Informatiebeveiliging in Beeld Informatiebeveiliging bij gemeenten, een onmisbaar gegeven als het gaat om vertrouwelijke informatie van burgers. Met de uitvoering van het eerste ICT-Beveiligingsassessment DigiD in 2013 is weer een belangrijke stap voorwaarts gezet. Wij geven u graag een doorkijkje van de samenwerking tussen de IBD en gemeenten op informatiebeveiligingsvlak. Dit keer vanuit het perspectief van het ICT-Beveiligingsassessment DigiD.
2014
Aansluiten bij de IBD
Gemeente Vlaardingen
Bezint eer ge begint
Anita van Nieuwenborg vertelt waarom dit zo belangrijk is.
Als eerste het nieuwe jaarlijks verplichte ICT-Beveiligingsassessment DigiD afgerond.
Sonja Kok neemt ons mee in de wereld van crisiswoordvoering.
10
12
16
Interview Nausikaä Efstratiades
Van grachtengordel naar Firewall Anno 2013 is informatiebeveiliging niet meer weg te denken uit de dagelijkse bedrijfsvoering van ieder zichzelf respecterende organisatie. Daar waar de burgervader in de middeleeuwen de stad en haar burgers beschermde middels een grachtengordel en kanonskogels, maken we tegenwoordig in onze digitale wereld gebruik van virusscanners, een firewall en vele andere beveiligingsmiddelen. Met argusogen kijken velen naar de ontwikkelingen op het gebied van ICT. Het is natuurlijk prachtig dat we thuis kunnen werken en digitaal informatie kunnen versturen, maar de (cyber)criminaliteit neemt hiermee ook andere vormen aan. De ontwikkelingen met bijbehorende veiligheidsrisico’s volgen elkaar snel op. Maar hoe beheersen we de risico’s die hieraan verbonden zijn? Ook binnen de gemeentelijke overheid lopen organisaties tegen
”INFORMATIEBEVEILIGING MAG, ZEKER GEZIEN DE VISIE ’DIGITALE OVERHEID 2017’ VAN MINISTER PLASTERK, NIET MEER ONTBREKEN OP DE GEMEENTELIJKE BESTUURSAGENDA”
deze vraagstukken aan. Niet voor niets hebben gemeenten samen met VNG en KING de handen ineengeslagen om gezamenlijk regie te kunnen voeren op incidenten op informatiebeveiligingsvlak, middels de oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD).
Regie op informatiebeveiliging Sinds 1 januari 2013 is de Informatiebeveiligingsdienst voor gemeenten (IBD) een feit. De IBD is onder leiding van afdelingshoofd Nausikaä Efstratiades voortvarend aan de slag gegaan met het inrichten van haar organisatie en dienstverlening. Efstratiades: ”De IBD is er voor alle gemeenten en richt zich op de bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te
Ook aansluiten bij de IBD? Kijk hiervoor op pagina 10 en 24!
tillen. Samen met het IBD-team, en in nauwe afstemming met onze ketenpartner het Nationaal Cyber Security Center (NCSC) en de gemeenten zelf, zijn we de IBD gefaseerd aan het inrichten. Een aantal grote incidenten, waaronder DigiNotar en Lektober en de collectieve keuze van de gemeenten voor coördinatie en ondersteuning op het gebied van informatiebeveiliging via VNG en KING, hebben geleid tot de oprichting van de IBD. Een hele uitdaging gezien de drie concrete doelen van de IBD.”
De doelen van de IBD De IBD richt zich op op kennisontwikkeling, kennisdeling én kennisvermeerdering op het vlak van informatiebeveiliging. Efstratiades: ”Dat doen we voor alle gemeenten. Dat maakt dat wij ons inzetten voor de realisatie van de volgende drie doelen: allereerst het helpen bij het bewustzijnsvraag-
Nausikaä Efstratiades
stuk, vervolgens centrale coördinatie in geval van incidenten en crisissituaties en tot slot biedt de IBD gerichte projectmatige ondersteuning aan gemeenten. We zijn ons ervan bewust dat de drie concrete doelen niet van vandaag op
morgen gerealiseerd zijn. Daarnaast ben je met bewustwording, gezien de aard van dit onderwerp, ook nooit klaar.
Lees verder op pagina 4
Logius en het NCSC plicaties van NCSC. De norm waar organisaties aan moeten voldoen, wordt gebaseerd op de belangrijkste elementen van die richtlijn.
Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-Beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven. De strekking
van het beleid is dat DigiD gebruikende organisaties jaarlijks een onderzoek (assessment) dienen te laten uitvoeren door een register EDP-auditor op basis van de ICTbeveiligingsrichtlijnen voor webap-
De rapportage over het ICT-Beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. De rapportage, die in overleg met de beroepsgroep van de auditors tot stand is gekomen, bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van alle organisaties die DigiD gebruiken voor het einde van elk kalenderjaar aan Logius verstuurd.
2
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
november 2013
Zowel voor de gemeenteraad als voor het college van B&W. Dus in het weekend kan ik mijn collegestukken en alle stukken voor de gemeenteraad, wanneer we een vergadering hebben, op mijn iPad lezen. Maar binnenkort bespreken we de begroting en die heb ik wel in printvorm want dat is praktischer tijdens de vergadering. Verder werken wij helemaal digitaal. Gemeente Hardenberg was één van de eerste gemeenten die op deze wijze werkte, daar zijn wij dan ook als gemeente gaan kijken.”
Etten-Leur Van Groningen tot aan Zeeland, alle DigD-gebruikende gemeenten staan aan de vooravond om de rapportage van het ICT-Beveiligingsassessment DigiD 2013 in te leveren. Zo ook gemeente Etten-Leur. Via beveiligde deuren worden we naar het kantoor begeleid waar het interview zal plaatsvinden. Vandaag spreken we met de energieke vrouwelijke burgemeester Heleen van Rijnbach over informatiebeveiliging vanuit haar functie als burgemeester van Etten-Leur.
Informatiebeveiligingsbeleid 2014 als ambitieniveau
Burgemeester en ambassadrice Van Rijnbach is geen onbekende in gemeenteland. Tijdens haar loopbaan vervult ze al 16 jaar de functie van burgemeester, waarvan de laatste 5 jaar in Etten-Leur. Momenteel heeft ze diverse onderwerpen in haar portefeuille, waaronder ICT. Van Rijnbach vertelt trots: ”Binnen de portefeuille ICT zoeken we de samenwerking op met andere gemeenten, de zogenaamde ’BERM-gemeenten’. Het gaat om de gemeenten Bergen op Zoom, Etten-Leur, Roosendaal en Moerdijk.” Naast haar dagelijkse functie als burgemeester vervult Van Rijnbach diverse nevenfuncties. ”Ik ben lid van de Raad voor de Financiële Verhoudingen, dat betreft een adviesraad aan het Kabinet en de Kamer. Tevens ben ik vicevoorzitter van het Nederlands Genootschap van Burgemeesters, waarin ik de portefeuille Professionalisering heb. Hierbij doen we veel aan opleidingen voor zowel zittende als nieuwe burgemeesters.”
Een kwestie van goed organiseren Het onderwerp informatiebeveiliging bevindt zich nog in de pioniersfase. Langzaamaan raken organisaties hier meer bekend mee en weten ze de organisatie op dusdanige wijze in te richten dat het onderwerp met bijbehorende risico’s continue aandacht krijgt. Maar in hoeverre ben je hier als bestuurder inhoudelijk van op de hoogte? ”Als portefeuillehouder ben je eindverantwoordelijke, maar je gaat er vanuit dat het allemaal geregeld is. Bestuurlijk gezien heb je niet zo veel te maken met wat er allemaal achter de schermen gebeurt. Voor ons is het vanzelfsprekend dat we het intern goed oppakken, want daar ligt het besef. Ik ben geen manager en ik moet me niet te veel met de inhoud bemoeien. En natuurlijk ben ik wel eens kritisch, maar je gaat er gewoon vanuit dat het opgepakt wordt. Ik noem even een voorbeeld. In het kader van onze samenwerking met de BERM-gemeenten heeft de staf voorgesteld om een beveiligingsadviseur aan
een opmerking over bijvoorbeeld informatiebeveiliging en dan zegt men: ’Oh, daar hoeft u zich helemaal geen zorgen over te maken, dat hebben we al lang aangepakt’. Dat geeft een heel goed gevoel. Maar ook bij storingen in het weekend word ik als bestuurder goed op de hoogte gesteld van de calamiteiten. Voor mij is het duidelijk, het is een afdeling met hele betrokken deskundige medewerkers.”
Heleen van Rijnbach
te stellen. Want de firewall is misschien wel goed maar er zit natuurlijk veel meer achter. Zeker als je in het nieuws hoort wat er allemaal gebeurt. Een leek snapt ook dat een gemeente heel kwetsbaar is, kijk maar naar de afluisterpraktijken bij bondskanselier Merkel. De keuze van het aanstellen van een beveiligingsadviseur is verder goedgekeurd door de directie. Dat gebeurt gewoon in het dagelijkse proces, daar word je als bestuurder verder niet bij betrokken.”
Betrokken medewerkers binnen Etten-Leur ”Als ik zit te lunchen, schuif ik regelmatig aan bij verschillende tafels. Zo ook bij de ’ICT-tafel’. En dan stel ik een vraag of maak ik
”Het ICT-Beveiligingsassessment DigiD is natuurlijk een mooie kapstok en het is een onderdeel van het grote geheel. Het informatiebeveiligingsbeleid is het bredere kader wat gebaseerd is op ISO27000, die grote gelijkenissen vertoont met de Baseline Informatiebeveiliging Nederlandse
”het is een afdeling met hele betrokken deskundige medewerkers”
Gemeenten (BIG). De vier BERMgemeenten hebben gezamenlijk een informatiebeveiligingsbeleid ontwikkeld. Dat beleid is ontwikkeld binnen iedere organisatie in samenspraak met het bestuur. Dat betekent dat het college van B&W het goedgekeurd heeft. Jaarlijks gaan we dit informatiebeveiligingsbeleid evalueren. We bekijken: wat we hebben bereikt, wat
Informatiebeveiliging in Beeld
de tegenvallers zijn, wat de meevallers zijn en welke activiteiten er voor volgend jaar op de planning staan. Het informatiebeveiligingsbeleid beschrijft een ambitieniveau wat we, middels de geplande activiteiten in 2014, proberen te bereiken. De initiatieven komen soms vanuit het management, soms vanuit de bedrijfsvoering of soms vanuit de vakafdeling waarbij de wet- en regelgeving bepaalde aspecten voorschrijven die geregeld moeten worden. Informatiebeveiliging gaat bij onze gemeente wel een stap verder en is onderdeel van het proces.”
Combinatie van maatregelen treffen en bewustzijn verhogen Informatiebeveiliging laten landen in je organisatie is een combinatie van maatregelen treffen en het bewustzijn verhogen. Realiseer je hoe kwetsbaar je bent als je het niet goed regelt. ”We zetten daar relatief hoog op in. Je kunt bij informatiebeveiliging twee dingen doen. Als eerste kun je allerlei technische maatregelen treffen, met andere woorden: ’meer prikkeldraad om dit huis zetten’. Dat kost handen vol met geld, geeft een bepaalde mate van zekerheid maar ook een bepaalde mate van schijnzekerheid. Er staat een hek omheen, dus er zal wel niks in- en uitkomen. Als tweede kun je het bewustzijn vergroten. Je ziet wat
er in de buitenwereld gebeurt: informatie die op je iPad of computer beschikbaar is en zomaar op straat terecht komt. Het is een simpele vergelijking, maar er zit veel meer achter. In het kader van de tijdgeest kun je daar dus niet om heen. Wij vertalen het bewustzijn binnen de gemeenten naar een drie-eenheid: 1. Vrijheid in keuzes 2. Verantwoordelijkheid dragen en 3. Vertrouwen krijgen en geven. Dat is onderdeel van het informatiebeveiligingsbeleid.”
Samenwerking gemeenten zorgt voor continuïteit Vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) en vanuit het Rijk wordt samenwerking tussen gemeenten gestimuleerd. Hierbij worden ’ken-
”Doordat we nu samenwerken zijn er bijvoorbeeld altijd mensen beschikbaar om het probleem op te lossen”
nisdeling’ en ’reducering van kostenposten’ als belangrijke argumenten aangedragen. Van Rijnbach vertelt dat de samenwerking tussen de gemeenten in West-Brabant sterk is. ”Wij hebben versterking gezocht in de samenwerking met 4 gemeenten, de BERM-gemeenten. We zetten ICT echt op de kaart en we gaan ervoor zorgen dat de kwaliteit en de kwantiteit verbeterd wordt. Doordat we nu samenwerken zijn er bijvoorbeeld altijd mensen beschikbaar om een probleem op te lossen. Vroeger hadden we bij een storing op vrijdagmiddag geen capaciteit in verband met een vrije dag of feestje en was je ’s maandags aan de beurt. Nu zijn de continuïteit en de kwaliteit van de dienst gewaarborgd.”
Uit het interview met burgemeester Van Rijnbach is gebleken hoeveel vertrouwen ze heeft in de deskundigheid van haar medewerkers. Met één van haar medewerkers, Hans Baaten, kijken we samen naar de ontwikkelingen rondom het DigiD-assessment en welke rol hij daarin vervult.
Op dit moment lijkt het erop dat Etten-Leur voorop loopt om de technologische ontwikkelingen te verankeren in de organisatie en om hierbij deskundige mensen aan zich te binden. Maar hoe ziet
Baaten is informatiebeveiligingsadviseur voor gemeente Bergen op Zoom, Etten-Leur en Roosendaal. ”Ik ben een lange periode werkzaam geweest in de commerciële wereld bij een grote ICT-organisatie, waar ik diverse rollen heb vervuld. Sinds een half jaar ben ik werkzaam voor een aantal Brabantse gemeenten.”
Van Rijnbach de toekomst: ”Informatiebeveiliging is een onderwerp waar wij niet meer omheen kunnen. Op sommige fronten lijkt het alsof wij zo lek als een mandje zijn. Het is erg fijn dat we deskundigheid in huis hebben gehaald om daar aandacht aan te besteden. Dat zal ook zo blijven, het project is na een jaar niet klaar. Het onderwerp zal steeds lastiger worden, waarbij het een kunst is om je medewerkers zo te scholen dat ze hier alerter op worden en dan bedoel ik niet alleen de ICT-afdeling. Het gaat ook juist om de andere afdelingen, omdat de problemen vaak zitten in basishandelingen zoals afhandeling van e-mails en dergelijke. Daarnaast werkt onze gemeente graag mee aan pilotprojecten, omdat je dan innovatief bent en voorop loopt. Wij zijn als gemeente op de tweede plaats geëindigd als beste werkgever 2013 en wij zijn de beste MKB-gemeente van WestBrabant. We willen het gewoon goed doen. We zijn initiatiefrijk, hebben goede medewerkers en hebben een college van B&W dat deze houding en initiatieven stimuleert.”
Deskundigheid voor Etten-Leur Met een HEAO-opleiding Bedrijfskunde en Informatica, aanvullend een opleiding Veranderkunde aan Nyenrode Business Universiteit en een 17-jarige loopbaan aan de software-ontwikkelkant kun je stellen dat gemeente Etten-Leur sinds een half jaar deskundigheid op het gebied van informatiebeveiliging in huis heeft gehaald. ”Ik ben ICT-adviseur voor Bergen op Zoom en daarnaast ben ik Information Security Officer voor de gemeenten Bergen op Zoom, Etten-Leur en Roosendaal. Ik werk vanuit een regierol en dat is waar deze gemeenten sterk op insteken. We zijn een regie- en netwerkorganisatie aan het worden. Dat houdt in dat steeds minder operationele taken worden uitgevoerd door mensen die bij ons op de loonlijst staan en dat we die taken uitbesteden aan andere organisaties. Dat betekent dus dat we regie moeten kunnen voeren. Het vraagt dan ook competenties aan de vraagzijde. Als je taken uitbesteedt ben je er niet van af, je krijgt er andere zorgen bij. De
”een aantal commerciële partijen als partner is van belang”
BERM-gemeenten werken op allerlei manieren samen. Momenteel zijn ze bezig om een soort Shared Service Centrum in te richten voor ICT.”
