAOS grijpt het politieke dilemma wel: in deze De belangen bij continuïteit van de tijden van financiële krapte is investeren dienstverlening zijn groot. De SVB (circa in informatieveiligheid ten 3.000 medewerkers) verstrekt opzichte van bezuinigingen jaarlijks voor 37 miljard euro in bijvoorbeeld de zorg niet aan uitkeringen aan mensen 'WE ZOUDEN VIER KEER ZOVEEL gemakkelijk. die volgens Barendse vaak 'Maar wellicht kunnen er ‘elke maand op dat geld zitMENSEN NODIG HEBBEN OM WEER tijdelijk middelen gerealloten te wachten’. De dienstverceerd worden,' oppert hij. Hij lening is nu voor 70 procent ALLES HANDMATIG TE DOEN' denkt daarbij aan reallocatie digitaal, schat hij. ‘Nu al zou à la het Infrastructuurfonds de chaos compleet zijn als we voor wegen, verreweg het grootste fonds Belastingdienst het expertisecentrum bijvoorbeeld niet in staat zijn op tijd te van het ministerie van Infrastructuur Centrum voor Informatiebeveiliging en betalen. Daarnaast zouden we zeker vier en Milieu. ‘De digitale snelweg hoort Privacy (CIP) opgericht waarin zij hun keer zoveel mensen nodig hebben om tenslotte inmiddels ook tot onze vitale krachten bundelen om externe dreiginalle zaken handmatig in plaats van geauinfrastructuur.’ • CvdW gen het hoofd te kunnen bieden. tomatiseerd te moeten behandelen. We 22
PM SPECIAL OKTOBER 2013
13
intErViEW
DG Gert-Jan BuitenDiJk Bepleit Beter samenspel BiJ iCt-inCiDenten
‘EEn omslag in dEnkEn is nodig’ deze zomer bij het UWV het geval was?
De digitalisering van overheidsdiensten mag niet ten koste gaan van de continuïteit van de publieke dienstverlening, vindt Gert-Jan Buitendijk, Directeur-Generaal bestuur en koninkrijksrelaties van Binnenlandse Zaken. ‘Het is zaak dat het openbaar bestuur investeert in informatieveiligheid om betrouwbare dienstverlening te kunnen blijven bieden.’
W
at heeft uw hoogste prioriteit inzake informatieveiligheid?
‘Het DigiNotar-incident in de zomer van 2011 toont nog eens hoe indringend de invloed van informatie- en communicatietechnologie op de samenleving is geworden. De samenleving digitaliseert, maar slechts weinig mensen realiseren zich hoe belangrijk het slotje in de linkerhoek van de websites is. We vertrouwen er allemaal op dat overheidssites veilig zijn. Dit voorjaar waren er ook de nodige DDoS-aanvallen. Banken en enkele overheidsvoorzieningen waren daardoor dagenlang niet of nauwelijks voor gebruikers beschikbaar. Dat laat zien dat de grote afhankelijkheid van digitale informatievoorziening een goede informatiebeveiliging en bijbehorende noodprocedures hoogst belangrijk maakt. Gert-Jan Buitendijk De overheid legt al veel digitaal vast en communiceert veel digitaal met burgers en bedrijven. Met de doelstelling om in 2017 de dienstverlening van de overheid digitaal te laten verlopen gaat daar nog een schepje bovenop. Het openbaar bestuur moet investeren in informatieveiligheid om hoogwaardige dienstverlening te kunnen blijven bieden. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Er mag gewoon geen sprake zijn van een acuut, redelijkerwijs te voorkomen beveiligingsrisico, waardoor de veiligheid van mensen, persoonlijke informatie en organisaties in het geding komt.’ Hoe kan voorkomen worden dat de digitale dienstverlening ‘hapert’ zoals 14
‘Dit kunnen we nooit volledig voorkomen. De technologische ontwikkelingen gaan daarvoor te snel. Maar we moeten er wel ons uiterste best voor doen om het zo goed mogelijk tegen te gaan. Uitvoeringsorganisaties zijn primair zelf verantwoordelijk voor de beveiliging van hun netwerken en systemen. Ze moeten er alles aan doen om hun klanten de dienstverlening te bieden die deze mogen verwachten. Het is dan ook verstandig een voorziening binnen de overheid te creeren waar de klassieke post of het vertrouwde loket een plek krijgt. ‘Het is ook van belang dat organisaties in het openbaar bestuur door een beter samenspel tot een efficiënte en effectieve aanpak van calamiteiten komen. Ik wil daarom toe naar heldere richtlijnen en een handleiding bij digitale incidenten. Vanuit de verantwoordelijkheid voor de kwaliteit van het openbaar bestuur hecht minister Plasterk er belang aan dat er interbestuurlijke afspraken worden gemaakt over samenwerking bij digitale incidenten, om de digitale weerbaarheid van het openbaar bestuur te vergroten. Overheidsorganisaties wisselen tegenwoordig veel informatie uit en zijn vaak van el-
intErViEW
kaar afhankelijk. Een belangrijke ontwikkeling op dit gebied is bijvoorbeeld de uit de VNG voortgekomen Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Met de ICT-Response Board, het publiek-private samenwerkingsverband waarin nu twintig en in 2014 zestig experts zitting hebben, is een belangrijke stap gezet naar netwerksamenwerking bij calamiteiten. Hierin wordt preventie, de detectie van incidenten en de coördinatie van de probleemoplossing samen en interbestuurlijk opgepakt. We sluiten ons verder aan bij het Nationaal Response Netwerk dat de minister van Veiligheid & Justitie aan het opbouwen is.’ de onderzoeksraad voor Veiligheid vindt dat de kennis van informatieveiligheid bij bestuurders en overheidstopmanagers beter kan. Hoe zorgt u dat het thema
Foto BZk
bij strategische beslissingen zwaarder mee gaat wegen?
via de weg van verplichtende zelfregulering dan met wetgeving, al wil dat niet zeggen dat extra wet- en regelgeving wordt uitgesloten. De Taskforce zit er twee jaar, die tijd zal worden benut om een analyse te maken van bestaande en noodzakelijke wet- en regelgeving, inclusief de handhaving van al bestaande regels. Mocht bij de evaluatie van de Taskforce blijken dat het gewenste resultaat niet bereikt is, dan zal minister Plasterk zich beraden over mogelijke wet- en regelgeving.’ Wat zijn de goede voorbeelden?
‘Ik had het zojuist al over de Baseline informatiebeveiliging Rijk (BIR) als best practice. Met ingang van volgend jaar gaat de rijksoverheid ook rapporteren. Elk jaar worden er thema’s en onderwerpen uitgelicht om te kijken of voldaan wordt aan de BIR. ‘Als buitenlands voorbeeld zou ik Estland willen noemen. Hoewel daar in 2007 door een aantal grote DDoS-aanvallen nog de kwetsbaarheid van een iSamenleving ondervonden werd, is het land toch koploper geworden in e-diensten aan burgers. Zo beschikt e-Estonia over e-taks, een e-politie
‘De Onderzoeksraad voor Veiligheid richtte zich op de wijze waarop de overheid de veiligheid van de digitale communicatie met burgers waarborgt en de manier waarop overheden invulling geven aan digitale veiligheid. Burgers moeten erop kunnen vertrouwen dat de overheid alles in het werk stelt om de digi´WeiniGen realiseren ZicH Het BelanG van Het tale communicatie met de overheid zo veilig mogelijk te laten verlopen. Daarom heeft slotJe in De linkerHoek van De WeBsites´ minister Plasterk in februari van dit jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ingesteld. De bedoeling is het en tal van e-health diensten. Estland is ook bezig met de onderwerp informatieveiligheid hoog op de agenda te krijgen ontwikkeling van een e-identiteit voor e-burgers met een bij bestuurders en topmanagement van alle overheidslagen. Zo band met Estland, die zo ook vanuit het buitenland veikan er een versnelling op gang komen. De Taskforce BID zet in lig kunnen communiceren met overheid en bedrijfsleven.’ op vergroten van de awareness bij bestuurders en op meer bestuurlijke sturing op informatieveiligheid. Uiteindelijk moet goede basisvoorzieningen zijn van belang. Hoe staat u dat ertoe leiden dat informatieveiligheid in de bedrijfsprocessen tegenover een basis portal of generieke kernwebsite voor wordt verankerd, waardoor de risico’s op incidenten zoals met gemeenten? het Citadelvirus, dat het Dorifelvirus hielp binnenkomen op ‘Momenteel wordt onderzocht of er niet één loket op internet veel overheidscomputers, tot een minimum beperkt worden.’ kan komen voor alle gemeenten. De kernwebsite zou bijvoorbeeld Mijnoverheid.nl kunnen zijn, waar gemeenten bij kunnen aansluiten. De VNG overlegt nu over wat een dergelijk Er is gekozen is voor zelfregulering. Waarom die keuze? gezamenlijk digitaal loket precies zou inhouden en hoe dit ‘Je kunt wel een wet maken, maar het is aanzienlijk sneller en gerealiseerd kan worden. Het zou een voorbeeld zijn van saeffectiever als overheden en zbo’s zelf scherp en bewust sturen menwerking aan de achterkant op een veilige manier zonder en reguleren. Zelfregulering betekent geen vrijblijvendheid. dat burgers er iets van merken. Burgers willen graag hun eigen De Taskforce BID heeft de opdracht om verplichtende zelfregemeente blijven herkennen.’ gulering te helpen ontwikkelen en te faciliteren en werkt daarvoor nauw samen met de koepelorganisaties. ‘Dat krijgt nu vorm. De rijksoverheid is druk bezig met de de uitvoerders maken zich zorgen of het authenticatiemiddel invoering van de Baseline Informatiebeveiliging Rijk (BIR), eid, dat digid moet vervangen, er wel op tijd zal zijn. Wat is die bestaande departementale en interdepartementale basede planning? lines (minimumeisen) vervangt. Daarmee wordt het basisbe‘Het kabinetsbesluit voor de invoering van het eID-stelsel en veiligingsniveau bij de rijksdienst gelijkgetrokken en ontstaat de uitrol van de kaart is in voorbereiding. Het streven is om dit eenduidigheid. De BIR wordt nu vertaald naar gemeenten en besluit aan het einde van het jaar aan het kabinet voor te legwaterschappen tot de Baseline Informatiebeveiliging Gemeengen. Daarin komen ook afspraken over de veiligheid. Ik begrijp ten (BIG) en de Baseline Informatiebeveiliging Waterschappen de zorg, we kunnen op dit terrein nooit snel genoeg zijn, maar (BIWA). De koepelorganisaties hebben die samen met de Taskwillen we echt een toekomstbestendiger systeem, dan moeten force BID ontwikkeld. Ze zijn nu ter vaststelling aan gemeenwe ook zorgvuldig zijn. ten en waterschappen voorgelegd. ‘DigiD wordt tientallen miljoenen keren per jaar gebruikt: ‘Belangrijker nog dan deze ontwikkelingen vind ik een omvoor de belastingaangifte, de studiefinanciering, het pensioenslag in het denken over informatieveiligheid. Informatieveiligoverzicht en de ziektekostenadministratie. Er wordt nu met heid moet standaard worden meegenomen bij het inrichten en alle betrokken partijen gekeken of er nieuwe financieringsonderhouden van informatiesystemen, waar ook leveranciers en besturingsvormen te ontwikkelen zijn voor de digitale een verantwoordelijkheid in hebben. Dat lukt sneller en beter basisinfrastructuur.’ • CvdW PM sPecial oktoBer 2013
15
FAC T S & F I G U R E S
VERSTERKEN VAN DE SCHAK De loonaangifteketen wordt wel gezien als de financiële gegevensaorta van Nederland. In de loonaangifteketen gaat maar liefst 145 miljard euro om. Dat zijn premie- en belastingopbrengsten die door 650.000 werkgevers, uitkeringsinstanties en pensioenfondsen worden binnengebracht. Het
GOVERNANCE
bedrag is goed voor ongeveer 60 procent van alle belastingontvangsten, en er zijn enkele tientallen miljarden gegevens mee gemoeid. Belastingdienst UWV en CBS werken sinds 2006 samen in de loonaangifteketen die een
➧
eenmalige uitvraag van inkomensafhankelijke gegevens mogelijk maakt.