Business en ICT met elkaar in gesprek
Etten-Leur werkt digitaal Wat opvallend is, is dat tijdens het gesprek de iPad van Van Rijnbach binnen handbereik ligt. ”Wij hebben alle stukken gedigitaliseerd.
Het ICT-Beveiligingsassessment DigiD in de eindfase november 2013
Toekomst
”Informatiebeveiliging hoort er gewoon bij”
”We raden haar wachtwoord nooit.”
3
2014 - Editie ICT-Beveiligingsassessment DigiD
In een eerder interview met gemeente Nieuwegein stonden we stil bij het feit dat ’Business’ en ’ICT’ met elkaar in gesprek moe-
ten komen. Ook Baaten heeft een groot deel van zijn carrière gewijd aan dit punt. ”Met andere woorden ’hoe praten Business en ICT met elkaar’ of beter gezegd ’hoe praten ze niet met elkaar’. Ik heb er ook een white paper over geschreven. Daar is veel over te vertellen zoals hoe werken business en ICT met elkaar, hoe organiseer je dat, welke dynamiek zit daar in en welke vaardigheden heb je nodig om daarin te laveren. Juist die ervaring is een grote toegevoegde waarde in mijn
rol voor de BERM-gemeenten vanuit de discipline informatiebeveiliging.”
Partners aan je binden In de wereld van informatiebeveiliging kun je als organisatie niet alléén opereren om veiligheid te creëren op zowel fysieke als digitale domeinen. Baaten zegt hierover het volgende: ”Enerzijds kijk je wat de gremia zijn waar je bij wilt aansluiten. Omdat er zoveel ontwikkelingen zijn, moet je goed kijken wie je partners worden die ons daarover informeren en dat wij hen ook kunnen benaderen indien er complicaties optreden. Dus een aantal commerciële partijen als partner is van belang. Daarnaast vind ik het bestaan van de Informatiebeveiligingsdienst voor gemeenten (IBD) ook zeer prettig. Indien zich calamiteiten voordoen kan ik de IBD bellen voor directe ondersteuning, mits wij aangesloten zijn bij de IBD natuurlijk. Als we dat allemaal zelf zouden moeten doen lukt ons dat niet. De regie en netwerkgedachte daarbij is handig. Ook de proactieve
gedachte met het uitsturen van kwetsbaarheidswaarschuwingen vanuit de IBD geeft een zeker gevoel. Dat is een borging die ik zelf nooit kan inbouwen. Met andere woorden, zoek de juiste partners op. Zowel commerciële als nietcommerciële.”
Stand van zaken DigiDassessment ”In maart 2013 is bij de gemeenten Bergen op Zoom, Etten-Leur en Roosendaal een nulmeting uitgevoerd op Information Securtiy, gebaseerd op ISO27000. De gemeenten wilden weten hoe ze ervoor stonden op het gebied van beleid en infrastructuur. Daar kwam een aantal groene, rode en oranje vlaggen uit. Een externe partij heeft ons ondersteund bij het opstellen van het informatie-
beveiligingsbeleid en vervolgens is een informatiebeveiligingsplan opgesteld. Daarna zijn we gestart met het uitvoeren van de DigiD pre-assessment voor deze 3 gemeenten. Dat heeft geresulteerd in een aantal bevindingen op de 28 normen, waarvan 5 specifiek voor onze organisaties. Om later in het jaar voor het echte ’examen’ te slagen, moesten deze bevindingen worden opgelost en dat punt hebben we nu bereikt. Voor zowel Etten-Leur als Roosendaal geldt dat de digitale dienstverlening via de website wordt aangeboden. De DigiDaansluiting verloopt dan ook via het CMS van Greenvalley. De website wordt extern gehost. In Bergen op Zoom is het iets complexer omdat zich daar nog een middleware laag tussen de website en de DigiD-aansluiting bevindt. De complexiteit van de DigiD-audit schuilt dus vooral in de technische aspecten: hosting, middleware en connecties. Voor het welslagen van de audit is een goede opdrachtgever – opdrachtnemer relatie met de leveranciers belangrijk. Enerzijds
Hans Baaten
moeten wij, de gemeenten, hen van juiste, actuele informatie voorzien over bijvoorbeeld onze architectuur. Aan de andere kant heeft de opdrachtnemer, in dit geval de leverancier, een product ontwikkeld en verkocht maar heeft hij het ook in technisch beheer. Dus de leverancier kent ook de technische oplossing. Voor hen liggen daar ook uitdagingen om de technische normen te interpreteren en hun product, de software, daar op aan te passen. Wat betreft het DigiD-assessment zitten we nog te wachten op de TPM van onze leverancier. De bewijsvoering voor onze ’eigen’ normen is rond en de map voor de auditor ligt klaar. Achteraf gezien heeft het assessment meer doorlooptijd en meer inspanning gekost dan ik had verwacht. Indien het toetsingskader en de normen in 2014 hetzelfde blijven dan moet het volgende DigiDassessment eenvoudiger uit te voeren zijn.”
Initiatieven informatiebeveiliging voor 2014 ”In het informatiebeveiligingsplan is een lijst aan initiatieven opgesteld om ons ambitieniveau in 2014 te behalen. Eén van de activiteiten die op de planning staat is het uitvoeren van een Business Impact Analyse.
Lees verder op pagina 23 Baaten geeft ook een aantal tips: ” Begin in 2014 op tijd aan je DigiD-assessment; Documenteer wat je gedaan hebt en doe dat veilig; Werk samen met je auditor door bijvoorbeeld al een pre-assessment uit te voeren. Hij beoordeelt tenslotte ook de normen en heeft daarbij veel nuttige tips.”
4
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Informatiebeveiliging in Beeld
5
2014 - Editie ICT-Beveiligingsassessment DigiD
Samenwerking staat centraal ties in Nederland bedient, doet de IBD dat voor alle gemeenten. De IBD en de Taskforce BID werken veelvuldig samen op het vlak van bewustzijnsopbouw en kennisdeling als het gaat om informatieveiligheid. Met als doel om binnen de gemeentelijke overheid de gerichtheid op het onderwerp verder te verscherpen. ”Dat doen wij onder meer door gezamenlijk initiatieven op het gebied van informatieveiligheid op te starten. Denk bijvoorbeeld aan leercommunities. Je ziet dat gemeenten elkaar steeds meer opzoeken om kennis uit te wisselen of om daadwerkelijk samen te werken, zo delen meerdere kleine gemeenten kennis door één Concern Information Security Officer (CISO) aan te stellen. De instemming met de VNG voor het aannemen van de Resolutie Informatiebeveiliging ’randvoorwaarde voor de professionele gemeente’ is een mooi en recent voorbeeld van deze samenwerking. Gezien de economische tijden waarin we met minder budget meer moeten realiseren, zijn dat positieve ontwikkelingen. Op deze wijze wordt de gemeentelijke overheid gezamenlijk krachtiger als het gaat om informatiebeveiliging, zowel op inhoud als op regie. Naar mijn mening, een positieve ontwikkeling waar ik me graag voor inzet.”
Vervolg van de voorpagina (interview met Nausikaä Efstratiades)
Vandaar dat wij hebben gekozen voor een gefaseerde opbouw van de IBD. We hebben ons eerst gericht op het intern optuigen van de organisatie en de bemensing. Parallel hebben we het project ’ ICT-Beveiligingsassessment DigiD’ uitgevoerd en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Nu zitten we sinds augustus in de fase waarin de gemeenten ’officieel’ kunnen aansluiten bij de IBD zodat we gemeenten ook bij gemeente specifieke incidenten kunnen gaan ondersteunen.”
Mijlpalen Het eerste jaar van haar bestaan heeft de IBD hard gewerkt om een stevig fundament te leggen. ”We hebben een aantal mijlpalen bereikt. De ene iets meer zichtbaar voor gemeenten dan de andere, maar het kost tijd om een kwalitatief goede organisatie te bouwen. ”Afgezien van de oprichting van de IBD, is in 2013 veel energie gestoken in de ondersteuning van gemeenten vanuit het project ICT-Beveiligingsassessment DigiD. ”Hierbij ondersteunen we gemeenten met een of meer DigiD-koppelingen, die dit jaar voor het eerst het ICT-Beveiligingsassessment DigiD hebben moeten afronden.
”Je kunt sloten aan je hek hangen maar als we vergeten het hek op slot te doen, maken we het de inbreker wel heel gemakkelijk”
Tijdens de uitvoering van het ICTBeveiligingsassessment DigiD hebben we gemerkt dat door het uitvoeren van het assessment ook het bredere onderwerp informatiebeveiliging meer en makkelijker gaat leven bij gemeenten, zowel op bestuurlijk als op operationeel niveau. Dat is een zeer belangrijke ontwikkeling aangezien de menselijke factor vaak de zwakste schakel is in het beveiligen van je organisatie. Je kunt sloten aan je hek hangen maar als we vergeten het hek op slot te doen, maken we het de inbreker wel heel gemakkelijk. Het bij medewerkers verhogen van het bewustzijn op informatiebeveiligingsvlak is van cruciaal belang. Het is een misverstand om te denken dat dit onderwerp met techniek alleen te regelen is. Veel
invullen en hun taken goed uitvoeren. De gegevensuitwisseling tussen gemeenten en uitvoerders in
”Het moge duidelijk zijn dat we in een tijdperk leven waarin informatie in grote hoeveelheden beschikbaar is”
het sociaal domein vraagt daarom om een gezamenlijke aanpak. Zo ook op het gebied van informatiebeveiliging. ”Het moge duidelijk
zijn dat we in een tijdperk leven waarin informatie in grote hoeveelheden beschikbaar is. De ontwikkelingen in de digitale wereld hebben hieraan actief bijgedragen. Door de drie decentralisaties krijgen gemeenten er de komende jaren belangrijke taken bij en worden de huidige taken uitgebreid. Persoonsgegevens van burgers staan hierbij centraal. Door onder meer de combinatie van alle nieuwe datasets die in beheer komen bij gemeenten, worden gemeenten kwetsbaarder. Het is van belang dat gemeenten zich hiervan bewust zijn en processen en gedrag hierop aanpassen. De BIG geeft hiervoor een stevig fundament. Informatie mag uiteraard alleen gebruikt worden daar waarvoor het bestemd is. Hierdoor krijgen gemeenten nog meer verantwoordelijkheden en zijn zij dus
nog kwetsbaarder op het gebied van informatiebeveiliging als het gaat om hun digitale dienstverlening.”
De zwakste schakel? ”We zijn zo sterk als de zwakste schakel. Alle gemeenten hebben als collectief de handen ineengeslagen voor de oprichting van de IBD. Laten we met elkaar het onderwerp op de bestuurstafel houden en werken naar een beheersbare situatie in de toekomst. Sluit als gemeente snel aan bij de IBD en deel kennis met collega-gemeenten via de IBD community. Samen staan we immers sterk als het om informatiebeveiliging gaat.”
Diman Kamp & Raymond de Keijzer, Baker Tilly Berk, auditor gemeente Velsen. Tips en Tricks: egin tijdig aan de voorbeB reidingen voor het DigiDassessment in 2014. Aangezien informatiebeveiliging nog een vrij onontgonnen gebied is voor vele gemeenten, plan ruim de tijd in om het DigiDassessment te kunnen uitvoeren. Creëer samen met Logius en de auditor helderheid omtrent interpretatie van de normen. Dat verkort de doorlooptijd van het DigiDassessment in 2014.
Aansluiting bij de IBD
belangrijker nog is het menselijk gedrag. Het lastige is echter, met techniek iets oplossen geeft vaak direct een meetbaar resultaat, een hoog bewustzijnsniveau creëren is veel complexer. Je leest dat ook terug in de interviews die we gedaan hebben bij verschillende gemeenten. De interviews zijn gepubliceerd op onze IBD-website, met als doel om deze ervaringen te delen met andere gemeenten. Hierin hebben zowel burgemeesters, wethouders, gemeentesecretarissen als ICT-collega’s hun ervaringen en uitdagingen gedeeld over zowel informatiebeveiliging als het assessment.”
Implementatie informatiebeveiliging bij gemeenten Om een stevig fundament te leggen op informatiebeveiligingsgebied heeft de IBD begin 2013 de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. De BIG is een direct afgeleide van de Baseline Informatiebeveiliging van het Rijk (BIR). Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ’in control’ is op het gebied van informatiebeveiliging. Met de totstandkoming van de BIG is een belangrijke stap voorwaarts
gezet op het vlak van informatiebeveiliging binnen de gemeentelijke markt. Uiteraard pas met echt succes wanneer elke gemeente gestart is met de implementatie van de BIG. ”Deze BIG betreft 3 varianten, een strategische, een tactische en een operationele variant. De BIG is beschikbaar voor alle gemeenten, zodat iedere gemeente aan de slag kan met de implementatie van de
BIG. De BIG is kosteloos te downloaden op de Community Informatiebeveiliging (in Word) en op de IBD-website (in PDF). Op basis van de strategische en tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is de IBD overgegaan op de ontwikkeling van operationele BIGproducten. De eerste producten van de operationele variant van de BIG
zijn sinds september beschikbaar voor alle gemeenten. Met dank aan alle betrokken gemeenten die deze producten reviewen en natuurlijk de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) die de producten deels financiert en redigeert.” In de Buitengewone Algemene Ledenvergadering (BALV) van de VNG hebben gemeenten met een grote meer-
Wim Zethof, B-Able, auditor gemeente Etten-Leur Tips en Tricks van de auditor: Voorbereiding op het ICT-Beveiligingsassessment (pre-audit) moet zorgvuldig worden uitgevoerd, zodanig dat de rolverdeling tussen audittee en auditor goed wordt gepositioneerd. Voor de audittee betekent dit dat tijdig wordt gestart met de opbouw van een dossier waarin al het relevante ’evidence’ juist en volledig wordt opgeslagen. De auditor heeft hierbij een faciliterende en sturende rol. Zorg voor kwaliteit van ’evidence’-documenten, zodanig dat er een directe relatie bestaat tussen een document en de onderbouwing van opzet en bestaan van relevante beveiligingsrichtlijnen en -maatregelen. Belangrijk kwaliteitsaspect hierbij is dat documenten geformaliseerd zijn met een definitieve status. Betrek het management bij het ICT-Beveiligingsassessment DigiD; het assessment maakt onderdeel uit van een breed belang namelijk het inrichten en inbedden van informatiebeveiliging in een organisatie. In het assessment komt dit aan de orde bij beveiligingsrichtlijn B7-9, die onder meer gaat over governance, organisatie, rollen et cetera met betrekking tot informatiebeveiliging. Als uitvoerend auditor vind ik het van essentieel belang dat deze problematiek in brede zin onder de aandacht wordt gebracht bij het verantwoordelijk management. Maak tijdig afspraken met serviceproviders over het verstrekken van ’assurance’ omtrent uitbestede activiteiten, verband houdend met digitale dienstverlening; blijft een gemeente hierbij in gebreke, dan wordt mede het proces van tijdige ’assurance’ verstrekking door derde partijen ernstig vertraagd. Deze ontwikkeling heeft er wel toe bijgedragen dat gemeentelijke organisaties zich inmiddels bewust zijn van hun verantwoordelijkheden ten aanzien van uitbestede activiteiten.
derheid van stemmen ingestemd met de Resolutie ’Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Dit betekent dat iedere gemeente onderschrijft informatieveiligheidsbeleid vast te stellen aan de hand van de BIG. In het kader van zelfregulering bepalen gemeenten zelf de prioriteiten binnen de BIG waarmee de eigen gemeente aan de slag wil. Omdat het onderwerp informatiebeveiliging na een diversiteit aan virussen en aanvallen binnen gemeenten verscherpt en soms ook onbewust op het netvlies is gekomen, moeten organisaties echt gericht samenwerken om de risico’s beheersbaar te houden. Efstratiades: ”De oplossing is even simpel als complex: structurele bestuurlijke aandacht voor én sturing op het onderwerp. Scherp oog hebben voor de veiligheidsrisico’s en uiteraard ook voor de scenario’s die ingezet worden in geval dergelijke risico’s zich voordoen, is onontbeerlijk.” Om deze doelen naar behoren te kunnen vervullen, zoekt de IBD ook de samenwerking op met organisaties die gelijke doelen nastreven, waaronder de Taskforce BID en het NCSC. De IBD werkt als eerste zogenaamde schakelorganisatie samen met het NCSC. Daar waar het NCSC de vitale organisa-
Zoals iedereen weet, is de IBD er voor alle gemeenten. Ondersteuning op dit vlak gebeurt door de IBD-Helpdesk en via de website. Wanneer een gemeente ook op specifiek vlak ondersteund wil worden door de IBD, heeft de IBD concrete input nodig over de gemeentelijke ICT-omgeving: ”Hiervoor is het noodzakelijk dat elke gemeente zich ’officieel aansluit’ bij de IBD. Daarnaast betekent ’aansluiting’ ook dat u als gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te kunnen nemen. Kortom, bent u als gemeente nog niet aangesloten bij de IBD? Dan bij dezen de oproep om u zo snel mogelijk hiervoor aan te melden bij onze Helpdesk.”
Informatiebeveiliging en de drie decentralisaties
Onze firewall beschermt nauwelijks onze inhoud
De DigiD kruiswoordpuzzel Horizontaal
7
1. Bescherming
1
2. Een verbeterde versie
8
3. Beveiliging 4. Onderzoeksmethode 5. Programma dat 2
computers infecteert In 2015 worden gemeenten verantwoordelijk voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. Een deel van deze taken hebben zij nu ook al, een deel nemen zij over van de rijksoverheid. De gemeenten hebben het voortouw en een eigen verantwoordelijkheid bij de decentralisatie van overheidstaken. Het merendeel van deze taken zullen gemeenten op lokaal niveau uitvoeren. Daarvoor moeten gemeenten op bestuurlijk, ambtelijk en financieel gebied samenwerken. Alleen op die manier kunnen gemeenten hun nieuwe verantwoordelijkheden adequaat
10
Verticaal
9
6. Baseline Informatiebeveiliging Nederlandse Gemeenten 7. Digitale identiteit
5
8. De specifieke typering van een persoon 9. Ongewenste e-mail 10. Een instrument dat wordt
3
ingezet voor toetsing en beoordeling
Lees de oplossing op pagina 16
4
6
6
Bert Blase
Het ICT-Beveiligingsassessment DigiD is één van de vele ICT-projecten, die op de agenda staat voor de gemeente Alblasserdam. We kijken samen met Bert Blase, burgemeester van Alblas-
Informatiebeveiliging in Beeld
de uitvoering van het ICTBeveiligingsassessment DigiD voor de gemeenten
De wereld digitaliseert,
De Drechtsteden
sef daarvan is belangrijk,
op bestuurlijk niveau goed geborgd te hebben, hebben we vanuit de Drechtsteden in het Drechtstedenbestuur wethouder Henk Mirck aangewezen als portefeuillehouder ICT. Hij is dus coördinerend portefeuillehouder. Op deze wijze wordt regie gevoerd aangaande informatiebeveiliging. Ondanks de regionale coördinerende rol van de heer Mirck, wordt er echter wel 6 keer een ICTBeveiligingsassessment DigiD afgenomen. De ICT-systemen worden wel centraal gefaciliteerd, maar de processen vormen onderdeel van de verantwoordelijkheid van het lokale bestuur van de gemeenten. Dit houdt ook in dat het projectvoorstel naar alle 6 gemeenten werd gestuurd en dus 6 keer werd vastgesteld, alvorens de uitvoering van het assessment van start kon
”Informatiebeveiliging kent naast ICT ook een menselijke factor”
binnen het samenwerkingsverband de Drechtsteden. De Drechtsteden verwijst naar een samenwerkingsverband tussen een zestal gemeenten in de provincie Zuid-Holland. Het gaat om de gemeenten Dordrecht, Papendrecht, Sliedrecht, Zwijndrecht, Alblasserdam en Hendrik-Ido-Ambacht. De goed gehumeurde burgemeester van Alblasserdam vertelt duidelijk over de wijze waarop het samenwerkingsverband de Drechtsteden functioneert. Zijn dubbele pet maakt dat de heer Blase breed onderlegd is op zowel gemeentelijk als regionaal niveau. Naast zijn functie als burgemeester, is hij ook vicevoorzitter van het Drechtstedenbestuur.
gaan. Het samenwerkingsverband maakt de uitvoering van het ICTBeveiligingsassessment DigiD niet complexer. Wij hebben het inmiddels zo georganiseerd dat, ook al hebben we de bevoegdheden niet overgedragen, we de uitvoering met stevige regie doen. De portefeuillehouder ICT en (ambtelijk) de CIO houden gezamenlijk de regie.”
Informatiebeveiliging en privacy Het onderwerp ’informatiebeveiliging’ komt mede vanwege de aankondiging van het ICT-Beveiligingsassessment DigiD veelvuldig op de agenda van de 6 gemeenten voor. Blase beschrijft hoe hij het thema ziet. ”Informatiebeveiliging is niet alleen een zaak van bescherming van privacy en van persoonsgegevens. Het is natuurlijk van groot
7
2014 - Editie ICT-Beveiligingsassessment DigiD
ook bij gemeenten. Bewant de veiligheid van de gemeentelijke informatiestromen wordt hierdoor nog crucialer. Burgers moeten immers kunnen vertrouwen op veilige digitale dienstverlening.
november 2013
Nieuwegein
We spreken met een bevlogen burgemeester, Frans Backhuijs, over digitalisering én informatiebeveiliging vanuit zijn rol als burgemeester van Nieuwegein.
belang dat de gegevens van onze inwoners in Alblasserdam goed beveiligd zijn. Maar de discussie reikt verder dan alleen de bescherming van privacy. Het gaat ook om beveiliging van gegevens in het algemeen en van onze systemen. Er is momenteel veel te doen over het onderwerp in de media. Maar hoe kwetsbaar zijn we? En op welke vlakken? Hoe beschermen we de privacy? Hoe worden onze infrastructurele systemen beveiligd? Hoe snel kan iets gehackt worden? Denk maar aan het borgen van veiligheid bij sluizen, bruggen en op het spoor. Er zijn nog zoveel vragen vanwege onze ’nieuwe’ digitale samenleving. Met andere woorden, dit onderwerp kan absoluut niet meer van de bestuurlijke agenda af.”
Informatiebeveiliging; van incidenteel naar structureel ”Het verplichte jaarlijks terugkerende ICT-Beveiligingsassessment DigiD is een van de redenen dat informatiebeveiliging een belangrijk onderwerp is op de gemeentelijke agenda’s. Maar ook door zaken als DigiNotar. Dat zijn incidenten, die je als burgemeester uiteraard direct meekrijgt,
Lokaal en regionaal beleggen ”Vanuit het samenwerkingsverband de Drechtsteden kennen we lokale en regionale verantwoordelijkheden. Binnen de gemeente Alblasserdam is de wethouder P&O bijvoorbeeld verantwoordelijk voor de inrichting van de organisatie. Daarmee raakt de portefeuille van de wethouder P&O mijn verantwoordelijkheden als burgemeester aangaande beveiliging en privacy. Op regionaal niveau betekent dit, dat de bevoegdheden binnen dit specifieke domein ’informatiebeveiliging’ niet zijn overgedragen en dus nog bij het lokale bestuur van elke gemeente liggen. De gemeenten in de Drechtsteden werken echter wel nauw samen. Om het geheel ook
Informatiebeveiliging in Beeld
september 2013
serdam, naar het thema ’informatiebeveiliging’ en
2014 - Editie ICT-Beveiligingsassessment DigiD
”Dat is meestal geen goed teken.”
met als gevolg dat je er samen met je gemeentesecretaris en je portefeuillehouder ook aandacht voor vraagt. Als burgemeester ben je vanuit je verantwoordelijkheid extra gevoelig voor incidenten. Maar doordat je integrale verantwoordelijkheid hebt, heb je zowel in incidentele als in structurele zin je antenne open staan. Daarom heb ik ook een korte lijn met Nico Noorland, Concern Informatie Adviseur voor gemeente Alblasserdam.”
invloed op alle domeinen in ons leven, zowel zakelijk als privé. Ik heb niet de illusie dat we in deze fase van de ontwikkeling al een finaal antwoord hebben op onze vraagstukken. De inspanningen van ons allen, waaronder het Rijk, de Vereniging van Nederlandse Gemeenten (VNG), en de Informatiebeveiligingsdienst voor gemeenten (IBD), samen met alle gemeenten vallen voor mij nog onder het kopje ’samen ontdekken’.”
Een gewaarschuwd mens…
ICT-Beveiligingsassessment DigiD
”Afgezien van de verantwoordelijkheid op het werk, werd ik vanuit mijn privé situatie al vaker gewezen op de kwetsbaarheden van overheidssystemen op het gebied van informatiebeveiliging. Incidenten als DigiNotar kwamen dan ook voor mij niet als donderslag bij heldere hemel. Ik ben me bewust van de kwetsbaarheid van digitale systemen, maar ook van onze eigen systemen. Iedereen weet hoeveel gevoelige informatie een burgemeester ontvangt. Enerzijds over personen uit de gemeente, anderzijds over openbare orde zaken. Dan wil je graag weten of die systemen niet makkelijk kunnen worden gehackt. DigiNotar heeft mij in dat opzicht niet verrast, maar er kwam wel weer een dimensie bij.
Als vicevoorzitter van het Bestuur Drechtsteden en als burgemeester van Alblasserdam, is de visie van de burgemeester op de uitvoering
Als burgemeester heb je bovendien nog een bijzondere functie tijdens rampen en crisissen, wat ook voor de nodige vraagstukken zorgt. Je bent de eerst verantwoordelijke tijdens een crisis. Dan zijn bereikbaarheid, veilige overdracht van gegevens et cetera vraagstukken waar nog veel aandacht aan geschonken moet worden. Met andere woorden: het bewustzijn op dit soort onderwerpen op bestuurlijk niveau is geland. We hebben er stevig aandacht voor, maar zo’n DigiD-assessment doen we niet voor niets. Dat mag best een spiegel zijn. Het maakt de gemeente bewuster en scherper. Als je kijkt naar de gehele ontwikkeling, zitten we in de beginfase van een nieuwe technologische revolutie. Die is van
”Zo’n DigiDassessment doen we niet voor niets. Dat mag best een spiegel zijn. Het maakt de gemeente bewuster en scherper”
van het ICT-Beveiligingsassessment DigiD een realistische: ”We houden er rekening mee dat we nog normen moeten verbeteren. We doen ons best om goed te scoren. We hebben daarom wel een aantal acties ondernomen. Aan de hand van de evaluatie van het ICT-Beveiligingsassessment DigiD willen we het onderwerp informatiebeveiliging structureel oppakken. Mochten we goed uit het assessment komen, dan betekent dat niet dat deze gemeente op haar lauweren kan gaan rusten. Desondanks is het wel goed dat je laat zien dat je als gemeente werk maakt van je verantwoordelijkheid. Maar hou het verwachtingsmanagement richting de inwoners scherp in het vizier. Met de afronding van het assessment zijn we er namelijk nog niet. We staan aan de vooravond als het om dit thema gaat.”
Burgemeester en ambassadeur Vanuit zijn rol als burgemeester levert Backhuijs een bestuurlijke bijdrage aan het onderwerp informatiebeveiliging. Daarnaast vervult Backhuijs een aantal nevenfuncties die een relatie kennen met het vakgebied informatiebeveiliging. Waaronder voorzitter subcommissie Gemeentelijke Dienstverlening en Informatiebeleid (GDI) van de Vereniging van Nederlandse Gemeenten (VNG), commissaris bij Kwaliteitsinstituut Nederlandse Gemeenten (KING), voorzitter van Bronhouders en Afnemers Overleg Basisregistratie Adressen en Gebouwen (BAGBAO), waarbij het draait om (digitale) informatievoorziening met een basisregistratie. ”Ik ben al een aantal jaren op een of andere manier bestuurlijk betrokken bij informatievoorziening en basisregistraties. Heel vaak wordt alles wat met ICT en informatiebeveiliging te maken heeft snel gezien als bedrijfsvoering. En voor bedrijfsvoering is vaak de gemeentesecretaris verantwoordelijk. Het onderwerp komt niet zo heel veel voor op de bestuurlijke agenda, en dat is niet goed. Want de omgang met informatievoorziening en je informatiehuishouding wordt alleen maar belangrijker.”
Informatie als onderschatte resource ”Eigenlijk doen wij als gemeente niks anders dan informatie ontvangen, gebruiken en nieuwe informatie maken. Tot en met het maken van een briefje naar de stratenmaker betreft het informatie. We zijn als gemeente dan ook een informatie verwerkend bedrijf. Ik probeer hiermee duidelijk te maken wat belangrijk is in onze organisatie. Dat zijn onze mensen, dat is geld én dat is informatie. Op bestuurlijk niveau praten we veel over geld. Op beleidsmatig niveau praten we veel over onze mensen. Maar een resource als informatie, de informatievoorziening en alles wat daarmee samenhangt, wordt volgens mij door het bestuur als te vanzelfsprekend gezien. Echter, het is vaak
Frans Backhuijs
de kern waarom bepaalde activiteiten juist lukken of mislukken”.
Onbekend maakt onbemind ”Mijn interesse in het domein informatiebeveiliging is langzaamaan ontstaan door mijn loopbaan. Ik ben begonnen als wethouder en vervolgens ruim 9 jaar burgemeester waardoor je al een geruime tijd meeloopt. In het begin ben je nog niet zo met het belang van informatie bezig, maar gaandeweg probeer je via beleid projecten te realiseren en kom je tot de ontdekking waarom veel projecten misgaan. Op bepaalde momenten worden besluiten genomen zonder dat bepaalde informatie beschikbaar was, of wellicht wel beschikbaar, maar niet bekend. De politiek-inhoudelijke afweging is van belang, zoals wat wil je bereiken, wat zijn je doelen en waarom wil je het. Informatie om deze besluiten te kunnen nemen is hard nodig. Eigenlijk is informatie net zo belangrijk als geld. Alleen behandelen we informatie helaas niet hetzelfde als geld, want het is niet ’tastbaar’ genoeg. Maar als het fout gaat, gaat het heel vaak fout omdat óf de juiste informatie ontbreekt óf de informatie op het verkeerde moment beschikbaar komt. Het is een bepaalde mindset waarin je langzaamaan ontdekt dat je anders tegen ’informatie’ kunt aankijken.”
Elkaars taal leren spreken ”Wat ik momenteel zie, is dat professionals uit het ICT-vakgebied
hun eigen taal spreken, net als bestuurders. Een specialist wilt vaak dat de bestuurder gedetailleerd kan meepraten op inhoud, maar mijn stelling is dat de bestuurder zich met de hoofdlijnen moet bezighouden. Ik hoef niet veel van de inhoud te weten, maar ik moet wel weten wat van belang is. En aan de andere kant moet ik oog hebben voor wat de professionals doen. We zitten midden in de fase waarbij we proberen deze twee partijen dichter bij elkaar te brengen. Als dat gesprek niet beter gaat verlopen, zonder je als bestuurder met de details te bemoeien, denken we vanzelfsprekend dat alles op orde is. Echter, als bestuurder ben je vervolgens niet op de hoogte of je de meest efficiënte en effectieve methode hebt. Desondanks zijn we als bestuurder toch verantwoordelijk en komen we alleen in beeld op het moment dat er een incident is, zoals een hack of een lek. Hier ligt een belangrijke rol voor ons. Het is belangrijk om een bestuurlijk draagvlak te creëren, vervolgens te weten wat bestuurlijk wenselijk is en aan de andere kant te begrijpen wat de professionals willen, zonder de inhoud in te duiken. Ter voorkoming van geldverspilling, zullen we wel met elkaar in gesprek moeten komen en belangstelling moeten leren hebben voor elkaars domeinen om hetzelfde doel te kunnen dienen.”
Verantwoordelijkheid voelen als gemeente ”Ik vind dat wij als gemeenten geen wetgeving nodig moeten hebben om informatiebeveiliging goed te regelen. We moeten onze verantwoordelijkheid zelf voelen om dat
goed te organiseren. Dit is zo’n ingewikkeld onderwerp, dat krijg je niet met een wet geregeld. Volgens mij zit het in de normale opdracht aan gemeenten om taken en verantwoordelijkheden goed te organiseren. Daar zit al in dat onze informatiehuishouding goed op orde behoort te zijn en dat ook de beveiliging daarvan op orde is. Ik ben
”de omgang met informatievoorziening en je informatiehuishouding wordt alleen maar belangrijker”
groot voorstander om als gemeenten gezamenlijk onze verantwoordelijkheid te nemen. En natuurlijk gaat er wel eens iets mis. Risico nul en 100% veiligheid bestaat niet in de wereld van informatiebeveiliging. Maar zorg als gemeente dat je het risico beperkt en beheersbaar houdt. Hierbij kom je soms pas een stap verder als je experimenteert.”