is elke acht weken op hoog
Over de loonaangifteketen
niveau strategisch overleg van
De gegevens komen binnen via de Belastingdienst en worden vervolgens
de managementteams van de
na controles van het UWV gedeeld met diverse afnemers zoals het CVZ,
Belastingdienst en CBS, de
het CAK, de IND en gerechtsdeurwaarders. Ze zijn de basis voor onder
raad van bestuur van UWV
meer de vooringevulde belastingaangifte, de toeslagen en uitkeringen
en de ketenmanager van de loonaangifteketen. ➧ Elke maand
en de premievaststelling van pensioenen. Nodeloos te zeggen dat bij
is er ook een tactisch overleg op
obstructie van deze gegevensstroom een hartinfarct van de BV Nederland
directieniveau. UWV controleert
op de loer kan liggen.
de juistheid van de gegevens; onjuistheden worden via de Belastingdienst teruggekoppeld aan werkgevers (verantwoordelijk voor de salarisadministratie) en softwareontwikkelaars met het verzoek deze te corrigeren. ge
sch kisatt ministerie ld
vanministerie financiën van financiën
ont buffvange n adr eren e dist ssere ribu n ere n ont v buff ange n adr eren e dist ssere ribu n ere n
ld
geldstroom gegevensstroom processtroom
ge
sch kisatt
belastingdienst belastingdienst uwv uwv -
-
st ien ngd bel asti
Cong rre ift da ctiee? ta
bericht voor uwv
lak pelv kop ulier form
bericht voor belasting dienst
lak pelv er kop voor bericht uli bericht uwv voor form belasting
Cong rre ift da ctiee? ta
loket belastingsdienst
-
lak pelv kop ulier form
bericht voor uwv
dienst
aa
Cong rre ift da ctiee? ta
loket belastingsdienst
bericht voor belasting dienst
loket uwv
bericht voor uwv
bijzondere premie taken
Unit
aa
Cong rre ift da ctiee? ta
koppelvlak
koppelvlak signaal
inschrijving handels-ofinschrijving handelswerkgeverswerkgeverscentrale centrale genereren of heffingsheffingsmutatie register mutatie register administratie administratie ontvangers- ontvangersbeschikking U bent U bent administratie administratie administratie administratie aanslag of inhoudingsinhoudingsplichtige, dus...
beschikking met evt. boete
plichtige, dus...
voorcontrole voorcontrole
genereren aanmaken aanmaken correctiecorrectiebeschikking verplichting verplichting aanslag of
correctie beschikking met evt. verplichting boete
signaal
correctie verplichting
herstelverzoek
bv, nv
ers
loonaangifte* inclusief data per werknemer
rd ilja
of and
m
f of eenmansza ak
80
cv, vo
rd ilja
ers
m
of and
80
bv, nv
f of eenmansza ak
correctie loondata
loonaangifte* inclusief data per werknemer
correctie loondata
signaal
loongegevens
loongegevens
polisadministratie polisadministratie signaal herstelverzoek
verzekerings bericht
verzekerings bericht
voorcontrole voorcontrole werknemersgegevens werknemersgegevens
claim
cv, vo
bijzondere premie taken
loket uwv
Unit
ld
bel ka asti me koongdr va phaien n ndest l
aa
bericht voor belasting dienst
aa
ge
nieuwe
Cong rre ift da ctiee? ta
Cong rre ift da ctiee? ta
ld
nieuwe
aa
intensief toezicht intensief toezicht aa
ge
kam koo er va pha n nde l
lak pelv kop ulier form
verplicht correctiebericht
claim
verplicht correctiebericht
klant
werkgever/inhoudingsplichtige werkgever/inhoudingsplichtige
klant
correctie loondata
gevraagd of spontaan
correctie loondata
gevraagd of spontaan
werknemer/verzekerde werknemer/verzekerde
per tijdvak (maand of vier weken)
per tijdvak (maand of vier weken)
BRON: PAPERNOTE 35 VAN PBLQ EN KETENBUREAU LOONAANGIFTEKETEN, SDU UITGEVERS 2011.
CYBERCRIME
➧ Ongeveer 40
➧ Uit onderzoek van BZK
➧ Van 2007 tot 2012 had
procent van de
is gebleken dat er vorig
volgens het onderzoek 13,3
Nederlandse
jaar tussen 670.000 en
procent van de Nederlanders
ondernemers is in
870.000 slachtoffers van
met identiteitsfraude te
2012 slachtoffer
identiteitsfraude waren. De
maken. Naar schatting heeft
geworden van
geleden schade lag tussen
9,5 procent van de bevolking
cybercrime.
390 en 510 miljoen euro.
in die periode schade opgelopen.
16
PM SPECIAL OKTOBER 2013
FAC T S & F I G U R E S
ELS IN DE INFORMATIEKETEN MALWARE
INCIDENTEN EN SCHADE
➧ De grootste oorzaak van
➧ Uit internationaal onderzoek blijkt dat het aantal
HACKERS DIE HELPEN
➧ De Rabobank heeft begin
een malwarebesmetting zijn
beveiligingsincidenten het afgelopen jaar met 25 procent
oktober ‘tientallen meldingen’
‘gaten’ in software. Ook het
is toegenomen, hoewel organisaties vorig jaar substantieel
binnengekregen van hackers
gebruik van USB-sticks en
meer aandacht en geld aan de beveiliging van hun
die de bank hebben gewezen
andere removable media kan
informatie besteedden.
op kwetsbaarheden op de
leiden tot malware-infectie.
➧ De schade als gevolg van fraude met internetbankieren
site en in zijn systemen
➧ Gemeenten die vorig jaar
is in de eerste helft van 2013 met 58 procent gedaald
voor internetbankieren. De
door het Dorifel-virus werden
ten opzichte van de tweede helft van 2012. Het bedrag
bank ontwikkelde afgelopen
getroffen moesten meer dan
dat daarmee gemoeid was daalde van 10 naar 4,2 miljoen
maanden in samenwerking
tienduizend euro besteden
euro. Ten opzichte van de dezelfde periode vorig jaar is de
met het Nationaal Cyber
aan opruim- en herstelacties.
daling nog groter: 82 procent.
Security Centrum (NCSC)
➧ Iedere 37 seconden wordt
➧ Uit internationaal onderzoek onder 9600 respondenten
een beleid voor responsible
een computer met malware
blijkt dat ondanks een toename van bijna 50 procent
disclosure en plaatste dit half
besmet. Er wordt overigens
van de uitgaven aan informatieveiligheid het nog steeds
september op zijn site. Bij het
ook iedere 37 seconden een
slechts 3,8 procent van het totaal van het IT-budget is. Het
Meldpunt Kwetsbaarheden
fiets gestolen…
is een relatief kleine investering.
kunnen deskundigen op
➧ Er gaan steeds meer data verloren als gevolg van
gebied van internetbeveiliging
security-incidenten. Internationaal onderzoek laat een
kwetsbaarheden en lekken
toename van 16 procent zien. Data van medewerkers en
melden.
klantgegevens zijn het meest waardevol.
loongegevens
ce
ven s
nt
ra
ove
rige
afn e
zoa ls pen s ib-g ioenfo n ger roep, dsen , ech tsd eur waa rde rs.
me
rs lo
ong
ege
st ien
ong
ngd ove
rige
afn e
zoa ls pen s ib-g ioenfo n ger roep, dsen , ech tsd eur waa rde rs.
me
rs lo
bel asti
ven s
voor ondermeer IB-controle Toeslagen en data derden
ege
st
nst
ien
ngd
die
iale soc
jke gem
een
teli
bel asti
nst
die
sba
soc
eke
jke
een
gem
soc ia
teli
le v
erz
eke erz
le v
iale
ring
sba ring
ars/ a era
rze k gve
soc ia
zor
nk
nk
z wb
z wb ars/ a era gve
rze k
bel asti
st
v
zor
uitkeringsadministratie
al
bu re au
vo
or
de
uw
ngd toe ienst slag en uw v
k sta de or vo bu re au
ld
ld
uitkeringsuitkeringsadministratie administratie
budget ge
ge
uitkeringsuitkeringsadministratie administratie
ge meente
budget
ld
uitkeringsadministratie
fo nds ge
Cor gif te darectie? ta
ld
aan
ge
Cor gif te darectie? ta
ld
ld
toeslagen uitkeringsuitkeringsadministratie administratie
fo nds fo nds
ge
ld
ge
al
fo nds
ge
ld
ld
aan
toeslagen
fo nds
fo nds
ge
ld
ge
ld
ld
ra
fo nds fo nds
fo nds ge
ld
nt
fo nds
ge
ge
ld
ce
fo nds
ge
tis
tie
fo nds
ge
bel atisti asti e ngd k toe ienst slag en
loongegevens
voor ondermeer IB-controle ge meente enToeslagen data derden
claim
claim
claim m g lai din
m g lai din
c ergoe kte- n v
teziek ring e uitk klant
klant
rkwe n loze ring e uitk
klant
steziek ring arbeid hikte esc uitk ong eids- g h rin e uitk
klant
rkwe n loze ring e uitk
klant
kl
ant
seid arb schikte ong eids- g h rin e uitk
klant
kl
c ergoe kte- n
zie ste ko
v
klant
ant
toeslaggerechtigde toeslaggerechtigde zieke, werkloze of zieke, arbeidsongeschikte werkloze of arbeidsongeschikte zieke
zie ste ko
claim
claim kinderna bijslag be-
nabestaand e
staand
uitkerine g
uitkerin
g
klant
a uit owke rin klant g
klant klant
zieke65-plusser, ouder, 65-plusser, nab nabestaande ouder,
claim kinderbijslag
snd sta ng bij keuri aow uit itke rin g
klant t klan
snd sta ng bij keri uit klan
t
nabestaande uitkeringsgerechtigde uitkeringsgerechtigde
➧ Meer dan 200.000 Nederlanders zijn
➧ Uit onderzoek blijkt dat
➧ TNS NIPO concludeert in een onderzoek naar (internet-)
vorig jaar slachtoffer geworden van
92 procent van de data
veiligheid onder burgers dat 71 procent te maken heeft gehad
identiteitsfraude via internet of betaal-
breaches om gegevens
met verschillende vormen van cybercriminaliteit. De helft
of pinautomaten. Het gaat dan om 1,5
te stelen van buiten de
van de respondenten zegt over zichzelf matig tot helemaal
procent van de bevolking van 15 jaar en
organisatie komen. Een
niet op de hoogte te zijn van de gevaarlijke kanten van
ouder.
slecht beveiligd netwerk is
internetgebruik, waaronder cybercriminaliteit, virussen, spam
een open uitnodiging voor
of het bezoeken van valse websites.
alle type aanvallers.