Verantwoordelijkheid nemen binnen gemeente Nieuwegein ”We zijn er als organisatie goed mee bezig. We hebben intern iemand verantwoordelijk gemaakt, onze Chief (Information) Security Officer (CISO/CSO) Pieter van der Hoog. De aandacht in onze gemeente was aanzienlijk toegenomen nadat twee ICT-incidenten waren voorgevallen. Vervolgens heeft de directeur Bedrijfsvoering het college van B&W geïnformeerd. Recent hebben we het informatiebeveiligingsbeleid in het college vastgesteld en binnenkort gaan we het aan de Raad vertellen. Door DigiNotar is zowel bij het college van B&W als bij de Raad belangstelling voor het onderwerp toegenomen. Ik probeer informatiebeveiliging structureel op de agenda te krijgen middels de beleidsnota, die ik vervolgens graag door het college vastgesteld wilde hebben. Het is een bewuste keuze om het college te laten besluiten. De belangstelling vanuit het bestuur werkt stimulerend, het bestuur voelt dat wij die verantwoordelijkheid hebben en
dat het onderwerp niet iets is wat je alleen maar bij de directie kunt neerleggen. En indien er kosten mee gemoeid zijn, komen deze niet uit de blauwe hemel vallen, maar zijn ze het gevolg van een beleidsnota die je in het college van B&W hebt vastgesteld.”
Gemeenten als ketenpartners optreden Vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) wordt samenwerking tussen gemeenten op het gebied van informatiebeveiliging sterk aangemoedigd, aangezien de gemeenten wat betreft informatiebeveiliging van elkaar afhankelijk zijn. Backhuijs: ”De keten is inderdaad zo sterk als de zwakste schakel. Als er ergens in onze gemeentelijke keten zwakke plekken zitten, bepaalt dat de sterkte van het hele gemeentelijke domein.” Daarbij vertelt Backhuijs hoe hij de rol van de IBD bij de samenwerking tussen gemeenten ziet. ”Dankzij een organisatie als de IBD kun je snel informatie uitwisselen en hoef je niet elke keer het wiel opnieuw uit te vinden. Zo bouwen we als gemeenten samen kennis op, waarbij een basisniveau op gebied van informatiebeveiliging ontstaat waar je op kunt vertrouwen.”
Pioniersfase ”We zitten ook nog in de pioniersfase op het gebied van informatiebeveiliging. Verrassingen als DigiNotar wil je liever niet hebben. Aandacht op bestuurlijk niveau is van belang. Niet zozeer hoe het gebeurt, maar dàt het gebeurt. Het is zo’n belangrijk onderwerp dat je het wat mij betreft niet alleen tot bedrijfsvoering kunt verklaren.” Backhuijs sluit het gesprek af met de volgende woorden: ”Maak eens de volgende vergelijking: als informatie net zo belangrijk is als geld, laten wij het geld toch ook niet over aan het afdelingshoofd Financiën en maar afwachten of het goed komt? Dan willen we ook precies weten hoe het zit en bepalen we als bestuurders de richting. Informatievoorziening is net zo’n belangrijk onderwerp. Heb vervolgens als bestuur aandacht voor het onderwerp informatiebeveiliging of zorg dat het op de bestuurstafel terecht komt. Het is een belangrijk onderwerp waar je bestuurlijk verantwoording voor draagt.”
8
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
gegevens) en bij de sociale kolom (klantdossiers), waar van oudsher veel wordt gewerkt met gevoelige informatie. Maar in het algemeen is de factor mens wel iets achtergebleven en daarom is dat voor ons de komende jaren een speerpunt. Wij hebben net een nieuw Concern Informatiebeveiligingsbeleid voor 2014 opgesteld. Daarin is prominent aandacht voor de taken en de verantwoordelijkheden van de clusters zelf, wat tot nu toe altijd een beetje onderbelicht was.
december 2013
Dat we daar aandacht aan schenken is ook mede te danken aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Die is ontwikkeld door de Informatiebeveiligingsdienst voor gemeenten (IBD). In de BIG is de rol van het lijnmanagment prominent is
Rotterdam In de reeks van interviews over informatiebeveiliging zijn we vandaag bij één van de grootste gemeenten in Nederland: de gemeente Rotterdam. Centraal staat de vraag: Hoe houd je als gemeente de risico’s van de
Fotografie: Martin Giphart
toenemende digitalisering beheersbaar?
Peter Verhulst
We spreken hierover met Peter Verhulst, Concern Information Security Officer (CISO) en vervolgens met Security Manager Joab de Lang, die nauw betrokken is bij het ICT-Beveiligingsassessment DigiD.
ICT-board als platform Dit jaar zijn alle gemeenten met een DigiD-koppeling aan de slag gegaan met de uitvoering van het DigiD-assessment. Van kleine tot grote gemeenten, soms gezamen-
”Je ziet dat het geheel zich meer en meer ontwikkelt richting risicomanagement”
de beleidsmatige als de bestuurlijke kant van informatiebeveiliging. Ik rapporteer aan de Chief Information Officer (CIO), die op zijn beurt rapporteert aan de wethouder. Dat is een vrij korte communicatielijn. In mijn rol geef ik functioneel leiding aan een groep beveiligingsmensen binnen de organisatie. Daarnaast hebben we een Concern Information Security Board, een platform voor informatiebeveiliging.”
Sinds ’91… Zoals in eerdere interviews is besproken, is er vanuit gemeenten volop aandacht voor het onderwerp informatiebeveiliging. Zo ook bij de gemeente Rotterdam: ”Informatiebeveiliging staat al lang bij ons op de agenda. Toen ik 4 jaar geleden dit werk ging doen, had ik dossiers die teruggingen tot ’91. Destijds waren de eerste projecten rond informatiebeveiliging al gestart. Vervolgens heeft het
een lange periode op een redelijk laag pitje gestaan. Na de welbekende incidenten als DigiNotar en Lektober is het onderwerp in een stroomversnelling geraakt. Sindsdien staat informatiebeveiliging op de bestuurlijk agenda. Als je kijkt
”Wat wij positief vinden aan dit soort assessments, is dat er druk van buitenaf wordt gecreëerd”
naar de agenda van de CIO, dan staat informatiebeveiliging in de top drie.”
Intensieve samenwerking tussen functionarissen Informatiebeveiliging is een onderwerp wat vele aspecten kent waaronder beleidsmatige, technische, maar ook gedragsaspecten. Daar waar functionarissen bij kleine gemeenten regelmatig meerdere vakgebieden als verant-
woordelijkheid hebben, kent de gemeente Rotterdam gescheiden functies. ”Gezien de omvang van de gemeente Rotterdam kennen we diverse functies. Ik zal kort een beeld schetsen. We hebben hier bijvoorbeeld een privacy coördinator, waarmee ik nauw samen werk. Daarnaast hebben we ook nog een integriteitscoördinator. Die houdt zich vooral bezig met gedragsaspecten zoals persoonlijke integriteit, ambtelijke integriteit en bestuurlijke integriteit. Binnen de Directie Veiligheid hebben we ook nog een functionaris voor fysieke veiligheid. Hierbij gaat het om beveiliging van personen en bewindslieden. Van oudsher zijn deze disciplines min of meer op zichzelf georganiseerd, maar we hebben steeds intensiever contact met elkaar. Je ziet dat het geheel zich meer en meer ontwikkelt richting risicomanagement.”
Initiatieven op informatiebeveiligingsvlak Het onderwerp informatiebeveiliging staat structureel op de bestuurlijke agenda in Rotterdam. Naast het DigiD-assessment, waar we later in het interview bij stilstaan, zijn we benieuwd hoe de bestuurlijke aandacht zich vertaalt naar de operatie? Verhulst: ”Er worden veel andere initiatieven ontplooid. We werken in Rotterdam met zogenaamde ontwikkelpaden voor diverse I-thema’s. Informatiebeveiliging is één van de acht I-thema’s. Je kunt zo’n thema zien als een soort programma. Voor informatiebeveiliging bestaat het ontwikkelpad uit 4 sporen. Elk spoor heeft weer een aantal trajecten. Dat levert allerlei trajecten/projecten op die variëren van techniek, nieuwe tools voor mobiele apparaten, maar gaan ook bijvoorbeeld over het inrichten van ’control’ functies.”
Initiatieven en bewustzijn lijk en soms zelfstandig. Iedere gemeente kampt hierbij met haar eigen uitdagingen. Verhulst: ”Ik werk bij de Bestuursdienst en hou mij voornamelijk bezig met zowel
Informatiebeveiliging in Beeld
Vanuit ervaring is het bekend dat informatiebeveiliging meer is dan alleen ICT, het gaat ook om gedrag. Met andere woorden de factor mens is van groot belang. Kun-
nen we stellen dat wanneer je vele initiatieven ontwikkelt, je ook kan spreken van een ’hoog’ bewustzijnsniveau? Verhulst: ”Ik zeg zelf altijd ’informatiebeveiliging is de helft techniek en de helft mens’. En wat wij zien is dat we een voorsprong hebben als het gaat om de factor techniek. Als je vervolgens gaat kijken naar de factor mens dan weten wij al jaren dat dat heel belangrijk is. Daar komt bij dat een hoog bewustzijnsniveau bij het management en bij de medewerkers een succesfactor is voor informatiebeveiliging. Want je techniek kan nog zo goed zijn, als je de regels niet naleeft, ben je gewoon niet ’in control’. Als je naar de gemeente Rotterdam kijkt, dan zie je dat op bepaalde plekken het bewustzijnsniveau over het algemeen hoog is. Bijvoorbeeld bij de dienstverlening (GBA-peroons-
”Informatiebeveiliging staat al lang bij ons op de agenda”
beschreven. We hebben dat overgenomen en zetten daar nu al op in door trainingen aan te bieden, maar ook door de clusters elk een plan van aanpak voor hun eigen
cluster te laten opstellen. Al met al zit er op de factor mens veel meer energie dan voorheen.”
Externe druk Het ICT-Beveiligingsassessment DigiD is in juni 2012 aangekondigd door de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Naast het DigiD-assessment heeft een gemeente nog meerdere audits die zij jaarlijks moet uitvoeren. Verhulst: ”Wij hebben ruime ervaring met het uitvoeren van technische onderzoeken en assessments omdat we dat al lang doen. Het is eigenlijk een onderdeel van onze Plan–Do-Check-Act cyclus (PDCA). Wat dat betreft past het DigiDassessment ook goed binnen onze audit-kalender. Wat wij positief vinden aan dit soort assessments, is dat er druk van buitenaf wordt gecreëerd. Je merkt dat dat helpt om aandacht te krijgen. Dus daarom vonden wij de aankondiging van het DigiD-assessment vanuit Den Haag zonder meer positief.”
Uitgebreider technisch onderzoek ”We hebben het DigiD-assessment aangegrepen om een wat uitgebreider onderzoek uit te voeren. De audit is uitgevoerd door onze eigen audit dienst. Voor het technisch onderzoek hebben we een
externe partij ingeschakeld. Voor de uitvoering van het DigiD-assessment hebben we een projectteam geformeerd met specialisten van onze interne serviceorganisatie, de auditor en vertegenwoordigers vanuit het primaire proces. We zitten nu in de fase waarin we opvolging geven aan de bevindin-
”als je de regels niet naleeft, ben je gewoon niet in control”
punt voor ons allemaal is dat sommige changes een lange doorloop kennen. Zeker in een complexe Edienstenomgeving als Rotterdam. We hebben bijvoorbeeld meer dan 30 web-applicaties en in totaal meer dan 500 E-formulieren. Dus stel dat je voor een change ieder webformulier weer moet doorlichten, dan is 4 maanden een uitdaging.”
Zelf-assessment ”Het proces van uitvoering is eigenlijk soepel verlopen. Dat heeft een aantal redenen. We zijn na de aankondiging in 2012 meteen be-
gonnen met een zelf-assessment: ’hoe staan we er eigenlijk voor’ en ’wat komt er allemaal op ons af’. Ik moet zeggen dat de uitkomsten daarvan behoorlijk strookten met de uitkomsten uit het DigiDassessment van dit jaar. We wisten dat we aan een aantal normen niet zouden voldoen. Dat bleek ook zo te zijn, dus dat was dan ook geen verrassing. We hadden al een paar verbeteracties gestart. Daarnaast hebben we natuurlijk het voordeel dat we niet afhankelijk zijn van externe partijen. En we konden tijdig aanbesteden voor technisch onderzoek. Al met al hebben we geen echte uitdagingen gehad.”
gen. Daarin zijn de clusters zelf opdrachtgever omdat zij de risicoafweging maken.”
Stand van zaken ”Het ICT-Beveiligingsassessment DigiD is afgerond. Ik heb begrepen dat we één van de eersten zijn die het rapport bij Logius hebben aangeleverd. We hebben inmiddels ook al een reactie van Logius ontvangen waarin ze hebben gevraagd om binnen nu en 4 maanden de nog openstaande punten op te lossen. Dat zijn er niet zoveel meer. Wij hebben inmiddels een verbeterplan opgesteld. Een leer-
”Of je stopt de stekker er in”
Het ICT- Beveiligingsassessment DigiD in Rotterdam december 2013 mee bezig. Maar je ziet dat we op dat vlak nog steeds in ontwikkeling zijn. Helemaal omdat de hele wereld verandert. Wat een groot verschil is met de kleine gemeenten, is dat we voor een groot gedeelte
Tips van Peter Verhulst, Concern Information Security Officer (CISO) van de gemeente Rotterdam: ak het ICT-BeveiligingsasP sessment DigiD projectmatig aan. Grijp het DigiD-assessment aan om ook weer eens intern de aandacht te vestigen op het onderwerp. Ik zie zelf de druk van buitenaf als iets positiefs, want het is een ’momentum’. Je hebt de wind in de zeilen, maak daar gebruik van. Treed gezamenlijk met collega-gemeenten op naar externe leveranciers. Hier ligt mijn inziens een rol voor de IBD. Sommige leveranciers proberen een munt te slaan uit het DigiDassessment door dure TPM’s aan te bieden. In een tijd waarin we steeds meer diensten extern hosten, vind ik het niet meer dan normaal dat een leverancier ervoor zorgt dat hij ’in control’ is en daar verantwoording over aflegt zonder dat hij daarvoor (extra) kosten berekent.
9
2014 - Editie ICT-Beveiligingsassessment DigiD
”Informatiebeveiliging heeft bij ons een grote focus”
We vervolgen ons interview bij de gemeente Rotterdam met Joab de Lang. ”Ik ben Security Manager bij de gemeente Rotterdam. Ons organisatiemodel is gestoeld op drie onderdelen: governance, demand en supply. Middels deze driehoek werken we samen en vanuit de supply-kant ben ik verantwoordelijk voor het informatiebeveiligingsproces rond de ICTservices die we leveren aan de gemeente vanuit de Rotterdamse Service Organisatie.” Tijdens de interviewreeks zijn de nodige gemeenten aan het woord gekomen om ervaringen te delen op informatiebeveiligingsvlak. Zo ook gemeente Rotterdam: ”Infor-
matiebeveiliging heeft bij ons een grote focus. Wij proberen het vakgebied zeker goed ingeregeld te hebben. Dat is een continu proces en we zijn er inmiddels al jaren
zelf invulling geven aan de ICTdiensten vanuit onze Rotterdamse Service Organisatie, zonder tussenkomst van een leverancier.”
Uitbesteden of niet We spreken met De Lang niet zozeer over de technische ontwikkelingen, maar vooral over de ontwikkelingen in de wereld van informatiebeveiliging. Zoals het eventueel uitbesteden van ICTdiensten. Vele gemeenten werken steeds vaker volgens een regiemodel, waarbij ze verschillende ICTdiensten uitbesteden aan externe commerciële partijen. Zo bleek tijdens de uitvoering van het ICTBeveiligingsassessment DigiD dat
sommige gemeenten hun DigiDkoppeling hebben gehost. Maar welke afwegingen maak je als gemeente alvorens je je dienstverlening uitbesteedt? Is dat een fundamentele, politieke of budgettaire discussie? ”We hebben een redelijk fundamentele discussie binnen de gemeente Rotterdam. In hoeverre kun je allerlei zaken uitbesteden als gemeente? Als je je data gaat classificeren, dan zit daar ook data bij die erg gevoelig is. En die je niet zomaar bij een commerciële partij neerzet. Dat is zelfs een politieke beslissing. Wat betreft de gemeente Rotterdam is daar nog geen uitspraak over. Wat wel voor onze gemeente geldt, is dat naarmate de classificatie van data hoger is, we maatregelen vragen die iedere keer sterker zijn. Dan rest de vraag of een commerciële partij dat wel kàn invullen.”
Toekomst ”Afgezien van het feit of iedere gemeente zelf haar ICT-diensten moet aanbieden, omdat het onderwerp op gespannen voet staat met ’veiligheid’ en ’privacy’, is het misschien interessant om op een gegeven moment een centrale oplossing aan te bieden op gemeentelijk niveau. Een Shared Service Center ICT dat alle gemeenten
Joab de Lang
bedient. Dan hoef je als gemeente ook niet op een commerciële partij over te stappen. Dat is uiteraard nu nog toekomstmuziek, maar misschien moeten we toch gaan nadenken over een integraal systeem. Desondanks denk ik wel dat we met elkaar goed bezig zijn. Het staat allemaal nog wel in de kinderschoenen, maar er komt steeds meer gezonde aandacht voor het vakgebied. En dan niet alleen binnen de gemeentelijke overheid, maar binnen alle overheden. Dat zorgt ervoor dat we het vakgebied kunnen optimaliseren!”
”Als je je data gaat classificeren, dan zit daar ook data bij die erg gevoelig is”
10
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Informatiebeveiliging in Beeld
november 2013
Interview anita van nieuwenborg
Velsen
Aansluiten bij de IBD
Deze keer nemen we een kijkje in de keuken bij een
”We kennen het allemaal. Zo’n moment in het verkeer
Een gemeente waarbij het belang van informatiebevei-
van de gemeenten in Noord-Holland, gemeente Velsen. liging al geruime tijd gevoeld wordt en al langer op de
dat het maar nét goed gaat. Je zit met bonkend hart
agenda staat.
achter je stuur, adrenaline giert door je lichaam en één ding weet je zeker: je gaat voortaan echt beter opletten! Zo worden we allemaal, hopelijk niet te vaak, toch elke keer weer een beetje bewuster van de gevaren die we lopen. En van de (voorzorgs-) maatregelen die je moet nemen om veilig deel te kunnen nemen aan het verkeer. Bij informatieveiligheid is het niet anders…”
IBD met regelmaat bestuurders en management van gemeenten bij de uitrol van haar dienstverlening. Bijvoorbeeld bij het aansluitproces.
Dienstverlening
1. I ncidentpreventie, het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren. ”Als gemeenten aangesloten zijn bij de IBD en het kwetsbaarheidswaarschuwingenformulier hebben ingevuld ontvangen zij specifieke kwetsbaarheidswaarschuwingen. Het doel van de dienstverlening ’Kwetsbaarheidswaarschuwingen’ voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICT-gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware.” 2. Incidentdetectie, het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat deze gemeenten geïnfecteerde systemen hebben. 3. Incidentcoördinatie, het doel van Incidentcoördinatie voor gemeenten is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten. Het doel is tevens het voorkomen van verspreiding van deze incidenten. ”Een specifieke dienstverlening op dit vlak is crisiswoordvoering: het doel van crisiswoordvoering is om de impact van een incident of crisis zo gering als mogelijk te houden voor gemeenten. De IBD ondersteunt in geval van incidenten of crisis ook specifieke gemeenten middels concrete tips aan de woordvoerder van de specifieke gemeente.”
Het tweede doel van de IBD is het aan gemeenten leveren van integrale coördinatie en concrete ondersteuning in geval van incidenten en crisissituaties op het vlak
Om gebruik te kunnen maken van de gehele dienstenportfolio van de IBD dienen gemeenten zich dus aan te sluiten bij de IBD. Het dienstenportfolio ziet er als volgt uit:
”Om elkaar te helpen is het van belang om incidenten ook met de IBD te delen. Als we weten wat er speelt in het gemeentelijke domein, kunnen we elkaar hopelijk
Zoals bekend, heeft de IBD sinds januari 2013 haar deuren geopend. Als teamleider IBD is van Nieuwenborg nauw betrokken bij de ontwikkeling van de IBD-organisatie en de invulling van de drie doelen. In onderstaand interview vertelt ze uitvoerig over het dienstenportfolio van de IBD, de concrete ondersteuning die de IBD kan bieden aan gemeenten op het moment dat een gemeente officieel aangesloten is en welke stappen een gemeente moet nemen om aan te sluiten bij de IBD.
Uitwerking van doelen ”Zoals eerder beschreven, staat bij het eerste doel van de IBD het opbouwen van het bewustzijn bij gemeenten centraal als het gaat om informatiebeveiliging. Om dit doel te bereiken bij bestuurders en management van gemeenten, werkt de IBD onder meer samen met VNG en met de Taskforce BID. De Taskforce BID is in februari 2013 voor een periode van twee jaar opgericht door minister Plasterk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Bovendien betrekt de
Om gebruik te kunnen maken van de gehele dienstenportfolio van de IBD dienen gemeenten zich dus aan te sluiten bij de IBD
Anita van Nieuwenborg
van informatiebeveiliging. Dit doel vertaalt zich in de uitwerking naar een drietal verantwoordelijkheden richting gemeenten: 1. Incidentpreventie 2. Incidentdetectie 3. Incidentcoördinatie. Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunnen gemeenten altijd afnemen. Voor een ander deel, wat zich richt op de specifieke gemeentelijke situatie, moet een gemeente echter officieel aangesloten zijn bij de IBD. De IBD werkt op dit vlak nauw samen met het NCSC. Als derde doel biedt de IBD gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. Denk daarbij bijvoorbeeld aan het ondersteuningsaanbod dat geleverd wordt bij het jaarlijkse ICTBeveiligingsassessment DigiD en de ontwikkeling van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).”
11
2014 - Editie ICT-Beveiligingsassessment DigiD
nog preventief waarschuwen. Eén gemeente die zich bij ons meldt met bijvoorbeeld een DDoSaanval is wellicht slachtoffer van
”Om elkaar te helpen is het van belang om incidenten ook met de IBD te delen”
een boze burger, maar als er binnen een paar minuten meerdere DDoS-aanvallen gemeld worden bij de IBD, dan is er iets groters aan de hand, en zijn we hopelijk nog op tijd om de overige 400 gemeenten te waarschuwen om per direct maatregelen te treffen op hun eigen omgeving.”
Stappenplan aansluiting IBD Zo’n ’officiële’ aansluiting betekent enerzijds dat gemeenten een aantal zaken dient in te dienen om de IBD-dienstverlening af te kunnen nemen en anderzijds dat de IBD concrete informatie nodig
heeft om gericht te kunnen handelen. Het gaat hierbij om de volgende te nemen stappen: 1. Aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB) 2. Aanstellen van een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) 3. Het doorgeven van IP-adressen en URL’s 4. Het doorgeven van in gebruik zijnde hard- en software (gemeentelijke ICT-foto) Voor een volledig stappenplan kunt u de website www.IBDgemeenten.nl raadplegen. Daar zijn meerdere documenten en factsheets geplaatst aangaande de dienstverlening, het dienstenportfolio en een stappenplan voor ’Aansluiten bij de IBD’. ”Het moge duidelijk zijn, we hebben met elkaar nog een behoorlijke klus te klaren. De ketting is immers zo sterk als de zwakste schakel. We weten dat 100% veiligheid niet bestaat. Niet in de fysieke wereld, maar ook niet in de digitale wereld. Als de IBD zorgt voor de resources om u als gemeente de juiste ondersteuning te kunnen bieden, zorgt u er dan voor dat u niet de zwakste schakel bent?”
Dimpact, leverancier gemeente Velsen: Gemeentelijk samenwerkingsverband Dimpact houdt zich bezig met het koppelen van digitale dienstverlening aan bedrijfsvoering. In Dimpact organiseren ruim 30 gemeenten gezamenlijke inkoop, implementatie, beheer en hosting van een software suite. Dimpact neemt op haar beurt de suite af bij ICT-leverancier Atos. ”Ook wij werden onrustig tijdens onze acceptatieperiode van de nieuwe software. De deadline voor het DigiD-assessment kwam immers op ons af. Inmiddels zijn we aan het migreren en kan het DigiDassessment doorgang vinden. Daarbij ontzorgen wij de gemeenten zoveel mogelijk. Ten eerste door de centrale TPM -afgifte waarmee gemeenten 24 van de 28 normen kunnen afvinken. Ten tweede hebben we geregeld dat gemeenten gebruik kunnen maken van dezelfde auditor tegen een scherp aanbod. Daarnaast delen we beschikbare informatie en hebben we een informatiemiddag georganiseerd. Door standaardisatie op het gebied van zowel software als hosting kunnen gemeenten eenvoudig gebruik maken van elkaars procedures. Het samenwerkingsverband zorgt ervoor dat gemeenten gemakkelijk van elkaar kunnen leren en hergebruiken.” Robert Badar, Coördinator Beheer & Productondersteuning.
Ronald Vennik
Vanuit een tijdelijke huisvesting spreken we met wethouder Ronald Vennik over de verschillende aspecten van informatiebeveiliging en wat de toekomst hieromtrent zal brengen.
Balans tussen verantwoordelijkheid en inhoud Wethouder Ronald Vennik heeft een portefeuille bestaande uit meerdere onderwerpen. Hij is onder andere bestuurlijk verantwoordelijk voor Informatiemanagement, Financiën, Openbare Ruimte en Verkeer en Vervoer. ”Het is een combinatie van onderwerpen. Onderwerpen die de inwoners van onze gemeente direct raken en onderwerpen die de inwoners wellicht op een iets minder tastbare manier in het dagelijks leven raken. Waaronder Informatiemanagement.” De wethouder heeft geen inhoudelijke achtergrond als het gaat over het onderwerp informatieveiligheid.
”Je moet het onderwerp wel interessant vinden, want het is een belangrijk vraagstuk, ook bestuurlijk. Dan helpt het om er niet als een pure inhoudsdeskundige naast te gaan staan. Hierdoor ben ik misschien eerder geneigd om vragen te stellen, waardoor de medewerkers juist meer uitgedaagd worden om mij uit te leggen wat het onderwerp exact inhoudt. Als ik als inhoudsdeskundige zou optreden, laten ze dat misschien achterwege omdat ze dan denken: ’die weet toch alles al’. Dus ik vind het precies goed zo. Ik weet genoeg om het onderwerp te agenderen en dan is het goed om met inhoudsdeskundigen te kijken naar wat dit precies betekent voor de gemeente en wat we daarmee willen.”
Digitale dienstverlening neemt toe ”Als gemeente hechten we belang aan informatieveiligheid. Het feit dat we als gemeente Velsen ook steeds meer proberen onze dienstverlening te digitaliseren, maakt dat het vraagstuk steeds nadrukkelijker aanwezig is. Misschien dat het aanvankelijk nog heel erg om interne processen gaat, waaronder het voorkomen van een ’informatielek’. Maar in de toekomst gaat het voor de burgers steeds meer leven, omdat wij een beroep doen op hen om meer gebruik te maken
”in de toekomst gaat het voor de burgers steeds meer leven, omdat wij een beroep op hen doen”
van onze digitale dienstverlening. Neem bijvoorbeeld het indienen van een aanvraag waarbij een uitwisseling van gegevens plaatsvindt. Dat versterkt binnen de gemeente Velsen alleen maar de behoefte om te kijken of we nou wel echt veilig werken. Zeker ook vanuit het belang van de burger, die bij een bezoek aan de website privacygevoelige gegevens invoert.”
Vertrouwen van burgers cruciaal Informatiebeveiliging is een breed onderwerp en beslaat veel organisaties die vallen onder de verantwoordelijkheid van de gemeente. Vennik: ”Hierbij gaat om de organisatie van een brandweerkazerne tot aan de technologie die we gebruiken om ons rioolsysteem te meten. Ik denk dat de meeste mensen geen idee hebben welke onderdelen middels ICT aangestuurd worden en waar ICT in de loop der tijd een essentiële rol in is gaan spelen. We zijn dus ook kwetsbaar geworden op dat gebied. Vandaar dat we als gemeente Velsen belang hechten aan informatiebeveiliging. Het is de verantwoordelijkheid van het gemeentebestuur en zeker van het college van B&W om het onderwerp op alle mogelijke plekken te agenderen. Zowel in de Raad als in de eigen organisatie en bij de burgers. Je hebt met dit soort thema’s altijd mensen die vanwege hun achtergrond actief bezig zijn met het zichtbaar maken van de aanwezige risico’s. Dat zal niet voor iedere burger zo interessant zijn. Maar ik denk dat wij toch moeten proberen om in ieder geval eerlijk te zijn in wat we met de informatie doen. Daar waar mogelijk comfort te bieden op het gebied van (digitale) dienstverlening, maar ook reëel te zijn in de beveiligingsrisico’s vanuit het besef dat 100% beveiliging niet bestaat. Bij ons heeft het onderwerp informatiebeveiliging in
ieder geval de aandacht en staat het op de agenda en dat is belangrijk voor de burger om te weten.”
Structureel op de agenda Ik ben er voorstander van dat wij in de toekomst een zogenaamde informatiemanagementparagraaf opnemen in de gemeentebegroting. Dit onderwerp verdient namelijk een eigen paragraaf. Daarmee is het probleem nog niet opgelost, maar het helpt je wel om heel uitdrukkelijk uiteen te zetten op welke manier je met het onderwerp aan de slag gaat. Het punt met Informatiemanagement is dat het alle afdelingen raakt. Maar sommige afdelingen, waaronder bijvoorbeeld Burgerzaken, zijn zich er meer van bewust. Informatiemanagement valt dan ook als een scherm over de hele organisatie. Dat maakt het een belangrijk onderwerp.”
Bewustzijn Bewustzijn op informatiebeveiligingsvlak is heel belangrijk, want je ziet het volgende gebeuren: als er wat gebeurt, staat iedereen weer even in een soort alarmstand. Dan dreigt er ook een soort panieksituatie uit te breken. Vervolgens lijkt het allemaal weer onder controle te zijn en dan zakt iedereen weer een beetje terug in de dagelijkse routine. Dus ik vind bewustwording wel een hele cruciale aangelegenheid als het gaat om informatiebeveiliging. En dat begint naar mijn idee bij het management. Het management heeft een hele belangrijke rol op dit vlak; in de manier van leidinggeven, tijdens het werkoverleg en door de wijze waarop ze met hun medewerkers omgaan. Daarnaast blijft het mensenwerk en daarmee komt het uiteindelijk aan op houding en gedrag. Signaleer waar de knelpunten zitten om vervolgens de juiste deskundigheid in te brengen om de mensen verder te helpen veranderen. Het zit niet zozeer in regeltjes en tegeltjes aan de wand, maar veel meer in trainingen en bewustwording.”
het ware informatie. En als je het op die manier benadert, dan fixeer je je ook niet zo zeer op het feit of je een spamfilter of een firewall hebt, maar dan sta je ook stil bij bijvoorbeeld de fysieke beveiliging van je pand. Want natuurlijk is het niet goed om je wachtwoord in je bureaulade te hebben liggen, maar het scheelt al als een vreemde niet zo makkelijk bij je bureau kan komen. Dus zorg er ook voor dat je op een veel bredere manier kijkt naar de toegankelijkheid van je gebouw voor vreemden. Met andere
”Naast mensen is informatie ons belangrijkste kapitaal”
woorden; niet alleen de digitale weg, maar ook de fysieke weg is van belang. Als afsluiter zou ik willen stellen dat een essentiële vraag onder de aandacht zou moeten komen; Wat hebben we er met elkaar als gemeente(n) echt voor over om de risico’s te beperken? 100% Waterdicht bestaat tenslotte niet.”
enkele praktische tips: erhoog V
het bewust-
zijn aangaande het belang van informatiebeveiliging bij bestuur en management
erk W
indien mo-
gelijk samen met andere gemeenten
egin B
op tijd, aan-
gezien de voorbereiding van het assessment veel tijd kost en goede voor-
Informatiebeveiliging is geen ICT-kindje
bereiding bovendien
”Wat ik naast het vergroten van het bewustzijn goed vind, is dat het binnen de gemeente Velsen niet alleen meer draait om ICT en automatisering. We hebben het nu veel meer over Informatiemanagement en eigenlijk is ICT daar maar een onderdeel van. ICT faciliteert als
de organisatie
zorgt voor begrip in
aak M
gebruik van
het ondersteuningsaanbod van de
IBD,
dat versnelt het proces
12
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
september 2013
Vlaardingen als eerste over de eindstreep
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
13
open’. We kunnen nog niet alles regelen, maar ik denk dat het belangrijk is om dit onderwerp ook op te nemen in de coalitieakkoorden. Zo blijft het bewustzijn bij het bestuur groeien om deze verantwoordelijkheid nog beter in te vullen. Daar gaan we voor zorgen.”
liging goed te beleggen, de juiste mensen aan je te binden en je organisatie hierop goed in te richten. Gemeente Zutphen denkt hier ook zo over. Desondanks blijft het mensenwerk. Janssen: ”En nu spreek ik uit ervaring vanuit mijn periode als directeur bij de brandweer. Het gaat uiteindelijk altijd om het veiligheidsbewustzijn en veilig handelen. Je kunt nog zoveel organiseren en sloten bouwen maar als mensen uiteindelijk vergeten de deur op slot te doen, is het menselijk handelen wat achter ’onveiligheid’ zit.”
enkele praktische tips: oe D
de zelftest uit
het stappenplan, een goede voorbereiding is het halve werk
egin B
zo snel moge-
lijk aan de normen die van toepassing
meente Vlaardingen heeft deze prachtige prestatie weten neer te zetten, wetende dat de deadline december 2013 is.” We spreken met de trotse wethouder Ruud de Vries, wethouder Economische Zaken, Dienstverlening en Organisatie namens gemeente Vlaardingen. De Vries vertelt overtuigd het volgende: ”Iedereen is ontzettend trots, vooral omdat we de eerste zijn. We willen als gemeente maximaal en optimaal digitaal zijn. En dan is het van groot belang dat je je beveiliging op orde hebt”.