PM SPECIAL OKTOBER 2013
17
i n f o R m at i e k e t e n s
‘Soft SkillS’ nodig voor vruchtbare ketenSamenwerking
De ouDe managementtools volDoen niet meeR samenwerking in ketens neemt een hoge vlucht. iCt-systemen worden op elkaar aangesloten om de dienstverlening te verbeteren. maar dat levert ook weer nieuwe problemen op. werken de organisaties wel samen? en hoe controleer je of alles goed gaat in zo’n keten? promovendus ype van wijk van de rijksuniversiteit groningen en ketenmanager mart driessen laten hun licht schijnen over informativeiligheid en ketensamenwerking.
D
e zakelijke netwerksite LinkedIn heeft in Nederland zo’n vier miljoen leden. Die zien één site, één applicatie. ‘Maar schijn bedriegt,’ zegt Ype van Wijk van de Rijksuniversiteit Groningen. Hij doet promotieonderzoek naar de samenwerking in en betrouwbaarheid van de ITondersteunde service-economie. ‘In werkelijkheid kijk je naar het samenspel van zo’n 1200 applicaties, die zich fysiek verspreid over de wereld bevinden. Je gegevens staan dus overal en nergens, bijvoorbeeld in de cloud, in goede en slechte rekencentra, met elk hun eigen programmeer- en security-standaarden.’ Samenwerking is in, weet Van Wijk. ‘Het is wel degelijk een trend. Je ziet dat organisaties zich steeds verder specialiseren in die onderdelen waar ze goed in zijn. En dat er vervolgens wordt samengewerkt in collaboratieve netwerkorganisaties om
ype van wijk ‘voor de eisen en systemen
Foto Johan Zwart
in een keten bestaat geen
18
blauwdruk’
diensten of goederen bij de consument te krijgen.’ Volgens Van Wijk moet daarbij heel wat op z’n kop. ‘De interne controle-frameworks voor bijvoorbeeld de boekhouding en risicobeheersing volstaan niet meer. Je kunt je eigen beleid prima op orde hebben, maar zit je vervolgens in de cloud met allerlei figuren waarbij dat niet zo is, dan is je informatiebeveiliging zo veilig als de zwakste schakel.’ Dat klinkt logisch, maar Van Wijk geeft toe: ‘Zowel op academisch niveau als in professionele kringen heeft mijn werk een vrij hoog pioniersgehalte.’ Volgens Van Wijk moet je een keten als ‘één virtuele organisatie’ zien. Daarbij moet duidelijk worden gemaakt wat het gewenste niveau van veiligheid is. Partners moeten hieraan voldoen én de juiste controlesystemen hebben ingericht. Voor die eisen en systemen bestaat geen blauwdruk. ‘Het scheelt nogal of je het hebt over gegevens van een bank, de overheid of Buienradar.’ Ruggen naaR elkaaR
Voor de loonaangifteketen beschikt de overheid sinds enige tijd over een ketenmanager, een functionaris met een behoorlijk bestuurlijk gewicht die de samenwerking in de keten vlot moet laten lopen. Deze ketenmanager Mart Driessen werd aangesteld door de minister van Sociale Zaken en de staatssecretaris van Financiën om vanuit een onafhankelijke rol de samenwerking tussen de Belastingdienst en UWV, de uitvoerder van de werknemersverzekeringen, te bevorderen. Helemaal in het begin, in 2006 en de eerste jaren daarna, was dat nog niet echt een succes. ‘Het leek soms op schelden met de ruggen naar elkaar toe,’ weet Driessen. ‘Men wilde eigenlijk niet samenwerken en vond het heel moeilijk dingen voor elkaar te doen waar ze zelf niets aan hadden.’ De problemen waren in het begin legio – zo moesten meer dan 100.000 werkgevers de loonaangifte over 2007 opnieuw doen, omdat door automatiseringsproblemen gegevens waren zoekgeraakt pm speCial oktober 2013
– maar er zijn nooit gegevens van belastingbetalers uit de loonaangifteketen op straat beland. ‘The proof of the pudding is in the eating: in die zin was de infomratieveiligheid dus op orde. Bij de Belastingdienst wordt gewerkt met meerdere veiligheidsniveaus, en deze gegevens bevinden zich op het hoogste niveau. De veiligheid is bij de Belastingdienst intern belegd, bij het UWV wordt meer met externe partners gewerkt. We laten de systemen geregeld onder vuur nemen door hackers die we daarvoor inhuren. Dat is wat ik erover kan zeggen,’ aldus Driessen. gRoeienD begRip
afschuDDen
'Wat veiligheid betreft hoeven we niet allemaal het hoogste niveau te hebben,' benadrukt Van Wijk. ‘Denk vooral goed na,’ zegt hij. ‘Een klassieker is het verhaal van de London Stock Exchange, die een systeem liet maken om de aandelenkoersen met meer dan een kwartier vertraging openbaar te maken. Er werd gigantisch in de beveiliging van de gegevens geïnvesteerd – onnodig, want het ging dus om informatie die op dat moment niet meer afgeschermd hoefde te worden.’ Anderzijds, zegt hij: ‘Ga ook niet zomaar gegevens in de cloud zetten, omdat je denkt “dat is modern”.’ Van Wijk adviseert: ‘Wees je bewust van de risico’s die met ketensamenwerking pm speCial oktober 2013
mart driessen ‘men zit ermee als de ander op een vervelende manier in het nieuws komt’ Foto ictu
Driessen heeft de ervaring dat naast al het werk van de techneuten soft skills het allerbelangrijkst zijn voor een vruchtbare ketensamenwerking. ‘Zorg dat mensen met elkaar praten. Zo zitten we ook continu met softwareontwikkelaars en werkgevers enerzijds en met afnemers anderzijds om de tafel. Eigenlijk interesseert het werkgevers niet zo wat die overheid allemaal van ze vraagt. Ze vinden het vervelend, er gaan administratieve lasten mee gepaard. Maar als ze het idee krijgen dat ze half Nederland ermee helpen, en ook hun eigen werknemers bij de aanvraag van toeslagen en dergelijke, dan ontstaat er veelal begrip.’ In Driessens ervaring is het van groot belang dat de bestuurders van de organisaties daarin meegaan. ‘Dan kijk ik met name weer even naar de periode waarin het verkeerd ging: toen was er geen wil om samen te werken. Maar in de tweewekelijkse vergaderingen van de hoogste bestuurders is dat omgeslagen. Inmiddels zit men er bijvoorbeeld mee als de ander op een vervelende manier in het nieuws komt. In het begin werd daarom gegniffeld.’ De samenwerking vergt ook op juridisch niveau veel. Vooral de Wet bescherming persoonsgegevens – privacy dus – vraagt veel aandacht. Driessen: ‘Volgens de wet mag je gegevens niet zomaar overal voor gebruiken. We moeten dus goed uitzoeken en bijhouden voor welke doeleinden we gegevens inzetten. Soms mag informatie niet uitgewisseld worden. Zo zijn er gegevens van de Belastingdienst die het UWV graag wil hebben in verband met de bestrijding van uitkeringsfraude. Dat moet dan wel apart wettelijk worden geregeld.’
gepaard gaan. Weet wat je wilt, weet wat je vraagt, als voorwaarde om te kunnen functioneren binnen de keten, en weet hoe risico’s en controles beheerst worden.’ Daarvoor zijn nieuwe managementtools nodig, zegt hij, die draaien om governance (het bestuur) en assurance (kwaliteitsborging en verzekering) van de keten. ‘De maatschappelijke belangen zijn te groot om te ontkennen en deze links te laten liggen. We moeten de tools van de vorige eeuw en het hokjesdeken van ons afschudden.’ Zijn grote organisaties misschien betrouwbaardere ketenpartners omdat ze hun veiligheid doorgaans beter op orde hebben? Kleine gemeenten waren bijvoorbeeld al vaak slachtoffer van hacks. ‘De Rabobank is ook met grote regelmaat aan de beurt,’ brengt Van Wijk tegen die theorie in. ‘Hoe groter, hoe spannender je soms ook weer bent voor aanvallers. Het Pentagon is geloof ik recordhouder met meer dan 250.000 hack-pogingen per uur.’ • Rs 19
UIT DE PRAKTIJK
DRIE VEILIGHEIDSNIVEAUS EN 133 MAATREGELEN
‘NA DIGINOTAR HEBBEN WE EEN TANDJE BIJGEZET’ Hoe breng je als gemeente je informatieveiligheid op orde? Bewuste medewerkers zijn de sleutel tot succes, aldus de Utrechtse gemeentesecretaris Maarten Schurink en chief information security officer Kaj Siekman. ‘We moeten de naïviteit voorbij.’