Omgeving Vlaardingen positief Het feestje rondom de afronding van het assessment wordt niet alleen door het management en de ICT-medewerkers gevierd. Ook
andere afdelingen zien momenteel waar de ICT-afdeling allemaal toe in staat is. ”Het is leuk om successen te delen. De beleving was al-
”De gemeente is goed bezig met haar digitale dienstverlening”
gen meer aandacht ontstaan voor E-dienstverlening en informatiebeveiliging. Zeker na het Diginotar incident was het bewustzijn op het gebied van informatiebeveiliging binnen de gemeente Vlaardingen vrij hoog. ”Als er een website uit de lucht gaat, is dat wat een burger of ondernemer ziet. Daar worden onze mensen wel onzeker van, maar het is van belang om het voorval binnen proporties
tijd ’ICT is moeilijk en ingewikkeld’, maar nu lopen we een keer voorop en krijgt de ICT- afdeling erkenning voor dit mooie resultaat.” Maar het zijn uiteraard de burgers en ondernemers, die daadwerkelijk gebruik maken van de digitale dienstverlening. Ook uit die hoeken, waaronder ondernemersverenigingen, klinkt dan een positief geluid over gemeente Vlaardingen: ”De gemeente is goed bezig met haar digitale dienstverlening.’’
De beleving na Diginotar
Ruud de Vries
Het ICT-Beveiligingsassessment DigiD is bedoeld om ervoor te zorgen dat de burger vertrouwen houdt in de digitale dienstverlening van de overheid. Door ICTontwikkelingen en ICT-incidenten is er binnen gemeente Vlaardin-
Exxellence, leverancier gemeente Vlaardingen ”Gemeente Vlaardingen is in een aantal aspecten een unieke gemeente. Zij is één van de gemeenten, die gevoel heeft bij ICT als hulpmiddel en weet wat een ontwikkeltraject teweeg kan brengen. Ze zijn kritisch, ze helpen ons met producten te ontwikkelen en testen deze zelf ook. Ze zijn al jaren bezig met intensief en gestructureerd testen. Wij hebben geen echt actieve rol gehad tijdens de uitvoering van het ICT-Beveiligingsassessment DigiD: hier heeft de gemeente zelf veel tijd in gestopt. Exxellence heeft alleen een aantal vragen beantwoord.” Henry Koster, Exxellence
te houden. Het wordt snel als ’gevaarlijker’ gezien dan het daadwerkelijk is en daarom moet je er dus aandacht voor hebben en houden. Dat was voor mij ook de reden om erop aan te dringen om een audit te doen, om te weten ’waar staan we nu’. Tegelijkertijd kwamen er geluiden uit Den Haag dat we voortaan jaarlijks een assessment rondom DigiD moesten afronden. Daarom hebben we besloten om voorop te lopen met het ICT-Beveiligingsassessment DigiD. Dan laat je zien dat je je ICT op orde hebt…”
Structureel op de agenda Het onderwerp ’informatiebeveiliging’ staat binnen de gemeenten Vlaardingen structureel op
Bewustzijn is hoog De verklaring waarom gemeente Vlaardingen het onderwerp ’informatiebeveiliging’ zo structureel op de agenda heeft staan, kan deels gevonden worden in de ICT-achtergrond van wethouder Ruud de Vries. Samen met de gemeentesecretaris en afdelingshoofden van gemeente Vlaardingen ziet hij als geen ander het belang van ICT en specifiek van informatiebeveiliging in. ”Wij zijn van mening dat digitale dienstverlening veel kan toevoegen voor de burger en ondernemer. Eigenlijk staat of valt deze dienstverlening met het vertrouwen dat andere mensen erin hebben. Op termijn moet je de boodschap hebben, dat het veilig is om bij onze gemeente gebruik te maken van digitale dienstverlening. Ook onze collega’s moeten bij hun dienstverlening ondersteund worden door goede ICT. Maar geloof en vertrouwen hebben in de gemeente, begint bij veiligheid.”
ICT maakt samenwerking mogelijk In de toekomst zal gemeente Vlaardingen zich nog meer toeleggen op ICT-projecten en samenwerkingsverbanden. Hierbij kun je denken aan het uitbreiden van het GBA voor ondernemers. Dit systeem biedt gemeente Vlaardingen de kans om beter digitaal te kunnen communiceren. Daarnaast ziet de gemeente ICT-voorzieningen als een basis voor samenwerkingsvormen. ”ICT wordt vaak gezien als een soort nutsvoorziening zoals onze stroomvoorziening
welke normen verantwoordelijk is
- Voer een QuickScan
uit,
zodat inzichtelijk is hoeveel werk er nog te doen is
- Maak
concrete
december 2013
Zutphen deze keer aandacht voor informatiebeveiliging in de Gel-
afspraken met de
derse gemeente Zutphen. Een gemeente die informatie-
auditor
beveiliging ziet als onderdeel van het grote geheel.
electeer, S
indien
van toepassing, in samenspraak met de auditor tijdig een pentester
org Z
voor structu-
reel budget en capaciteit
org Z
voor het bor-
gen van documentatie en het vastleggen van processen
org, Z
indien van
toepassing, voor het verkrijgen van vrijwaringsverklaringen
acht W
niet op de
oplevering van een
TPM
Eerst inrichten en organiseren
In de reeks van interviews over informatiebeveiliging
voor het star-
ten met het assessment
eel ervaringen met D de IBD door de IBD te bellen of te mailen
en watertoevoer. Wij zien het als een mogelijkheid om strategische samenwerkingsverbanden aan te gaan. En dat is wat er in deze tijd moet gebeuren. Maar dat moet wel veilig gebeuren.” De gemeente wil daarom intensief samenwerken met de gemeenten Schiedam en Maassluis op het gebied van ICT. ”We hebben ook een intentieovereenkomst met hen gesloten om te gaan samenwerken als het gaat om processen en applicaties. Dat stelt ook de nodige eisen aan informatiebeveiliging, omdat we op verschillende locaties zitten en wel veilig de informatie moeten kunnen uitwisselen. De onderliggende ICT moet in orde zijn, bij welke gemeente je ook inlogt.”
We bespreken de huidige visie van de gemeente Zutphen op het gebied van informatiebeveiliging met de gemeentesecretaris Boy Janssen.
Gemeentesecretaris en de veiligheidssector Sinds anderhalf jaar is de 49-jarige Boy Janssen werkzaam als gemeentesecretaris van de gemeente Zutphen. De aimabele gemeentesecretaris geeft ons een kijkje in de keuken bij de gemeente en de ontwikkelingen op het gebied van informatiebeveiliging. ”Ik heb een 22-jarige carrière achter de rug bij de brandweer en heb bij veel brandweercorpsen en ook bij veiligheidsregio’s in eindfuncties gezeten. Het hele veiligheidsthema gaat mij na aan het hart. Gemeenten hebben in de volle breedte een verantwoordelijkheid als het gaat om het bieden en organiseren van veiligheid aan de burgers, maar soms beseffen gemeenten dat niet. En hiermee doel ik niet alleen op informatiebeveiliging. Dankzij mijn achtergrond is die affiniteit en kennis binnen onze gemeente zeker aanwezig. Dat helpt om het thema beter op de agenda van de bestuurder te krijgen en er ambtelijk de goede stappen voor te zetten.”
DigiNotar was een wake-up call ”Tot het moment van DigiNotar had het onderwerp nog op geen enkele manier op de agenda van het management gestaan. Dus je kunt wel stellen dat DigiNotar een wake-up call was. Ik ben pas werkzaam bij de gemeente Zutphen sinds april 2012, maar ik realiseerde me dat ik geen zicht had op hoe we het thema informatiebeveiliging georganiseerd hadden. Dat is eigenlijk de aanzet geweest om het onderwerp op managementniveau te gaan borgen. Vervolgens heeft het Centraal
Team Overleg (CTO), Rob Geurts, adviseur Informatiemanagement, uitgenodigd om tijdens het overleg van de afdelingshoofden met de directie uit te leggen ’hoe het beleid er uitziet’, ’wat daar op dit moment goed aan is en wat niet’ en om vervolgstappen te kunnen zetten. Dit was voor de gemeente Zutphen het vertrekpunt om informatiebeveiliging als onderwerp op de kaart te zetten. Janssen vervolgde: ”We hebben het beleid verder aangescherpt, waarbij we ook hebben gekeken in hoeverre het informatiebeveiligingsbeleid cyclisch wordt
”Het hele veiligheidsthema gaat mij nauw aan het hart”
aangepast. Je kunt wel een beleid hebben maar wordt er regelmatig naar eventuele verbeterpunten gekeken en volgt er dan ook een plan van aanpak? Maken we die cyclus ook echt rond? Naar onze mening kon de cyclus beter sluitend worden gemaakt en dat hebben we in praktijk gebracht. Wat daarnaast ook belangrijk was, is dat we de bijbehorende taken en verantwoordelijkheden gingen beleggen in de organisatie. We hebben onder andere iemand in het managementteam als Chief Information Officer (CIO) benoemd en wij zijn heel gestructureerd de informatiekolom in de organisatie gaan opbouwen.”
Aandachtspunt voor coalitieakkoorden ”Ik merk dat het thema informatiebeveiliging niet altijd op de juiste manier bij de verantwoordelijken in de hoofden zit. Het is namelijk echt een ongelooflijk belangrijk
Boy Janssen
onderwerp, waar de gemeente verantwoordelijkheid voor draagt. De organisatie doet eigenlijk alles in opdracht van het bestuur. En wat ik met name gemerkt heb, is dat dit thema onder een bestuurlijke paraplu moet zitten. Dit zorgt ervoor dat de kennis en de awareness van dit thema in het bestuur moet worden versterkt. In die zin ben ik het geheel met de visie van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) eens. Kijk, wat ik nu voor de gemeente Zutphen gedaan heb, is dat we ieder jaar opnieuw het beleidsplan en de beleidsevaluatie op de agenda zetten. Zo worden de bestuurders erbij betrokken. ’Waar lopen we tegen aan als het gaat om informatiebeveiliging’, ’wat staat ons nog te doen als gemeente’, ’welke vraagstukken staan nog
gemeenten
templates
”Afgezien van de coalitieakkoorden, moet er meer aandacht komen voor het thema in de organisatie. Je ziet wel dat mensen, vooral als het over veiligheid en beveiliging gaat, het onderwerp ’fysieke beveiliging van gebouwen en eigendommen’ goed in de hoofden hebben zitten. Maar dat we ook over veel kwetsbare (digitale) informatie beschikken en daar op een bepaalde manier mee om moeten leren gaan, is een belangrijk vraagstuk geworden. Echter, we zijn momenteel nog heel hard bezig om alles goed ingericht en geregeld te krijgen en vervolgens willen we het bewustzijn bij de medewerkers vergroten. Nu gaat het erom dat het bestuur goed is aangesloten, dat het beleid is vastgesteld, dat de beveiligingsassessments goed worden uitgevoerd en dat we weten waar onze lekken zitten. Met andere woorden; dat we al deze onderdelen goed op orde hebben.”
Onveiligheid zit in het menselijk handelen Uit het interview met gemeente Etten-Leur bleek al dat het belangrijk is om het thema informatiebevei-
BZK NOREA
pentestpartijen
beveiligingsaudit
DigiNotar NCSC
vertrouwen
Kanteling in de organisatie ”Zo kan ik vanuit mijn positie als oud-directeur bij de brandweer of als gemeentesecretaris dit soort thema’s makkelijker agenderen dan wie dan ook. En kan ik er dus in ieder geval voor zorgen dat het
”Het gaat uiteindelijk altijd om het veiligheidsbewustzijn”
de gepaste aandacht krijgt. Tegelijkertijd zitten we in een fase waarin we met minder middelen meer taken moeten verrichten. En ook nog een keer op een andere manier.
Lees verder op pagina 24
VNG
Privacy TPM ondersteuning
ICT-Beveiligingsassessment DigiD resolutie
community
DigiD
leverancier
Logius
bijzonder moment. Ge-
telijk wie voor
auditors
DigiD afronden, is zo’n
snel inzich-
KING
Beveiligingsassessment
- Maak
digitaal senergievoordelen burgers
jaarlijks verplichte ICT-
van het assessment
Informatiebeveiligingsdienst dienstverlening regiobijeenkomsten ondersteuningsaanbod richtlijn Lektober standaardaanpak hackers
informatiebeveiliging visie
in Nederland het nieuwe
scope
ven. ”Als eerste gemeente
electeer tijdig een S auditor: - Bepaal de scope
IBD
en ongehoord mogen blij-
zijn op uw gemeente
impactanalyse
die niet geheel ongezien
de agenda. ”Het afgelopen jaar hebben we binnen de gemeente Vlaardingen een Gemeentelijk Informatie Plan (GIP) opgesteld, waarin we een aantal jaren vooruit gekeken hebben als het gaat om verschillende architecturen. Het GIP gaan we jaarlijks actualiseren. Daar maakt ons informatiebeveiligingsbeleid onderdeel van uit. Een bijkomend gunstig effect van het GIP is de sturing en prioritering van ICT-projecten. Het GIP is door de ICT-afdeling opgesteld, uiteraard in overleg met andere afdelingen. Dit heeft ertoe geleid dat het voor de afdelingen duidelijk is, wat ze moeten doen om hun ICT op orde te hebben. Het geeft de ICT-afdeling de mogelijkheid om meer in de regie te zijn over de projecten in samenspraak met andere afdelingen. Indien je prioriteit wilt geven aan ICT-projecten met bijbehorend budget en capaciteit, biedt het GIP je houvast en vereenvoudigt het de communicatie met andere afdelingen over de lopende ICT-projecten.”
wachtwoorden processtappen
Er zijn van die momenten,
14
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
ICT-Beveiligingsassessment DigiD gemeente Nieuwegein november 2013 In de strakke vormgeving van het nieuwe Stadshuis (u leest het goed, met een ’s’) spreken we met Pieter van der Hoog, Chief (Information) Security Officer (CISO/CSO) van de gemeente Nieuwegein, over het ICT-Beveiligingsassessment DigiD. Nieuwegein heeft bewust gekozen voor het door de IBD opgestarte koploperproject en al snel wordt duidelijk welke route deze gemeente heeft bewandeld tijdens de uitvoering van het DigiDassessment.
Wees zuinig op het vertrouwen van burger in DigiD In juni 2012 ontvingen alle gemeenten een brief van de minister van BZK, waarin het ICT-Beveiligingsassessment DigiD werd aangekondigd. Zoveel gemeenten,
”We kunnen beter vooraan zitten bij alle ontwikkelingen op informatiebeveiligingsvlak, daar leer je het meeste van”
zoveel reacties op de aankondiging. De achterliggende gedachte die de minister had met de aankondiging van het DigiD-assessment was niet voor alle gemeenten even logisch: ”Ik begreep het wel, DigiNotar was voor ons een wake-up call. We hebben als gemeente van Lektober gelukkig geen last gehad, maar als je de integriteit van DigiD wilt bewaren, moet je daar zuinig op zijn. Het heeft jaren geduurd voordat DigiD was ingeburgerd. Zover zijn we nu, dus daar moet je als overheid
zuinig op zijn. Waarbij we ons ook moeten realiseren dat er geen alternatief bestaat voor DigiD.”
Verantwoordelijkheid ligt bij gemeente Het onderwerp informatiebeveiliging is een relatief nieuw thema op de gemeentelijke agenda. Gevolg van een agendering is het vrijmaken van budget en capaciteit om projecten te kunnen uitvoeren. ”Aangezien het E-loket van de gemeente zelf is, en je als gemeente zelf verantwoordelijkheid draagt voor dat E-loket richting de burger, is het logisch dat het budget van het verplichte DigiD-assessment ook ten laste van de gemeente zelf komt. Bij vergaande digitalisering moet het besef landen bij gemeenten dat ze daar verantwoordelijk voor zijn en er dus ook geld voor uit moeten geven. Klagen over de kosten van het assessment is dus zinloos.”
Functieprofiel CISO & CSO De gemeente Nieuwegein is al goed op weg om het vakgebied informatieveiligheid en specifiek informatiebeveiliging te laten landen in de organisatie. Binnen de gemeente Nieuwegein bestond de functie van Pieter als CISO/ CSO al bij aankondiging van het DigiD-assessment. Pieter houdt zich zowel bezig met de fysieke als digitale veiligheid van de organisatie. ”Ik heb een onafhankelijke rol in de organisatie als CISO/ CSO, waarbij ik buiten de afdeling Informatisering & Automatisering val, zodat ik ook altijd mijn handen vrij heb. Vanuit mijn rol als CISO heb ik het mandaat om ge-
vraagd én ongevraagd advies te geven.”
Impactanalyse en koplopergemeenten Na de aankondiging van het ICTBeveiligingsassessment DigiD vorig jaar, heeft een impactanalyse plaatsgevonden bij een aantal gemeenten en vervolgens is er dit jaar een intensief begeleidingstraject opgestart met wederom een aantal gemeenten, genaamd het project Koplopergemeenten. Aan beide trajecten heeft de gemeente Nieuwegein deelgenomen. ”We kunnen beter vooraan zitten bij alle ontwikkelingen op informatiebeveiligingsvlak, daar leer je het meeste van. We hebben die kans dan ook gegrepen. Daar hebben we al veel leerzame punten uitgehaald. Inmiddels zijn we nog steeds bezig met het assessment. Een van de leerpunten was dat een zomerreces meer vertragend werkt dan je denkt.”
Structureel budget ”We hadden ook geen budget begroot. Maar het is goed om aan alle gemeenten het advies mee te geven dat structureel budget moet worden vrijgemaakt voor informatiebeveiliging, in de volle breedte. Ook wij moeten dat als gemeente nog structureel inbedden. Aangaande het DigiD-assessment heb ik mandaat voor de uitvoering. Kosten die hieruit voortvloeien, sluit ik kort met de directie.”
Lessons learned Gedurende de uitvoering van het ICT-Beveiligingsassessment DigiD heeft Pieter een aantal zaken ontdekt, die belangrijk zijn om in de gaten te houden: 1. ”We hebben een matrix gemaakt van de vragen uit de norm. Deze matrix hebben we gekanteld, zodat 1 vraag door 4 partijen beantwoord werd.
Dit leverde veel werk op voor de auditor. Maar op deze wijze konden we makkelijk ’processen’ gaan herkennen en vervolgens documenteren.” 2. ”De terminologie van de normen kan voor de nodige verwarring zorgen bij de interne medewerkers van de gemeente die de vragen in het assessment moeten beantwoorden.” 3. ”Het is heel belangrijk om je processen zo te beschrijven en te documenteren dat interne medewerkers dat ook herkennen als hún werkwijze .” 4. ”De relatie met onze leverancier was goed, waarbij we vanaf het begin helder in kaart hebben gebracht welke vragen voor de leverancier zijn en welke voor ons. De TPM hebben wij aan het begin van het traject afgekaderd, dat voorkomt gesteggel verderop in het traject.”
Toekomst Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend verplicht assessment. Maar de gemeente Nieuwegein heeft al een aantal aspecten in beeld waar ze volgend jaar beter op gaat letten. ”We vragen nu een aantal partijen om de vulnerability scan en de pentesten in een abonnementsvorm aan te bieden. Je wilt sowieso dat iemand van buiten naar je kwetsbaarheden kijkt middels een
”Vanuit mijn rol als CISO heb ik het mandaat om gevraagd én ongevraagd advies te geven”
vulnerability scan. En je wilt ook een pentest uitvoeren voor je brede infrastructuur, niet alleen die van DigiD. Alle aanbieders zeggen dat ze er nog niet over hebben nagedacht, maar hier zeker naar willen kijken.” Niet alleen probeert de gemeente Nieuwegein haar inkopen strategischer aan te vliegen, ook heeft ze een informatiebeveiligingsbeleid op behoorlijk strategisch en abstract niveau opgesteld in samenwerking met twee andere gemeenten, IJsselstein en Montfoort. Hierin staat beschreven wat de uitgangspunten zijn en wie verantwoordelijk is. Het informatiseringsbeleid is vastgesteld door het college van B&W. ”Met de boodschap vanuit de IBD ’Gij zult samenwerken’ ben ik heel blij. De tijd dat gemeenten zelf de broek op konden houden is voorbij. De investeringen die er-
Informatiebeveiliging in Beeld
Gemeente Velsen en het ICTBeveiligingsassessment DigiD Gemeente Velsen is een gemeente die het belang kwam de aankondiging van het ICT-Beveiligingsassessment DigiD redelijk onverwacht, waardoor de gemeente direct alle zeilen heeft bijgezet. vergroten van de bewustwording op informatiebeveiligingsvlak’ bij onze medewerkers.”
Aankondiging van het DigiD-assessment
Pieter van der Hoog
aan komen, ook door bijvoorbeeld de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kunnen maar heel weinig gemeenten alleen aan. Dus bij dezen de oproep ook vanuit mij ’Alsjeblieft, ga samenwerken!’.”
Johan Everts, manager Research & Development van Kodision vult aan: ”We zijn in mei gestart met het assessment van PassQuat. Doordat wij nu de TPM hebben behaald, bieden wij onze klanten binnen de overheid een garantie dat onze TriplEforms oplossing aan de nieuwe beveiligingseisen voldoet. Het assessment heeft ons bovendien scherper en bewuster gemaakt van de formele vastlegging en naleving van de procedures. Hiermee zijn we in staat onze producten en dienstverlening naar een nog hoger niveau te tillen.”
Eric van Leuven
De Informatiebeveiligingsdienst voor gemeenten (IBD) is in gesprek met de Informatiebeveiligingscoördinator van Velsen, Eric van Leuven. ”Ondanks een vroege start met het assessment in 2012 én een vrij overzichtelijke gemeentelijke situatie is het assessment in Velsen nog niet afgerond.” Desalniettemin staat de gemeente zeer positief tegenover het doen van het assessment en alle ontwikkelingen op het gebied van informatiebeveiliging. Van Leuven neemt ons mee in het assessment proces bij zijn gemeente.
Informatiebeveiliging is meer dan ICT alleen ”Er wordt hier al een tijdje gewerkt aan het optimaliseren van de informatiebeveiliging. Een onderwerp dat van oudsher door de ICT-afdeling werd opgepakt. Na een aantal reorganisaties is het bij de afdeling Informatiemanagement terecht gekomen. Ik denk dat het goed is om het onderwerp niet alleen bij de ICTafdeling te beleggen, want dan krijgt het te veel de lading ’alleen ICT’. Informatiemanagement is een afdeling die zich in de volle breedte bezig houdt met informatiestromen binnen onze gemeente. En daar past informatiebeveiliging ook veel beter bij. Alle beveiliging van onze informatievoorziening valt hieronder, zowel de fysieke als de digitale. Dus de toegangsbeveiliging maar ook de papieren informatiestromen zoals onze archieven. Daarnaast zijn er ook andere ontwikkelingen die spelen op het gebied van Informatiemanagement. Denk bijvoorbeeld aan zaken als ’het nieuwe werken’, ’Bring Your Own Device ( BYOD)’ en ’het
”Ondanks de voor ons vrij onverwachte aankondiging van het verplichte ICT-Beveiligingsassessment DigiD in juni 2012, had het assessment geen drastische invloed op de organisatie. Informatiebeveiliging stond al op de kaart en was al belegd bij de gemeente. We hadden al beleid op het gebied van informatiebeveiliging, wat ook was vastgesteld door het bestuur. Dat houdt in dat we een basis beveiligingsniveau hebben en een aanpak van hoe je dat in de organisatie gaat organiseren. Daarnaast lag er ook al een half jaar een gemeentebrede risicoanalyse, inclusief maatregelen. Met het DigiD-assessment zijn we vrij vlot gestart. Ondanks dat was het wel
”We hebben momenteel budget voor informatiebeveiliging”
een zoektocht voor ons. Je krijgt normen voorgeschoteld, maar ik heb wel even moeten uitzoeken wat ik met die normen moest doen,” lacht Van Leuven. ”Samen met de ICT-collega’s hebben we er naar gekeken en zijn we tot de conclusie gekomen dat wij als gemeente Velsen niet zelf kunnen testen of we aan het gros van de normen voldoen omdat we onze DigiD-aansluitingen niet zelf hosten. Wij hebben overigens twee DigiD-aansluitingen, één voor het Digitaal Loket en één voor het WOZ Loket. Beide worden extern gehost door twee leveranciers, respectievelijk Dimpact en GeoTax. Vervolgens ontstond er voor mij een cruciale vraag: welke onderdelen uit het DigiD-assessment vallen onder verantwoordelijkheid van onze gemeente? En welke onder verantwoordelijkheid van onze leveranciers? Uiteindelijk kwam ik erachter dat het uiteraard geen ’feestje van de leveranciers’ is, maar dat je als gemeente echt zelf verantwoordelijk bent voor je DigiD-aansluitingen. Je zal toch echt zelf moeten zorgen dat je als
november 2013
gebouw afgesloten en kennen we alleen nog maar toegang met behulp van een pasje. Een ander voorbeeld is het scheiden van publieke- en werkruimtes waardoor mensen niet gemakkelijk meer binnen kunnen komen. Daarbij krijgen de bezoekers een pas, die ze zichtbaar moeten dragen en zal het personeel de bezoekers bij de balie moeten ophalen en ook weer naar de uitgang moeten begeleiden om ’verdwaalde’ bezoekers in de organisatie te voorkomen.”
van informatiebeveiliging al geruime tijd voelt. Toch
Kodision, leverancier gemeente Nieuwegein, Ard van Winden, accountmanager Kodision: ”Nieuwegein is in een aantal aspecten een unieke gemeente. Zij is één van de gemeenten, die gevoel heeft bij ICT als hulpmiddel en weet wat een ontwikkeltraject teweeg kan brengen. Ze zijn positief kritisch, samen realiseren we toepassingen voor de business met TriplEforms (intelligente webformulieren). Nieuwegein test deze formulieren zelf ook. Beveiliging is voor hen een voorwaarde waar belang aan wordt gehecht. Kodision heeft geen actieve rol gehad tijdens de uitvoering van het ICT-Beveiligingsassessment DigiD, de gemeente heeft hier zelfstandig veel tijd in gestopt. Nieuwegein heeft van Kodision wel de TPM verklaring afgenomen waardoor er veel tijd en geld is bespaard.”
15
2014 - Editie ICT-Beveiligingsassessment DigiD
Tips voor het DigiDassessment 2014 gemeente een rapportage afgeeft aan Logius. Een rapportage waaruit blijkt dat het goed zit met de informatiebeveiliging rondom je DigiD-aansluitingen. Na de handreiking van NOREA en de aankondiging van de TPM werd me overigens nog duidelijker hoe je sommige normen moest aanvliegen.”
Twee leveranciers en een nieuwe release Daar waar veel gemeenten te maken hebben met maar één leverancier, heeft gemeente Velsen dus te maken met twee leveranciers als het gaat om het ICT-Beveiligingsassessment DigiD. We staan samen met Van Leuven stil bij het assessmentproces met leverancier Dimpact: ”Twee leveranciers maakt het DigiD-assessment er uiteraard niet makkelijker op. Onze leverancier Dimpact heeft in 2012 al deelgenomen aan een impactanalyse van het Kwaliteitsinstituut Nederlandse Gemeenten (KING) aangaande het ICT-Beveiligingsassessment DigiD. Daar is ook nog een collega-gemeente bij betrokken geweest, namelijk gemeente Zwolle. We hebben contact gezocht met gemeente Zwolle met vragen rondom de leverancier, en het proces rondom het DigiDassessment. Hierdoor dachten we dat we in 2013 al snel een TPM konden verwachten. Helaas bleek dat niet zo te zijn. We zijn als gemeente Velsen in 2012 al begonnen met de inventarisatie ten behoeve van het DigiD-assessment en we staan er op dit moment als volgt voor: we hebben vooralsnog van beide leveranciers geen TPM mogen ontvangen terwijl we de deadline van december 2013 zien naderen. Onze leverancier Dimpact is bezig met een ingrijpende migratie naar een nieuwe ’suite’ van software en is daarbij op haar beurt weer afhankelijk van de softwareleverancier Atos. Daarbij noemen we Dimpact wel onze leverancier maar onze verwevenheid is eigenlijk groter, omdat Dimpact een samenwerkingsverband tussen gemeenten is waar gemeente
Velsen deel van uitmaakt. De productie van de nieuwe release is overigens niet van een leien dakje gegaan. In november gaat de eerste gemeente de nieuwe release in gebruik nemen en daarover moet de TPM worden afgegeven. Desondanks geeft Dimpact aan dat er dit jaar nog een TPM komt. Het stoort me wel dat je als gemeente, buiten het opvoeren van de druk richting je leveranciers, sterk afhankelijk bent van de ontwikkelingen achter de schermen bij hen.”