E
Foto Arenda Oomen
ven de mail checken via de hotspot ‘VGSCongres’. Moet kunnen, dachten zo’n zeventig bezoekers van het jaarlijkse congres van de Vereniging voor Gemeentesecretarissen (VGS) in september. ‘De deelnemers schrokken toen we ter plekke tijdens een live demonstratie lieten zien hoe gemakkelijk het is persoonlijke gegevens te achterhalen,’ vertelt Maarten Schurink. ‘Die informatie werd via een onbeveiligde wifi-verbinding verstuurd.’ De Utrechtse gemeentesecretaris hoopt dat de actie als eye-opener heeft gewerkt. Een grotere bewustwording van informatieveiligheid is volgens hem noodzakelijk, op alle niveaus van de gemeentelijke organisatie, benadrukt Schurink. ‘Daarom laten we ook onze medewerkers heel concreet zien wat er kan gebeuren als je onveilig met informatie omgaat.’ Kaj Siekman, chief information security officer (CISO) bij de gemeente, bevestigt dat. Hij is in september gestart
Maarten Schurink (links) en Kaj Siekman 22 20
met een bewustwordingsprogramma. De dagelijkse praktijk staat daarbij centraal. ‘De focus ligt niet zozeer op de apparaten zelf, maar op de vertaalslag naar de werksituatie. Het uitgangspunt vormt de dienstverlening die we de gebruikers aanbieden. Die moet veilig zijn,’ aldus Siekman. ‘Dat geldt bijvoor-
van de baseline drie veiligheidsniveaus – basis, middel en hoog – en heeft daarbij keuze uit 133 maatregelen, legt Siekman uit. ‘De maatregelen zijn toegespitst op het soort informatie. Denk bijvoorbeeld aan het versleuteld versturen van informatie als deze uiterst privacygevoelig is.’ Het doel van de CISO is ‘om het zo eenvoudig mogelijk te houden’. Onlangs hield hij nog een presentatie voor de vijftien informatiemanagers van de gemeente. Siekman: ‘Iedere medewerker zou moeten begrijpen welke maatregel
MET DE HUIDIGE MIDDELEN VAN COMMUNICATIE ZIJN ER STEEDS MEER ACHTERDEURTJES beeld voor de digitale werkplek die vanaf de tablet beschikbaar is.’ Gebruiksvriendelijkheid is de leidraad. ‘Als maatregelen niet makkelijk toe te passen zijn, gaan ambtenaren “eromheen werken” en ben je verder van huis,’ zegt Siekman. ‘De populariteit van bring your own device maakt dat besef van informatieveiligheid nóg belangrijker is geworden.’ De afgelopen maanden is Siekman druk bezig geweest met het maken van plannen en een risicoanalyse. ‘Het is niet nieuw, maar we maken nu een volgende stap in volwassenheid.’ Belangrijk onderdeel is de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). ‘We verwachten dat deze voor het eind van het jaar door het college van B&W wordt vastgesteld,’ zegt Siekman. ‘Vervolgens kunnen we jaarlijks aan de hand van de BIG laten zien wat de stand van zaken is. Zo kunnen we een cyclus voor informatieveiligheid op gang brengen. Dit maakt het mogelijk te sturen op informatiebeveiliging. Idealiter zou je moeten kunnen “plussen en minnen” waar het nodig is.’ De gemeente Utrecht hanteert in lijn
je bij welke informatie moet toepassen.’ 'De DigiNotar-kwestie heeft de zaken op scherp gezet,' aldus Schurink. ‘Informatieveiligheid stond al op de agenda, maar we hebben een tandje bijgezet. We zijn alerter op wat er kán gebeuren. Er is nu meer concernsturing.’ Daarnaast werkt de Informatiebeveiligingsdienst voor gemeenten (IBD) nauwer samen met het Nationaal Cyber Security Centrum. ‘We hebben concretere afspraken gemaakt over onderlinge bijstand en hulp,’ aldus de gemeentesecretaris. Ook de overgang naar het nieuwe stadskantoor – gepland voor het najaar van 2014 – speelt hierbij een rol. ‘We zijn in oktober begonnen met de eerste stappen naar een nieuwe ICT-infrastructuur in het kader van de verhuizing naar deze locatie. Bij de uitrol hiervan willen we ook een slag slaan op het gebied van beveiliging,’ zegt Schurink. Wederom staat bewustwording hierbij centraal. Schurink: ‘We moeten de naïviteit voorbij. Je kunt de beste firewalls hebben, maar met de huidige middelen van communicatie zijn er steeds meer achterdeurtjes waardoor het systeem van de gemeente kan worden bereikt.’ • RW PM SPECIAL OKTOBER 2013
column
een cyberaanval kan meteen gevolgen hebben in alle veiligheidsregio’s
menselijke factor is het grootste veiligheidsrisico
PM SPECIAL oktober 2013
Doordat veiligheidsregio’s veelal gebruik maken van digitale informatie uit andere organisaties is het onderwerp informatiebeveiliging bij uitstek een netwerkvraagstuk. De aanpak hiervan kunnen we als veiligheidsregio’s dan ook het beste gezamenlijk uitvoeren, zodat met andere (landelijke) partijen ook gezamenlijk afspraken kunnen worden gemaakt. Laten we daarbij van elkaar leren bij het voorkomen Burgemeester Henri Lenferink en bestrijden van cyberincidenten. Door goede technische vEILIghEIdSrEgIo'S maatregelen te treffen, kunnen DDoS-aanvallen worden bundELEn afgeslagen en kunnen ervaren hackers niet binnendringen hun krAChtEn in de systemen van de veiligheidsregio’s. Dit heeft echter nauwelijks effect als het beveiligingsbewustzijn in de veiligheidsregio’s zelf te laag is. Het beveiligen van informatie tegen aanvallen van buitenaf dient dan ook gelijke tred te houden met de informatiebeveiliging binnen de veiligheidsregio zelf. Slordig omgaan met inlognamen en wachtwoorden, verspreiden van informatie via privémail of USB-sticks, printen van gevoelige documenten op onbeheerde printers. Het zijn enkele voorbeelden uit de dagelijkse praktijk die duiden op onvoldoende bewustzijn van het werken met gevoelige informatie. De veiligheidsregio’s dienen kortom – in gezamenlijkheid – adequate maatregelen te treffen, waarbij naast het invoeren van technische maatregelen vooral ook aandacht nodig is voor het verhogen van het bewustzijn van de betrokken medewerkers inzake informatieveiligheid. Ik nodig mijn collegabestuurders in de veiligheidsregio’s uit om deze handschoen op te pakken en hiermee aan de slag te gaan. Informatieveiligheid moet een zaak van iedereen binnen de veiligheidsregio worden.
Foto hielco kuiper
W
at zijn de gevolgen als er wordt ingebroken in systemen op de meldkamer? Wat als 112 langdurig onbereikbaar is omdat de telefooncentrale wordt verstoord? En als het Landelijk Crisismanagementsysteem LCMS niet meer werkt, omdat het internet ontoegankelijk is door een cyberaanval? Het zijn situaties die rampzalige gevolgen kunnen hebben in de veiligheidsregio. De veiligheidsregio’s bundelen hun krachten. Brandweer, politie, geneeskundige diensten en de gemeenten werken samen aan het verbeteren van de rampenbestrijding en crisisbeheersing in iedere regio, waarbij ook belangrijke partners worden betrokken. Hierbij maken veiligheidsregio’s in toenemende mate gebruik van landelijke ICT-voorzieningen. Die worden deels in de cloud aangeboden en maken flexibel gebruik mogelijk, waarbij het beheer efficient en kosteneffectief kan worden uitgevoerd. Deze centralisatie van voorzieningen bergt ook gevaar in zich. Een goed geplaatste cyberaanval kan meteen gevolgen hebben voor de dienstverlening in alle veiligheidsregio’s. Daarnaast kunnen de gevolgen van al dan niet bewust misbruik van toegangsgegevens groot zijn. Een veiligheidsregio is voor haar dagelijkse bedrijfsvoering steeds meer afhankelijk van voorzieningen als elektriciteit of vaste en mobiele telefonie. Maar voor goede uitoefening van haar taken is tegenwoordig ook vereist dat ondersteunende ICT-systemen zoals het geïntegreerd meldkamersysteem GMS en LCMS, goed blijven functioneren. Nu hoort het tot de kerntaak van een veiligheidsregio om voorbereid te zijn op onvoorzienbare en soms onwaarschijnlijke incidenten. Juist tijdens crises waar allerlei functies kunnen uitvallen, moeten veiligheidsregio’s als crisisorganisatie kunnen blijven doorfunctioneren. In navolging van de rijksoverheid zijn de veiligheidsregio’s daarom zogenaamde continuïteitsplannen aan het opstellen. De veiligheidsregio’s Twente en Zuid-Limburg nemen hierin enthousiast het voortouw. De plannen beschrijven hoe kan worden voorzien in de continuering van de bedrijfsvoering wanneer een veiligheidsregio te maken krijgt met uitval van elektriciteit of ICT. In deze plannen dient echter ook nadrukkelijk aandacht te worden besteed aan cyber security of informatieveiligheid.
Henri Lenferink is burgemeester van Leiden en portefeuillehouder informatievoorziening in het Veiligheidsberaad.
21
Focus
Volop initiatieVen om Veiligheidsbewustzijn te Vergroten
GevraaGd: iBewuste amBtenaar
E
r is altijd veel commotie als een werknemer een USBstick met vertrouwelijke gegevens laat slingeren. Vandaag de dag wordt een groot aantal apparaten naast elkaar gebruikt: laptop, smartphone, tablet en pc. Zo’n tablet is in feite een grote USBstick. Ook even de vakantiefoto’s van de zakelijke Blackberry downloaden op de thuiscomputer is niet zonder risico’s als diezelfde computer een poort naar internet en verouderde software heeft. En er zijn steeds meer ambtenaren die voor hun werk eigen apparatuur gebruiken (in jargon: Bring Your Own Device, BYOD). Met de huidige bedreigingen die via internet op de loer liggen, is dat riskant. Het is van belang ambtenaren erop te wijzen dat ze verantwoord omgaan met de middelen die ze tot hun beschikking krijgen en dat ze zich bewust josé lazeroms
techniek alleen is onvoldoende. in de online wereld waarin gebruikers 24/7 toegang tot gegevens hebben, lopen systemen permanent risico. Veel incidenten zijn toe te schrijven aan menselijke fouten. Bewustzijn van informatieveiligheid bij gebruikers is dan ook onmisbaar. rijks-cio maarten Hillenaar en josé lazeroms, lid van de raad van Bestuur van het uwV, beschrijven hoe zij ‘iBewuste’ medewerkers creëren.
moeten zijn van de gevaren die in de online wereld op de loer liggen, meent rijks-CIO Maarten Hillenaar. Voor de gebruikers van eigen apparaten mogen die eisen zelfs iets hoger liggen. Om een voorbeeld te noemen: ‘Bij phishing zie je dat er altijd wel medewerkers zijn die tóch op zo’n mailtje ingaan, doorklikken en zo kwaadaardige software (malware) binnen halen. Bij onze eigen rijks-managed devices is zoiets veel lastiger, want
die malware wordt direct geweigerd. We zijn niet tegen het gebruik van eigen apparatuur en we zijn voor thuiswerken, maar medewerkers moeten goed weten wat ze doen, wanneer ze bijvoorbeeld een app of andere software installeren.’ Handvat
Het ICT-beleid van de rijksoverheid heeft volgens de CIO Rijk veel aandacht voor ‘iBewustzijn’. In de eind 2011 door de ministerraad vastgestelde i-strategie is een van de zeven thema’s gewijd aan informatiebeveiliging. ‘We kijken inderdaad vooral naar de techniek, maar
‘iBewustzijn mag
Foto uwv
in elk functieprofiel’
22
het digibewustzijn wordt niet vergeten. In de i-strategie stellen we nadrukkelijk dat een ambtenaar zich meer dan ooit bewust moet zijn van de risico’s van het gebruik van digitale middelen. Wij zetten de techniek zo goed mogelijk in om apparaten en gegevens te beveiligen, maar we verwachten tegelijkertijd dat iedereen ook verstand heeft van een veilig gebruik daarvan.’ In de Baseline Informatiebeveiliging Rijk (BIR), het eind vorig jaar opgestelde unipm special oktober 2013
Handvat
Hillenaar constateert dat de rijksambtenaar zich steeds bewuster wordt van het belang van informatieveiligheid. ‘We doen daar veel aan. Op het DigiVent in november, dat we samen met de Taskforce BID organiseren, staat iBewust gedrag breed op het programma. We hebben een e-learning module ontwikkeld waarmee medewerkers zich kunnen trainen in iBewust worden: van het beveiligen van de flexwerkplek en het opslaan van gegevens op mobiele apparaten tot het zich bewust worden van digitale dreigingen als phishing en malware. Dat gaat juist over gedrag en niet over technologie.’ Van Hillenaar mag de eis van iBewustzijn in het functieprofiel van iedere ambtenaar staan. ‘Bij het afleggen van de eed belooft een ambtenaar verantwoord met papieren gegevens om te zullen gaan. Ik vind dat voor die belofte vandaag de dag automatisch de doorvertaling geldt naar de digitale wereld.’
Foto BZK
forme normenkader voor alle rijksdiensten, komen we het woord ‘bewustzijn’ slechts tweemaal tegen. ‘Misschien had dat iets vaker gemogen, maar vreemd is het niet,’ zegt Hillenaar. ‘De BIR is meer technisch ingestoken. We hebben de nationale en internationale normen voor informatiebeveiliging, waaronder de ISO 27001, vertaald naar de rijksdienst. Volgend jaar vinden er audits plaats, dat is belangrijk om de voortgang te peilen.’ rijks-Cio maarten hillenaar
de toename van het aantal klanten als gevolg van de crisis neemt het telefoonverkeer relatief gezien af. Bellers willen vooral weten waar hun uitkering blijft. De status daarvan kunnen ze voortaan op onze site met hun DigiD bijhouden.’ Het snel doorontwikkelen naar online
‘Het eVenwicHt tussen dienstBaarHeid en VeiligHeid is wankel’ dienstverlening wordt overigens ingegeven door de Haagse bezuinigingsdrift van 500 miljoen euro op het UWV-budget. In 2015 moet het aantal vestigingen van het UWV Werkbedrijf zijn teruggesnoeid naar dertig. ‘Daarmee wordt het aantal face-to-face contacten aanzienlijk beperkt,’ zegt Lazeroms. wasstraat
uwv
Bij het UWV is het mobiele werken nog geen gemeengoed, bewust vanwege de veiligheid. José Lazeroms, lid van de Raad van Bestuur met digitalisering in haar portefeuille, laat de kekke tablet met klein formaat toetsenbord op haar tafel zien, maar die draait mee in een proef in een superbeveiligde omgeving die alleen apps van de eigen UWV-store toelaat. ‘Tot nu toe hebben onze medewerkers alleen op kantoor toegang tot de backoffice-systemen met de klantgegevens. Ook worden er geen dossiers mee naar huis genomen,’ vertelt ze. Dat weerhoudt de uitkeringsinstantie er niet van om in recordtempo van internet haar hoofdcommunicatiekanaal te maken. Zo schrijft ruim negentig procent van de WW’ers zich digitaal in. Het vervolg van de dienstverlening is eveneens volledig gedigitaliseerd. ‘Ondanks pm special oktober 2013
veiligheid wisselt sterk. We kunnen veel van elkaar leren.’ Een van die lessen vormen de positieve verhalen die Lazeroms hoorde over het awareness-programma van CIP-deelnemer RDW. ‘We willen dit voorbeeld volgen wanneer we nog eind van dit
Cyberveiligheid is daarmee van het allerhoogste belang voor het UWV. Over de technische beveiliging kan Lazeroms niet te veel uitweiden. Wel spreekt ze trots over de ‘wasstraat’ die DDoS-aanvallen wegfiltert die vanaf besmette pc’s met een overkill aan dataverkeer computernetwerken lam kunnen leggen. ‘Bij leveranciers dringen we aan op veilige software. Het komt nog wel eens voor dat nieuwe versies toch weer al eerder aan licht gebrachte lekken bevatten. Dat kan dus niet.’ De aandacht voor veiligheid heeft een impuls gekregen met de oprichting van het Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. Met de drie collega-uitvoeringsorganisaties DUO, Belastingdienst en SVB en een reeks partners uit overheidsland worden kennis en ervaringen uitgewisseld. ‘Het kennisniveau van informatie-
jaar een eigen bewustzijnsprogramma starten. Je kunt wel van allerlei ICT-beveiliging inbouwen, maar veiligheid zit toch vooral in het gedrag van mensen zelf.’ Volgens Lazeroms is de gemiddelde UWV-medewerker zich onvoldoende bewust van de gevaren van internet. ‘Ik ben daar niet tevreden over.’ Het UWV organiseerde in het najaar van 2011 al een awareness-programma. Voor deze keer dringt Lazeroms erop aan dat het ICTbedrijf samen met de servicegerichte afdelingen een goed programma opstelt. ‘Ik hoef het management niet te vertellen hoe belangrijk het is dat klantgegevens veilig zijn, dat is zonneklaar. De medewerker die in aanraking komt met de klant, wordt echter in de verleiding gebracht om daar anders mee om te gaan. Er wordt regelmatig gecommuniceerd per e-mail. Daarin schuilt een risico, denk aan gevoelige gegevens als medische informatie. Maar ik kan moeilijk het e-mailverkeer afsluiten. Bij online dienstverlening hoort dat je het de klant zo makkelijk mogelijk maakt. Onze medewerkers zijn dienstgericht. Alleen het evenwicht tussen dienstbaarheid en veiligheid is wankel.’ Als het aan Lazeroms ligt, gaan alle 19 duizend medewerkers van het UWV het awarenessprogramma volgen. • PvdB 23
column
erik Gerritsen
Kind én Kinddossier blijvend veilig
B
ureau Jeugdzorg Amsterdam heeft als missie de veiligheid van kinderen te garanderen. ‘Ieder kind blijvend veilig’ is dan ook onze leus. Maar hoe veilig is het kind als het kinddossier niet veilig is? Dit is een vraag waar bestuurders zich druk over moeten maken. De jeugdzorg werkt immers met zeer vertrouwelijke gegevens over de situatie binnen gezinnen. Gelukkig geeft de wetgeving duidelijke kaders aan met wie we informatie over de gezinnen mogen delen en hoe dat dan in zijn werk gaat. Maar hoe gaan we om met de dossiers bij de transitie Jeugdzorg, de lopende overheveling van de hele jeugdzorg naar gemeenten, waarbij gelijktijdig een inhoudelijke vernieuwing moet plaatsvinden? Erik Gerritsen En wat betekent samenwerking in de keten straks dat gemeenten en ketenpartners zich aansluiten voor de toegang tot vertrouwelijke informatie over bij dit systeem, waardoor gegevens over de gezingezinnen? nen slechts eenmalig opgeslagen worden en bovenBinnen de transitie Jeugdzorg is de informadien veilig gedeeld kunnen worden. Prettig voor de tiehuishouding nog een onontgonnen gebied. Er cliënt en kostenbesparend voor de maatschappij! wordt gesproken van de overdracht van jeugdzorgDoor kennis te delen kunnen we betere zorg dossiers naar de gemeenten. Maar welke gegevens bieden. De gemeente kent de gezinnen als er sprake bedoelen we hiermee? Gaat het om het complete is van contacten met de sociale dienst, overlast op dossier met alle gevoelige informatie? Gaat het om straat of leerplichtproblemen. Een gezinsmanager zowel de afgesloten dossiers als de lopende dosvan Bureau Jeugdzorg siers? Er ligt nog geen kent het gezin van plan hoe dit proces op binnenuit en weet een veilige wijze kan ZORG VOOR KINDEREN BETEKENT waar de problemen gaan plaatsvinden, liggen, en maakt met terwijl het in 2015 volDUS OOK ZORGEN VOOR DE het gezin een plan van tooid moet zijn – en aanpak. Dit plan en dat is al zeer snel! VEILIGhEID VAN hUN GEGEVENS bijbehorende vertrouDaarbij is er nog welijke, privacygegeen beveiligde portal voelige gegevens worden in de systemen van Bureau waar gegevens over gezinnen op een veilige wijze Jeugdzorg opgeslagen. Natuurlijk zorgt Bureau gedeeld kunnen worden tussen de organisaties die Jeugdzorg goed voor deze gegevens. De regels van samenwerken voor het gezin. De organisaties zijn de Archiefwet gelden ook voor Bureau Jeugdzorg. weliswaar ketenpartners van elkaar, maar ze werEn met fysieke beveiliging en afgeschermde systeken nog allemaal in hun eigen systeem en bewaren men zijn de gegevens veilig bij Bureau Jeugdzorg. ieder voor zich de gegevens over het gezin. Het deZorg voor de veiligheid van kinderen betekent len van kennis en gegevens gebeurt gelukkig wel via dus ook zorgen voor de veiligheid van de gegevens een beveiligd netwerk, maar één portal voor profesvan de kinderen… Dat is een thema waar bestuursionals en voor cliënten maakt het voor de cliënten ders van gemeenten en de jeugdzorg zich meer mee en de professionals een stuk overzichtelijker. moeten bezighouden, nu en in de toekomst. Sinds dit jaar bouwen de Bureaus Jeugdzorg gezamenlijk aan een nieuw informatiesysteem voor Erik Gerritsen is bestuurder van Bureau Jeugdzorg de jeugdzorgprofessional. In de planning is ook Agglomeratie Amsterdam. een portal voor cliënten opgenomen. Onze wens is
24
PM SPECIAL oktober 2013
UIT DE PRAKTIJK
VOORUITDENKEN ZIT BIJ BELASTINGDIENST IN DE KERNPROCESSEN
‘HACKERS ZIJN NIET HET GROOTSTE RISICO’
22
PM SPECIAL OKTOBER 2013
Hackers zijn niet de grootste bedreiging voor de informatieveiligheid van een overheidsorganisatie, je hebt nog honderd andere risico’s te managen, zegt Hans Blokpoel, algemeen directeur van de Belastingdienst. Zijn organisatie zet al jaren zwaar in op informatiebeveiliging. ‘Dankzij goede voorbereidingen lagen we er misschien een half uurtje uit door DDoS-aanvallen.’
voorbereiden op hackers’, aldus Blokpoel. ‘Natuurlijk, je moet je organisatie beveiligen tegen externe dreigingen: dankzij de extra filtercapaciteit die we hebben ingezet, hebben we er misschien een half uurtje uitgelegen door de DDoSaanvallen deze zomer.’
Foto Ministerie van Financiën
B
etrouwbare gegevens zijn voor de Belastingdienst van het hoogste belang. De organisatie investeert al jaren zwaar in informatiebeveiliging. De dienst was een van de founding fathers van DigiD en is nu weer nauw betrokken bij de ontwikkeling van het stelsel rond de elektronische identiteitskaart eID. Security experts van de uitvoeringsorganisatie zitten 24-7 patronen te analyseren, de top 150 van de Belastingdienst werd geschoold en getraind in sturen op informatieveiligheid en sinds enige tijd is er ook een Security Operations Center (SOC), een soort interne brandweer die uitrukt bij bedreigingen van de informatiesystemen. ‘We moeten wel, onze activiteiten zijn volkomen afhankelijk van de informatievoorziening en de veiligheid daarvan. Je kunt nou eenmaal geen belastingaangifte controleren zonder goede gegevens,’ reageert algemeen directeur Hans Blokpoel van de Belastingdienst. Het zijn volgens Blokpoel niet de hack-incidenten die het enige en grootste risico voor de informatieveiligheid vormen. ‘Daarnaast zijn er nog honderd andere risico’s waar je rekening mee moet houden en die misschien nog wel een grotere dreiging vormen,’ waarschuwt hij. Neem het risico voor de continuïteit van de gegevensstromen door een wetswijziging. 'Dat heeft een enorme impact op de informatiestromen en werkprocessen, die je allemaal opnieuw moet inregelen,’ aldus Blokpoel. Software-leveranciers voor administraties van belastingplichtigen moeten misschien hun pakketten aanpassen, die ook nog getest moeten worden en bekeken op onderlinge consistentie, vertelt hij. ‘Daarin zit een enorm risico, maar je kunt natuurlijk niet zeggen dat er geen wetswijzigingen meer mogen komen. Je kunt je er wel goed op voorbereiden.’ Het is een misvatting te denken dat informatiebeveiliging betekent ‘je goed
VAKMANSCHAP
Alertheid op informatieveiligheid was bij de Belastingdienst altijd al onderdeel van de kernprocessen. Blokpoel: ‘Ook met papier is de vaststelling van de authenticiteit van een document in een administratie iets wat veel expertise vergt. En als wij informatie van een belastingplichtige hadden in een fysiek dossier, moest je je zorgen maken over het kwijtraken van dat dossier bij bijvoorbeeld brand of verlies. Zo konden gegevens verloren gaan, of dreigde de privacy van belastingplichtigen geschaad te worden. In het digitale tijdperk gaat het om dezelfde zorgen maar zijn er hackers en DDoS-aanvallen, back-ups die verloren kunnen raken, het uitvallen van de stroom of een fout in een programma. De bedreigingen zijn anders, maar de taak is eigenlijk hetzelfde gebleven.’ De Belastingdienst heeft te maken met grote gegevensstromen en een complexe logistiek. ‘Zonder correcte gegevens weten we bijvoorbeeld niet wat er omgaat in de Rotterdamse haven of Schiphol,’ legt Blokpoel uit. ‘Onze organisatie is volkomen afhankelijk van massale gegevensstromen en het bedrijfsleven is weer afhankelijk van ons. Vandaar dat een zorgvuldige omgang met informatie on-
Hans Blokpoel
derdeel van het vakmanschap moet zijn.’ Was informatieveiligheid bij de Belastingdienst voorheen vooral het werk van experts, nu is het volgens Blokpoel tot in de haarvaten van de organisatie doorgedrongen. Informatieveiligheid gaat volgens hem vooral om ‘vooruitdenken’ en ‘voorkomen’. Blokpoel: ‘Als we iets moeten gaan herstellen, zijn we eigenlijk te laat. Je moet de calamiteit vóór proberen te zijn.’ Dat iedereen nu bijvoorbeeld met een smartphone loopt, hadden we vijftien jaar geleden niet kunnen voorzien, benadrukt Blokpoel. ‘Je moet je blijven aanpassen aan nieuwe risico’s, technieken en toepassingen om opgewassen te zijn tegen de ratrace tussen beveiligers en bedreigingen. Zoiets kun je niet alleen aan de experts overlaten, maar het vraagt ook voortdurende betrokkenheid van bestuurders.’ • CvdW 25
Focus
InformatIeveIlIgheId bInnen ICt-samenwerkIngsverbanden
De inhouD moet leiDenD zijn, niet De hiërarchie Hoe regel je een onderwerp als informatieveiligheid binnen een gemeenschappelijke beheerorganisatie, als de eigenaren daar zelf voor verantwoordelijk zijn? Directeur Michelle Fransen van GBO Provincies en CIO Ronald Mons van de Drechtsteden schetsen hun dilemma’s en hun oplossingen. ‘We kunnen niets verplichten, wel verleiden.’
D
e Drechtsteden is een samenwerkingsverband van de gemeenten Dordrecht, Zwijndrecht, Sliedrecht, Papendrecht, Alblasserdam en Hendrik-Ido-Ambacht. Samen hebben ze 267 duizend inwoners. Op een scala aan beleidsterreinen trekken de zes gemeenten samen op, van bedrijventerreinen, woningbouw en infrastructuur tot het beschermen van het milieu. In totaal werken zo’n 3300 medewerkers samen aan de regio. De bedrijfsvoering is in een shared-service centrum ondergebracht, wat jaarlijks een besparing oplevert. De integratie van ICT-systemen stelde de deelnemers in staat oude apparatuur en applicaties en ook beveiligingslekken te elimineren. Hun bedrijfsprocessen stemden ze op elkaar af en nieuwe initiatieven, zoals de Gemeentelijke basisadministratie persoonsgegegevens (GBA), pakten ze regionaal op. Gewerkt wordt aan verdere consolidatie van ICTsystemen, zoals de GBA’s van de zes gemeenten, wat naast kostenbesparing tevens de dienstverlening vanuit één Drechtstedelijk Klant Contact Centrum mogelijk maakt. Doordat gemeenten nu op elkaar terug kunnen vallen, is ook de continuïteit van de diensten beter geborgd. De samenwerking is op de Gemeenschappelijke Regeling Drechtsteden (GRD) gebaseerd. In de betreffende tekst wordt het onderwerp automatisering expliciet genoemd. ‘De beveiliging van de systemen, de “harde” ICT, kunnen we dan ook prima vanuit het samenwerkingsverband aansturen,’ legt chief information officer (CIO) Ronald Mons uit. ‘Zoiets is ook technisch relatief makkelijk te realiseren, van de identiteits- en toegangscontrole tot de computers en firewalls.’ De informatiebeveiliging, niet expliciet beschreven in de tekst van de GRD, laat zich minder gemakkelijk organiseren. Wettelijk gezien zijn de
26
deelnemende gemeenten zelf voor de beveiliging van hun gegevens verantwoordelijk. De ICT-systemen die gegevens bevatten, zoals de GBA en de BAG (Basisregistraties adressen en gebouwen), zijn met veiligheidsregels en -procedures omlijnd, waar de gemeenten elk apart regelmatig op worden geaudit. ‘Met deze wettelijke beperkingen worden we continu geconfronteerd. Met onze samenwerking lopen we tegen de grenzen van het Huis van Thorbecke aan, wat ons tevens verhindert een onderwerp als informatiebeveiliging goed te beleggen. Consolidatie van de GBA’s in één database is bijvoorbeeld wettelijk niet mogelijk en als we de backoffices zouden samenvoegen en de processen en systemen van de zes gemeenten zouden uniformeren, dan nog ondergaat elke gemeente apart een audit.’ Mons ziet wel bij gemeenten steeds meer het inzicht ontstaan dat de regie over informatieveiligheid beter op het niveau van het samenwerkingsverband kan liggen. ‘De rol van ICT wordt steeds groter. De belangrijkste vernieuwing verwachten we met ICT te bereiken. Daarmee wordt ook de noodzaak om gegevens te beveiligen door de deelnemende gemeenten breed onderkend. Zo hebben we ondanks de bezuinigingen ruimte gekregen voor een security-officer, die het onderwerp informatiebeveiliging alvast gaat invullen en regie gaat voeren op dit thema, ook al blijft de formele verantwoordelijkheid op lokaal niveau.’ De inhoud moet leidend zijn, niet de hiërarchie, meent Mons. ‘Van belang is dat we hier knopen door kunnen hakken. Afspraken over de “harde” ICT kunnen we afdwingen, maar formeel hebben we niets te zeggen over de wijze waarop gemeenten met hun gegevens omgaan, dus ook niet over de beveiliging ervan. We zetten nu voorzichtige stappen dat te veranderen. Tot die tijd kunnen we gemeenten niets verplichten, maar wel verleiden. We zagen bijvoorbeeld dat sommige gemeenten hun digitale vergaderstukken opsloegen met Dropbox. Dat is gemakkelijk, maar druist in tegen de privacywetgeving, die verbiedt datanetwerken te gebruiken die niet onder Nederlandse jurisdictie vallen. We bieden deze gemeenten daarom als proef een vergader-app aan die meteen alle bestuurlijke stukken voor de betreffende PM SPECIAL oktober 2013
Foto rob Kamminga
henk mirck, de regionale portefeuillehouder ICt, staat voor de datastorage van de drechtsteden
vergadering beschikbaar stelt, maar ze wel in ons eigen systeem laat staan. Zelfs de grote criticasters zijn op de app overgegaan.’ Provincies
Op het IPO-kantoor in Den Haag beschrijft directeur Michelle Fransen van GBO Provincies (de gemeenschappelijke beheerorganisatie) eenzelfde spanningsveld. De organisatie (12,5 fte) verzorgt sinds 2008 een groot aantal kernapplicaties voor de twaalf provincies, met name op het gebied van geo-informatie. Zoals het Landelijk Grondwater Register dat integraal voor zowel provincies als waterschappen de vergunningverlening van waterheffingen bevat. In totaal gaat het om een tiental keteninformatiesystemen, wat wil zeggen dat ze niet alleen door provincies, maar ook door rijksoverheid, waterschappen en gemeenten worden gebruikt. De functioneel beheerders van deze applicaties werken op detacheringsbasis voor GBO Provincies, naast hun reguliere werk voor de provincie waar ze in dienst zijn. Negentig procent van de applicaties die GBO Provincies in beheer heeft, worden door alle provincies gebruikt. Ook bij deze systemen spelen wettelijke aspecten mee. ‘Bij de dienst e-formulieren, waarmee burgers en bedrijven provinciale vergunningen aanvragen, moeten we bijvoorbeeld met de Wet bescherming persoonsgegevens rekening houden,’ zegt Fransen. ‘De provincies zijn autonoom. Wat ook wil zeggen dat ze zelf het niveau van beveiligingsmaatregelen bepalen en zelf verantwoordelijk zijn voor de informatiebeveiliging. Wat bovendien meespeelt,’ aldus Fransen, ‘is dat de provincies elk een verschillend niveau van volwassenheid kennen als het om ICT gaat. De ene provincie is verder dan de andere, wat met name samenhangt met de beschikbaarheid van middelen en mankracht.’ Fransen hoopt in 2014 een monitoringfunctie in te kunnen richten, wanPM SPECIAL oktober 2013
neer GBO Provincies in één grote uitvoeringsorganisatie opgaat. Het ‘verleiderschap’ van GBO Provincies ligt volgens Fransen in het gereedschap van de A&Kanalyse, oftewel de Afhankelijkheids- en Kwetsbaarheidsanalyse. Fransen: ‘Voordat we een applicatie in beheer nemen, stellen we een aantal acceptatiecrite-
‘WE kunnEn nIEtS vERPLICHtEn, WEL vERLEIDEn’ ria op. Gebruikers willen vaak een applicatie die 24/7 in de lucht is. Met de A&K-analyse brengen we een advies uit over wat het beveiligingsniveau van zo’n applicatie zou moeten zijn. Zo’n advies wordt altijd overgenomen. Provincies laten zich graag adviseren over de beveiligingseisen. Wij zijn op dat vlak deskundig, de beleidsafdelingen bij de provincie logischerwijs niet. Het is niet hun core business.’ De provincies kennen hun eigen Interprovinciale Baseline Informatiebeveiliging, een dynamisch document dat sinds 2010 de normen stelt voor een adequate beveiliging van gegevens. De informatiebeveiligers bij de twaalf provincies, verenigd in het Centraal Informatiebeveiligingsoverleg (CIBO), richten zich op het bijhouden van dit normenkader. GBO Provincies neemt deel aan dit overleg. De provincies zorgen voor het toewijzen van capaciteit en middelen die het CIBO nodig heeft om de baseline actueel te houden. ‘Onze twee security-officers zien toe op de implementatie van de maatregelen die de baseline suggereert,’ vertelt Fransen. Ook helpen ze bij het oplossen van veiligheidsincidenten. Fransen beschijft het CIBO als een levendig gezelschap. ‘De baseline voor informatiebeveiliging wordt breed ondersteund. Het is beslist geen papieren tijger.’ • PvdB 27
FOCUS
VIJF MYTHES OVER INFORMATIEVEILIGHEID
‘NIETS DOEN AAN BEVEILIGING KOST ALTIJD MEER’ 1
‘INFORMATIEVEILIGHEID IS VOORAL EEN KWESTIE VAN TECHNIEK’
Bij het waterschap draait veel om techniek, toch is het handelen van mensen het grootste risico, weet Sennema van Waterschap Aa en Maas. ‘Mensen maken fouten, uit onderzoek blijkt dat sommigen zonder blikken of blozen inloggegevens weggeven. Informatiebeveiliging vereist een cultuurverandering, niet slechts het invoeren van techniek.’ Burgemeester Weerwind van Velsen noemt informatieveiligheid ‘ook een kwestie van cultuur’. Directie, bestuur en ambtenaren: we zijn allemaal verantwoordelijk voor een veilige omgang met informatie, vertelt hij. ‘Als een willekeurige medewerker thuis inlogt op de e-mail van de gemeente en zijn pc niet goed beveiligt, heeft de hele organisatie een potentieel probleem.’ Gemeentesecretaris Irma Woestenberg van Den Bosch beaamt dit. ‘Je moet sloten op de spreekwoordelijke deuren van je organisatie plaatsen. Zoals je thuis risico’s loopt als je de deur niet op slot doet of de sleutels weggeeft, zo heb je ook een probleem met de ICT-beveiliging als mensen zich niet aan de regels houden. De zwakste schakel in informatiebeveiliging is de mens, doorgaans als gevolg van onwetendheid en achteloosheid.’
2
‘HET IS EEN PROBLEEM VAN DE ICT-AFDELING’
‘De ICT-afdeling speelt een belangrijke rol, maar je kunt anderen niet ontslaan van hun verantwoordelijkheden,’ vindt burgemeester Weerwind van Velsen. 28
Vooroordelen zitten soms in de weg om informatieveiligheid echt op orde te krijgen. Directeur Piet Sennema van Waterschap Aa en Maas, burgemeester Franc Weerwind van Velsen, gemeentesecretaris Irma Woestenberg van ’s-Hertogenbosch en rijksbeveiligingsambtenaar Arnoud van Petersen helpen vijf mythes de wereld uit.
ICT-ers zijn niet eindverantwoordelijk, het bestuur is dat. We moeten allemaal fatsoenlijk omgaan met gegevens, omdat burgers daarop moeten kunnen vertrouwen,’ zegt hij. Piet Sennema van Waterschap Aa en Maas is het daarmee eens. ‘Als er ergens een incident is met de beveiliging van een website of e-mail, bel ik de ICT-afdeling met de vraag of dit bij ons ook kan gebeuren. De directie is eindverantwoordelijk, de ICT-afdeling ondersteunt ons,’ stelt hij. ‘De drive om dit goed te regelen moet van de bestuurders komen en vervolgens moet het algemeen bestuur of de gemeenteraad erop toezien dat we het goed doen.’ Rijksbeveiligingsambtenaar Van Petersen wijst erop dat de ICT-afdeling net zo min eindverantwoordelijk is als de CIO. ‘De ICT-afdeling wordt geacht diensten te leveren die voldoen aan de kwaliteits- en veiligheidseisen die door de klant zijn gesteld. Rijksbreed pakken shared service organisaties (sso’s) dit steeds professioneler op. Zo willen we toewerken naar systemen waarmee de sso’s aan hun klantorganisaties aantonen dat ze voldoen aan de informatiebeveiligingseisen die voor hun diensten gelden zoals accreditatie- en certificeringssystemen voor ICT-diensten.’
3
‘DE CIO MOET DE ORGANISATIE VAN DE GEVAREN BEWUST MAKEN’
‘We hebben onlangs bij het waterschap afgesproken dat we iemand in de directie voor informatieveiligheid eindverantwoordelijk maken. Maar feitelijk deelt iedereen in de organisatie de verantwoordelijkheid voor dit onderwerp,’ vertelt Sennema. ‘Driehonderd van de vierhonderd werknemers loggen regelmatig thuis in op het systeem, dus je bent er niet met alleen een plannetje en een audit.’ ‘Het gaat de hele organisatie aan,’ voegt Woestenberg toe. ‘Informatieveiligheid gaat ook over medewerkers. Je moet spelregels hebben; mensen moeten wachtwoorden niet laten rondslingeren en anderen niet laten meekijken bij het inloggen. Het algemeen management moet ervan doordrongen zijn dat veiligheid belangrijk is voor de interne bedrijfsvoering en voor de omgang met vertrouwelijke gegevens van burgers. Het algemeen management moet zich ook bemoeien met de keuzes die je over veiligheid moet maken en dat niet alleen overlaten aan de CIO en techneuten. Vervolgens moeten ze ook zorgen voor bewustwording bij werknemers.’ ‘Het Rijk werkt al jaren met het uitgangspunt dat het lijnmanagement PM SPECIAL OKTOBER 2013
beeld Yvonne Kroese
FOCUS
verantwoordelijk is voor de beveiliging van de eigen informatie, processen en systemen,’ vertelt Van Petersen. ‘De SG is uiteindelijk eindverantwoordelijk voor informatiebeveiliging binnen het eigen departement. De lijn kan echter niet zelfstandig invulling geven aan de verantwoordelijkheid voor informatiebeveiliging. Het lijnmanagement dient hiervoor ondersteund te worden door partijen die kennis van zaken hebben en hun ook gericht advies kunnen geven, zodat zij optimaal invulling kunnen geven aan hun verantwoordelijkheid.’
4
‘SECURITYMAATREGELEN CONSUMEREN AL SNEL DE HELFT VAN HET ICTBUDGET’
‘Da’s echt onzin,’ reageert Woestenberg. ‘In ’s-Hertogenbosch geven we 10 tot 15 procent van ons technische budget uit aan beveiliging van ICT-systemen. De imagoschade voor de overheid als gevolg van Lektober vorig jaar is niet in geld uit te drukken. Bovendien kost te weinig beveiliging je ook geld als het misgaat. Wij hebben vorig jaar zomer te maken gehad met een DDoS-aanval. Om half zes ’s avonds vond de aanval plaats waarna we zo snel mogelijk alle systemen hebben uitgezet. De volgende ochtend was het probleem verholpen. PM SPECIAL OKTOBER 2013
Het heeft ons bewezen dat investeren in veiligheid en een calamiteitenplan zin heeft.’ Weerwind: ‘Er moet een evenwicht zijn tussen de beveiliging van gegevens en de transparantie die een overheidsorganisatie nastreeft. Een te stringente beveiliging zorgt voor een onwerkbare situatie voor de medewerkers. De financiële investering voor informatiebeveiliging is afhankelijk van het beveiligingsniveau, maar de helft van het ICT-budget is een veel te hoge schatting.’ Dat vindt ook Van Petersen. ‘Internationaal wordt aangenomen dat een professionele ICT-organisatie ongeveer 10 procent van het budget zou moeten besteden aan beveiliging. Voor het Rijk heb ik hier geen goede cijfers over, maar bij de enkele sso waar ik dit wel van weet, ligt het rond de 7 procent. Ik verwacht dat het percentage de komende jaren zal stijgen richting die ‘norm’ van 10 procent om alle dreigingen goed het hoofd te kunnen bieden.’
5
‘ER IS GEEN BUSINESSCASE TE MAKEN VOOR SECURITY’
Je kunt proberen dit te doen door de businesscase te baseren op je risicoanalyse, oppert Van Petersen. ‘Dit begint bij het in kaart brengen en beoordelen van je beveiligingsrisico’s. Het liefst zou je dit zo kwantitatief mogelijk willen
doen, maar dat blijkt vaak best lastig. Dat betekent nog niet dat je geen businesscase kunt maken voor bepaalde beveiligingsmaatregelen. Dat kan vaak prima. Je moet dan kijken naar het beveiligingsrendement dat bepaalde maatregelen oplevert. Ter illustratie: de inzet van antivirussoftware levert gemiddeld 50 procent minder virusbesmettingen op. Daardoor hoef ik als organisatie op jaarbasis bijvoorbeeld 1500 incidenten minder af te handelen waardoor ik vier fte 's minder hoef in te zetten. Daarmee zou ik als sso 400.000 euro per jaar minder uit hoeven geven en bovendien heb ik ook minder storingen en mogelijke schade bij mijn afnemers.’ ‘Elke organisatie kan in kaart brengen welke risico’s er zijn en welke wel of niet geaccepteerd kunnen worden,’ zegt Weerwind. Vervolgens richt je de beveiliging daarop in en zoek je uit hoeveel dat kost. Weerwind: ‘Veiligheid kan je wel degelijk in geld vangen. Al moet ik wel waarschuwen: 100 procent veiligheid bestaat niet, dat kan niemand garanderen.’ ‘Wij laten onze organisatie regelmatig hacken om te zien waar het systeem kwetsbaar is,’ vertelt Sennema. ‘Een hack kost een paar duizend euro. Beveiliging kost minder dan je denkt: ongeveer 5 tot 10 procent van het totale budget. Niets doen aan beveiliging kost altijd meer.’ • AK 29
INteRvIeW
KING-dIrecteur tof thIsseN pleIt voor GezameNlIjKe aaNpaK door GemeeNteN
wat betekent de decentralisatie van sociale taken voor de informatiehuishouding van gemeenten? meer dan ooit wordt beveiliging een integrale verantwoordelijkheid, zegt KIng-directeur tof thissen. ‘de keten is zo sterk als de zwakste schakel.’
V
olgens Tof Thissen, algemeen directeur van het Kwaliteitsinstituut Nederlandse Gemeenten (KING), is het de komende jaren dé uitdaging voor de 408 Nederlandse gemeenten om als meest nabije overheid de mensen beter, eerder en slimmer te helpen tegen minder kosten. Daarvoor dient de informatievoorziening goed op orde te zijn. ‘Burgers moeten weten waar ze terecht kunnen, gemeenten moeten weten binnen welke ketens ze functioneren en wat voor informatie ze op welk niveau kunnen ontsluiten. In hun eentje krijgen ze dat niet voor elkaar, dat moet in collectiviteit gebeuren.’ Deze zomer publiceerde KING in opdracht van de VNG de Verkenning Informatievoorziening Sociaal Domein. Daarin wordt gevraagd om een gezamenlijke aanpak voor de gegevensuitwisseling tussen gemeenten en uitvoerders. KING pleit voor een gedegen juridisch kader met ‘een helder afwegingskader over wat wel en niet is toegestaan ten behoeve van één gezin, één plan, één regisseur’. Thisssen: ‘Veell gemeenten zijn druk bezig met de
‘InformatIeveIlIgheId moet speerpunt worden voor de organIsatIe' decentralisaties aan de voorkant, Neem bijvoorbeeld de 875.000 personen die door het Centrum Indicatiestelling Zorg geïndiceerd zijn, die komen nu bij de gemeente terecht. Dat moet je ook ondersteunen met een slimme informatievoorziening aan de achterkant. Het is zaak dat de juiste mensen bij de juiste informatie kunnen.’ Informatieveiligheid blijft altijd een zorgenkindje, aldus de verkenning. Hoe verklaart u dat? ‘Het is een thema dat iedereen aangaat, maar het blijft vaak zweven als er kosten aan verbonden zijn. Dit herken ik nog wel uit mijn tijd als wethouder voor sociale zaken in Roermond. De bedragen die de burgemeester destijds noemde voor de digitalisering van de dienstverlening en ICT-beveiliging, vonden mijn collega’s en ik vaak hilarisch. Maar door de voortgaande 30
digitalisering van de overheid verdient informatiemanagement een prominentere plek op de agenda. Organisatorische en technische maatregelen zijn nodig om beschikbaarheid, vertrouwelijkheid en integriteit van informatie te waarborgen. Nu gemeenten meer uitvoeringstaken krijgen, komen er nog meer gegevens uit verschillende domeinen bijeen. Dit maakt dat beveiliging meer dan ooit een integrale verantwoordelijkheid is. Het moet een speerpunt zijn van de gemeentelijke organisatie.’
Foto KING
‘De juIste meNseN moeteN bIj De juIste INfoRmatIe KuNNeN’
KING-directeur tof thissen
Zijn bestuurders en ambtenaren zich voldoende bewust van informatieveiligheid? ‘Een gevoel van urgentie is noodzakelijk, de keten is zo sterk als de zwakste schakel. Ik zie dit besef groeien. De colleges van BenW krijgen er fors taken bij. Als deze informatievoorziening plat komt te liggen, heeft dat onherroepelijk consequenties voor de openbare orde en veiligheid. Vanuit de Informatiebeveiligheidsdienst voor gemeenten (IBD) helpen we gemeenten bij het preventief en structureel opbouwen van bewustzijn op het terrein van informatiebeveiliging. De IBD biedt gerichte projectmatige ondersteuning en kan worden ingeschakeld bij incidenten en crisissituaties. Ook brengen we het thema actief onder de aandacht van burgemeesters, wethouders en gemeentesecretarissen. Met de gemeenteraadsverkiezingen op komst is het goed na te denken over de plek die informatieveiligheid zou moeten krijgen binnen de nieuwe collegeprogramma’s.’ Welke stappen zijn noodzakelijk? ‘Professionals hebben toegang tot gegevens nodig, maar je moet er niet aan denken dat deze informatie in verkeerde handen valt. Daarom zijn er al een aantal afspraken gemaakt. Zo dient voor het einde van het jaar iedere gemeente een ICT-beveiligingsassessment voor DigiD af te ronden en aan te leveren bij Logius. We hebben het symbolische wc-raampje gedicht, maar er zijn nog tal van andere arrangementen nodig om de veiligheid van informatie te garanderen. Daarom kijken we continu wat gemeenten nodig hebben en waar draagvlak voor is. Door aan de achterkant te werken aan een generieke aanpak, kunnen we gemeenten ontzorgen. Ook de verkenning in het sociale domein werken we nu uit in samenspraak met een aantal gemeentelijke bestuurders. Dit voorstel zal besproken worden op de bijzondere algemene ledenvergadering van de VNG op 29 november.’ • RW pm speCIal oktober 2013
UIT DE PRAKTIJK
URKSE DATA VERHUIZEN NAAR DE CLOUD
‘DE CLOUD WORDT DE TOEKOMST’
U
rk stapt over op de cloud, omdat de conDe gemeente Urk stapt over naar de cloud. ‘Daar liggen de tinuïteit van de ICTgegevens veiliger opgeslagen dan wanneer we het zelf zouden dienstverlening steeds doen,’ zegt gemeentesecretaris Rien Bogerd. ingewikkelder en kwetsbaarder wordt, vertelt Rien Bode back-updata in Haarlem ook sneller legt uit dat er een dubbel digitaal schild gerd, gemeentesecretaris van Urk. Voor geholpen. Dit wordt de toekomst.’ omheen is gebouwd. Medewerkers van een kleine gemeente – het voormalige Het ministerie van Binnenlandse de gemeente moeten geautoriseerd zijn visserseiland in de Noordoostpolder Zaken stelt strenge eisen aan de cloudom langs zowel het eerste als het tweede heeft nog geen twintigduizend inwoopslag van (burger)gegevens. Bogerd schild te komen. Elke medewerker heeft ners en een kleine ambtelijke organisawijst op regels rond de Basisregistraties een persoonlijke code waarmee direct tie – wordt het steeds moeilijker om de adressen en gebouwen (BAG) en ontwikkelingen bij te houden. de Gemeentelijke BasisadminisUrk ging bij het bedrijfsleven tratie personen (GBA). ‘Die gegete rade. ‘Gelet op de kwetsbaar‘EEN DUBBEL DIGITAAL SCHILD vens zijn volgens protocollen van heid en de continuïteit van onze de rijksoverheid opgesteld en wij dienstverlening in de toekomst VERZEKERT DE VEILIGHEID’ voldoen daaraan.’ denken we een goede slag te slaan De continuïteit van de toemet applicaties en gegevens in de gang tot de gegevens is zekerder door ze te herleiden is wat zijn rechten zijn. Iecloud,’ zegt Bogerd. op te slaan bij PinkRoccade, zegt Bogerd. mand met toegangsrechten voor sociale De gemeente Urk ging in zee met ‘Stel dat in Aalsmeer alles stagneert, dan zaken mag niet automatisch ook in de ICT-concern PinkRoccade Local Goverschakelt het systeem over naar Haarlem. belastingdossiers. nment. Dat bedrijf levert digitale appliWij merken dat niet; de continuïteit is Bogerd: ‘Je moet je eerst aanmelden caties op verschillende overheidsterreiverzekerd.’ De toegangseisen zijn wel bij het buitenhek, maar dan ben je alleen nen, zoals onderwijs, sociale zaken en strenger geworden, vindt hij. ‘Dat moet binnen en nog niet bij de gegevens. Dan financiën. De data worden nu overgeook wel. Hier in huis kent de systeemstuit je op het volgende hek en moet je bracht van de eigen servers van Urk naar beheerder elke ambtenaar, daar niet. We aantonen of je geautoriseerd bent om bij die van PinkRoccade in Aalsmeer en – in hebben geconstateerd dat we nu zelf ook specifieke gegevens te komen. Vervolback-upvorm – naar Haarlem. Om wat veel meer aan autorisaties moeten doen.’ gens kom je bij de hekken voor sociale voor gegevens het gaat? Bogerd: ‘Alle be• RvdD zekerheid, het kadaster, de belastingen lastinggegevens bijvoorbeeld.’ enzovoort.’ De gemeente heeft de opslag van applicaties en gegevens weliswaar volledig Bedrijfszeker overgedragen aan PinkRoccade, maar Opslag in de cloud bij een publiek-priblijft zelf eigenaar van de gegevens. Ze vate onderneming is volgens Bogerd worden zowel fysiek als digitaal veilide toekomst voor vooral de kleinere geger bewaard dan voorheen op Urk, legt meenten. ‘Er zijn ook ontwikkelingen Bogerd uit. ‘Neem de back-ups die we dat kleine gemeenten samenwerken deden. Die sloegen we op tape op, elders met grotere centrumgemeenten in de op Urk. Eén keer in de week ging iemand regio. Maar ook al zet je je data bij een met die dingen onder de arm ernaartoe centrumgemeente neer, dan blijft de om het in de kluis te doen.’ kwetsbaarheid. Je zit in één omgeving Het complex in Aalsmeer kent en wordt daardoor afhankelijk. Door de strenge veiligheidseisen. ‘Als ik zelf in applicaties in de cloud te zetten houd je Aalsmeer aan de poort zou verschijnen, zelf de regie en de verantwoordelijkheid, kom ik er niet in,’ zegt de gemeentemaar ben je bedrijfszekerder, minder secretaris. Ook digitaal is het moeilijk kwetsbaar en als je moet uitwijken naar om bij de gegevens te komen. Bogerd
22
PM SPECIAL OKTOBER 2013
31
U P T O D AT E
LEARN EN SHARE MET
DE TASKFORCE BID INFORMATIEVEILIGHEID IS ESSENTIEEL! De digitalisering van overheidsdiensten biedt kansen, maar brengt ook maatschappelijke, politieke en organisatierisico’s met zich mee. Weet u welke risico’s uw organisatie loopt?
BLIJF OP DE HOOGTE van alle ins en outs rond informatieveiligheid en volg de Taskforce BID via www.twitter.com/TaskforceBID
Uw site en dienstverlening kunnen platliggen. Gevoelige gegevens uit een vergunning of aanvraag kunnen op straat komen te liggen. Heeft u erbij stilgestaan dat uw imago als bestuurder of topmanager schade kan oplopen wanneer informatie binnen uw organisatie niet veilig is? Dit leidt uiteindelijk ook tot verlies aan publiek vertrouwen. Het leeraanbod van de Taskforce BID laat u het belang van informatieveiligheid voelen. Daarnaast worden instrumenten aangereikt om te kunnen sturen op informatieveiligheid in uw organisatie.
TEST UW KENNIS met de online test om een beter beeld te krijgen van de verschillende aspecten van informatieveiligheid. Hoe kunt u daar Bestuur & Informatieveiligheid Dienstverlening
ZELF STUREN OP
Zelf stuur zetten op INFORMATIEVEILIGHEID? informatieveiligheid binnen DAT KAN! uw gemeente? Dat kan!
als bestuurder of topmanager op sturen?
VERKEN UW ROL in de confrontatieworkshop en ervaar het belang van een actieve rol van bestuur en management bij een incident. U leert de juiste stuurvragen te stellen.
BESCHERM UW PROCES In de procesworkshop ondervindt u hoe u via red en blue teaming kunt sturen op het aanscherpen van processen op informatieveiligheid. Verdedigt u of valt u aan?
Lever deze De tegoedbon bij ons in en uen kunt als gemeentesecretaris Taskforce Bestuur Informatieveiligheid kosteloos deelnemen aan éénzet vansamen de workshops Dienstverlening met tijdens de twee trainingsdagen die de Taskforce BID organiseert opuit vrijdag 1 en koepelorganisaties concrete acties binnen overheidslaag. Daar is een uitgebreid pakket maandag 4elke november a.s. aan instrumenten voor: workshops, stuurdagen, learn & share-bijeenkomsten, zelftest en simulatie. Bestuurders Tijdens de workshop krijgt u niet alleen en meertopmanagers inzicht, maar ook praktische
MEER WETEN?
handvatten zelf nog effectiever sturing te geven aangereikt aan informatieveiligheid. krijgenhoeconcrete instrumenten om Want…
informatieveiligheid binnen de eigen organisatie
Neem contact op via
te waarborgen en te verankeren. Kijk op onze
Taskforce BID
Vertrouwen, het komt te voet en gaat te paard
voor een In website de digitale wereld waarin we uitgebreid ons bevinden, zijnoverzicht. er ook voor uw gemeente
Wilhelmina van Pruisenweg 104
dagelijks dreigingen op het vlak van informatieveiligheid. Wat gebeurt er
2595 AN Den Haag
bijvoorbeeld als gevoelige informatie van uw gemeente op straat komt te liggen?
WWW.TASKFORCEBID.NL/PRODUCTEN
Of de digitale dienstverlening aan uw burgers niet meer mogelijk is? Naast
T 06 46 87 91 32
financiële en technische gevolgen kunnen deze gebeurtenissen ook uw imago als
E
[email protected]
gemeente en als verantwoordelijke beïnvloeden. En zelfs leiden tot een verlies
W www.taskforcebid.nl
aan vertrouwen bij uw burgers. Wissel uw tegoedbon nu in Interesse? Neem dan contact op met Giulietta Marani via 06 - 183 078 66 of info@taskforcebid. Kijk voor meer informatie op www.taskforcebid.nl
INSPIRATIE HENK WESSELING/ TASKFORCE BID BEKIJK DE FILM