Diverse initiatieven in ontwikkeling ”We hebben momenteel budget voor informatiebeveiliging. Dat budget is niet alleen bestemd voor het DigiD-assessment, maar ook voor diverse andere initiatieven op het gebied van informatiebeveiliging. We moeten hierbij jaarlijks bekijken of het budget nog toereikend is. Zo zit bijvoorbeeld de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) eraan te komen van waaruit ook een aantal eisen worden gesteld. Daarnaast kost het vergroten van de bewustwording bij medewerkers ook geld. De bewustwording is belangrijk omdat dat op sommige afdelingen binnen de gemeente Velsen echt nog te beperkt aanwezig is. Dat zal niet makkelijk zijn, dat is een uitdaging.” Afgezien van het ICT-Beveiligingsassessment DigiD en het vergroten van het bewustzijn is gemeente Velsen op diverse vlakken bezig hun informatiebeveiliging te optimaliseren. ”We zijn bijvoorbeeld bezig onze toegangsbeveiliging te verbeteren. Momenteel wordt het gebouw gerenoveerd, het staat compleet in de steigers. Dat is een redelijk ingrijpende uitdaging en dat moment hebben we meteen aangegrepen om een nieuw systeem in te voeren voor de toegangsbeveiliging. De pasjes waren eerst voorzien van een magneetstrip, maar we stappen nu over naar het gebruik van een chip in een pas. Daarbij worden diverse ingangen in het
Met een DigiD-assessment waarbij de afronding in zicht is en een groot aantal andere initiatieven op de plank, heeft Van Leuven nog wel een aantal tips aangaande het DigiD-assessment. Voornamelijk met betrekking tot de relatie met leveranciers. Kijkend naar volgend jaar en de uitvoering van een nieuw DigiD-assessment zegt hij dan ook het volgende: ”Wij gaan eerder bij de leverancier aankloppen. We willen namelijk eerder de TPM hebben. Vertrouw daarbij als gemeente minder op de blauwe ogen van je leverancier en op de belofte ’dat het allemaal wel goed komt’. Je moet daarom goed de vinger aan de pols houden. Dat is echt wel heel belangrijk, merk ik nu. Ik stuur nu beide leveranciers regelmatig een mailtje over hun planning, zodat ik weet wanneer er ingegrepen moet worden. Natuurlijk kan het dan alsnog misgaan, maar het is gewoon heel belangrijk om vinger aan de pols te houden. Waar ik overigens de wind mee heb, is dat de bewustwording bij het bestuur echt aanwezig is. Ook doordat onze burgemeester, Franc Weerwind, lid is van de commissie Gemeentelijke Dienstverlening en Informatiebeleid van de Vereniging van Nederlandse Gemeenten (VNG). En onze burgemeester is duidelijk over dit onderwerp: we hebben als gemeente een eigen verantwoordelijkheid op het gebied van informatiebeveiliging. Als laatste wil ik als tip meegeven dat niets je tegenhoudt om op tijd te beginnen met het assessment. Maak gebruik van de IBD-community omdat je zo als gemeenten veel van elkaar kunt leren. Op de community staan voorbeelden, de handreiking van NOREA, het stappenplan en dergelijke. Dat zijn handige documenten om te gebruiken. Het DigiD-assessment was een zoektocht, zo ook de interpretatie van de normen, maar ik heb niet het gevoel dat er veel is fout gegaan. Dus bij dezen mijn advies aan collega-gemeenten: ga niet zitten wachten en begin op tijd.”
16
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Crisiswoordvoering
dig aan ons melden zodat de IBD hierop kan anticiperen.”
We spreken Rob Geurts
Crisiswoordvoering
die vanochtend nog optrad als voorzitter tijdens een bijeenkomst met 4 gemeenten uit het GovUnited samenwerSonja Kok
kingsverband. Dit voor de aanschaf van een nieuwe
rende factor dat een gemeente ook nog onderdeel is van een politiekbestuurlijke omgeving, waarbij transparantie en verantwoording cruciale uitgangspunten zijn. De basis waarop een gemeente functioneert, is het vertrouwen dat de overheid krijgt van de burger. Indien het vertrouwen van de burger in de overheid wordt geschaad, zijn de gevolgen niet te overzien.”
DigiD-koppeling.
Het is een kwestie van tijd Als (crisis)woordvoerder van de IBD, neemt Sonja Kok ons mee in de wereld van crisiswoordvoering. Aangezien 100% veiligheid ook in de wereld van informatiebeveiliging een utopie is, is het verstandig stil te staan bij de effecten van een incident en de maatregelen die genomen kunnen worden om de gevolgen beheersbaar te houden. Kok: ”Geen incident zo uitzonderlijk of het kan uitmonden in een crisis. Na de DigiNotar-crisis en Lektober is het onderwerp informatiebeveiliging verscherpt op het netvlies gekomen binnen de overheid. Deze gebeurtenissen hebben laten zien dat gemeenten, net als andere organisaties, uitermate kwetsbaar zijn als het gaat om hun dienstverlening en met name het veilig/beveiligd uitvoeren van deze dienstverlening. Het onderwerp informatiebeveiliging ligt niet alleen onder een vergrootglas bij de overheid, maar ook in de media en
bij de burger. Zeker ook met het oog op de decentralisatie tendens richting gemeenten en de visie ’Digitale Overheid 2017’ worden crisismanagement en crisiswoordvoering steeds belangrijker.”
incidentcoördinatie naar behoren te kunnen vervullen, ondersteunt de IBD haar gemeenten met informatie en tips omtrent crisiswoordvoering. Een gemeente is en blijft uiteraard zelf verantwoordelijk voor het voeren van de eigen crisiswoordvoering aangaande het incident. ”In geval de gemeentelijke overheid in de media wordt genoemd in verband met een informatiebeveiligingsissue, neemt de IBD vanuit haar regierol uiteraard ook actie. Dit kan bijvoorbeeld betekenen dat wij een reactie geven
”Geen incident zo uitzonderlijk of het kan uitmonden in een crisis”
cidenten of een crisis naar buiten komen, is het noodzakelijk dat gemeenten hun (crisis)woordvoering goed hebben belegd en ingericht. Voor crisiswoordvoering geldt de grondregel dat het initiatief tot het beheersen en oplossen van een incident of crisis begint met het nemen van het initiatief op communicatievlak. Crisiswoordvoering gaat dan ook hand in hand met crisismanagement.
op de geplaatste berichtgeving of afstemming zoeken met in het bericht genoemde gemeenten. Om die reden is het belangrijk dat gemeenten zelf ook incidenten of relevante gebeurtenissen vroegtij-
Gebrek aan informatie, aan organisatie, aan tijd, aan kwaliteit van de communicatie of aan eensgezindheid leiden veelal tot materiële en immateriële schade voor een gemeente. Imagoschade is hiervan een goed voorbeeld. Veel organisaties onderschatten de kracht van de media. Met als extra complice-
Eigen verantwoordelijkheid Eén van de doelen van de IBD is het aan gemeenten leveren van concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. Om de verantwoordelijkheid van
Concrete tips: Iedere crisis en ieder incident op het gebied van informatiebeveiliging kent zijn eigen dynamiek. Desondanks geven wij graag een aantal tips. Zie voor een volledig overzicht de factsheet op de website van de IBD: ” Beleg crisiswoordvoering bij één persoon binnen de gemeente en zorg altijd voor een escalatielijn naar ’boven’. Zorg ervoor dat de crisiswoordvoerder de enige persoon is die intern en extern de communicatie aangaande het incident of de crisis verzorgt. Mochten derde partijen betrokken zijn, benoem dan één externe crisiswoordvoerder. Zorg voor een gemeentelijk draaiboek op het vlak van crisiswoordvoering als onderdeel van het reguliere crisishandboek. Bedenk dat effectieve crisiswoordvoering staat of valt bij het hebben van informatie. Bedenk als crisiswoordvoerder: - Dat eerlijke en open communicatie niet betekent, dat een gemeente alles dient te vertellen. - Dat iets vertellen altijd beter is dan niets vertellen. - Dat een crisiswoordvoerder altijd praat namens de gemeentelijke organisatie.”
”De media brengen inmiddels bijna wekelijks berichten over incidenten en crisisituaties op informatiebeveiligingsvlak”
In de meeste gevallen denken de gemeenten dat ze zelf geen doelwit zijn en dat het incident altijd bij een ander zal plaatsvinden. Het is misschien een hele logische reactie, maar de vraag bij crisiswoordvoering is niet zozeer óf er een incident of crisis bij de gemeente plaats zal vinden, maar eerder wannéér dit plaats zal vinden. ”De gehele keten is immers zo sterk als de zwakste schakel. De inrichting van taken, verantwoordelijkheden en bevoegdheden als het gaat om (crisis)woordvoering zijn belangrijk op bestuurlijk niveau, op organisatorisch niveau, maar zeker ook op uitvoeringsniveau. Crisiswoord-
”De gehele keten is immers zo sterk als de zwakste schakel”
voering is vooral doeltreffend in het kader van een permanente gemeentelijke communicatiestrategie, waarmee geloofwaardigheid en vertrouwen is opgebouwd en de juiste communicatiekanalen zijn gecreëerd.”
Oplossing kruiswoordpuzzel: 1. Beveiliging 2. Update 3. Security 4. Scan 5. Virus 6. BIG 7. DigiD 8. Identity 9. Spam 10. Assessment
17
2014 - Editie ICT-Beveiligingsassessment DigiD
Het ICT-Beveiligingsassessment DigiD in het Gelderse Zutphen December 2013
Bezint eer ge begint Voor gemeenten is het werken met de media geen alledaagse bezigheid. Maar afgezien van incidenten en een transparante overheid, zorgen digitale ontwikkelingen, mondige burgers en alerte journalisten ervoor dat gemeenten zich nog beter moeten voorbereiden op hun woordvoering, mochten ze onverhoopt een keer te maken krijgen met een ’nieuwsgierige of boze partij’ aan de andere kant van de telefoon. ”De media brengen inmiddels bijna wekelijks berichten over incidenten en crisissituaties op informatiebeveiligingsvlak. Digitale fraude, uitlekken van persoonsgegevens, aanvallen op websites, et cetera zijn helaas nog steeds geen verleden tijd. Zeker wanneer in-
Informatiebeveiliging in Beeld
Bereikbaarheid IBD Bent u een gemeente? Of een leverancier verbonden aan een gemeente? En heeft u aanvullend advies of ander soortige ondersteuning nodig, dan kunt u de Helpdesk van de IBD bereiken tijdens kantoren tussen 09:00 en 17:00 uur, bereikbaar op telefoonnummer 070 373 8011. Is er sprake van een incidentmelding, dan reageert de IBD tijdens kantooruren binnen 30 minuten. Buiten kantooruren is de IBD eveneens bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonisch oproep.
Rob Geurts
Vandaag spreken we hem vanuit zijn rol als adviseur Informatiemanagement voor de gemeente Zutphen. ”Ik had voor de bijeenkomst Logius en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) uitgenodigd om ons te voorzien van raad en advies op dit gebied zodat de nieuwe DigiDkoppeling goed aansluit op de architectuur bij onze gemeente.” Het moge duidelijk zijn dat we met de inhoudelijk deskundige spreken binnen de gemeente Zutphen op het gebied van informatiebeveiliging en vervolgen het interview waarbij de uitvoering van het ICT-Beveiligingsassessment DigiD centraal staat.
Expertise op het gebied van audits De bijeenkomst waarbij vier gemeenten gezamenlijk de voorbereidingen treffen voor de aanschaf van een nieuwe DigiD-koppeling, is een nieuwe ontwikkeling op het gebied van samenwerken. ”We kijken samen met drie andere gemeenten naar de problematiek. Dat zijn de gemeenten Winterswijk, Rheden en Berkelland. We kunnen elkaar zo helpen bij het opstellen van een programma van eisen richting de leverancier voor de aanschaf van een nieuwe DigiD-koppeling. Ondanks de gezamenlijke voorbereiding zal de aanschaf van de DigiD-koppeling per gemeente plaatsvinden.” Deze ontwikkeling waarbij gemeenten gaan samenwerken, zie je steeds meer voorkomen.
Dat Geurts hierbij betrokken is voor de gemeente Zutphen is een logisch gevolg van zijn functie. ”Vanuit mijn rol als adviseur Informatiemanagement bevat mijn aandachtsgebied ook informatiebeveiliging. Dat is van oudsher zo. Ik ben in het verleden aangesteld als beveiligingsfunctionaris voor de reisdocumenten en de rijbewijzen en als beveiligingsbeheerder van de Gemeentelijke Basisregistratie Personen (GBA). Ik begeleid zowel de jaarlijkse in- als externe audits op het gebied van GBA en reisdocumenten. Vanwege mijn deskundigheid op het gebied van (informatie)beveiliging en mijn ervaring met audits, was het dan ook vanzelfsprekend dat er bij de aankondiging van het DigiD-assessment naar mij gekeken werd om dit te gaan begeleiden.”
Deelname impactanalyse Als gevolg van DigiNotar en Lektober werd in juni 2012 de aankondiging van het DigiD-assessment voor alle gemeenten in
”Ik ben van mening dat het onderwerp top-down geïmplementeerd moet worden”
Nederland een feit. Geurts vervolgt: ”We hebben als gemeente meegedaan aan de impactanalyse van KING ten behoeve van de DigiD-audit. Ik had me aangemeld voor de impactanalyse omdat ik het interessant vond, ervan wilde leren en wilde kijken hoe we er als gemeente voorstonden. Omdat je als gemeente de audit al een keer hebt uitgevoerd, heb je een voorsprong op andere ge-
meenten zonder dat daar de druk op zit dat je daadwerkelijk een rapport moet inleveren.”
Stand van zaken DigiDassessment Het einde van het DigiD-assessment is in zicht. Aan het eind van deze maand moeten alle rapporten bij Logius zijn ingeleverd, inclusief de TPM-verklaringen van de leveranciers. De druk is bijna van de ketel bij de gemeente Zutphen. ”We zijn er nog mee bezig, maar we hebben het gemeentelijke gedeelte van het DigiD-assessment in augustus jongstleden afgerond. Daarnaast heb ik twee van de drie TPM-verklaringen onlangs binnen gekregen. Half december hoop ik de derde TPM-verklaring te mogen ontvangen. Als ik van alle leveranciers de TPM-verklaringen heb kan ik de totale audit-rapportage opsturen naar Logius.”
Terugkijkend op uitvoering DigiD-assessment Dankzij de vroegtijdig getroffen voorbereidingen, de deelname aan de impactanalyse en de expertise die de gemeente Zutphen in huis heeft, is het DigiDassessment voor de gemeente Zutphen goed verlopen. ”We zijn vroegtijdig begonnen wat betreft onze leverancier GeoTax, net als GovUnited. En omdat wij zelf aan de impactanalyse hebben meegedaan en ik de auditors begeleid bij de GBA, wist ik wel hoe het proces werkte. Ik had bijvoorbeeld op tijd de voorbereidingen getroffen met mijn collega’s van automatisering.” Uit de ervaringen van de gemeente Zutphen blijkt hoe belangrijk ook de nieuwe opdrachtgever-opdrachtnemer rol is met onder andere de auditor, de leveranciers en samenwerkingsverbanden als GovUnited. Dit werd ook al besproken tijdens het interview met gemeente Etten-Leur. Geurts vertelde hierover het volgende: ”De audit die in opdracht
van GovUnited bij Greenvalley en de provider is uitgevoerd, leverde enige vertraging op omdat zij de audit voor de eerste keer op deze schaal uitvoeren. Daarnaast is er ook nog discussie over de controle en interpretatie van de normen door de auditor. Dat is voornamelijk een proces waarin diverse partijen moeten wennen aan de omgang met elkaar: ’hoe gaat de auditor om met de leverancier
”We kunnen elkaar zo helpen bij het opstellen van een programma van eisen”
en waar kijkt hij naar?’ Dat proces vraagt echter meer tijd dan in eerste instantie gedacht werd. Daarom hebben we er in het begin van dit jaar op aangedrongen om op tijd te beginnen zodat we extra tijd hebben om aan de normen te kunnen voldoen. Die is nu ook nodig, blijkt.”
Organisatie in beweging Informatiebeveiliging staat bij vele gemeenten nog in de kinderschoenen. Tot het moment van DigiNotar werd er ook binnen de gemeente Zutphen alleen via de weg van reisdocumenten en GBA gekeken naar informatiebeveiliging. Pas sinds het DigiD-assessment wordt het breder getrokken. Tegelijkertijd worden er vanuit de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) verschillende activiteiten ontwikkeld, waardoor het onderwerp breder onder de aandacht wordt gebracht bij het management. ”We proberen informatiebeveiliging gemeentebreed in te richten. Er zit nu pas voldoende
beweging in de organisatie om daar aandacht en capaciteit voor te vragen. Ik ben van mening dat het onderwerp top-down geïmplementeerd moet worden. Dus dat er van bovenaf bewust keuzes worden gemaakt op het gebied van informatiebeveiliging en daar vervolgens geld en capaciteit voor wordt vrijgemaakt. Zolang dat niet gebeurt, is het bijna onmogelijk om informatiebeveiliging van de grond te krijgen. We hebben een aantal keren het onderwerp informatiebeveiliging bij het management onder de aandacht gebracht. Met de reisdocumenten en de DigiD-audit als aanleiding. Sindsdien is het management zich er ook meer voor gaan interesseren. Daarnaast weet ik ook dat onze gemeentesecretaris onder andere naar bijeenkomsten van de Taskforce BID gaat. Daarmee is het voor mij duidelijk dat er meer aandacht is voor het onderwerp dan voorheen.”
Geurts geeft ook een aantal tips: ”Richt informatiebeveiliging gemeentebreed in met een werkende kwaliteitscyclus. Gemeenten moeten niet de zwakke schakel willen zijn in de keten; Zorg dat er een functionaris wordt aangewezen die ook steun, tijd en middelen heeft om de bewustwording goed uit te voeren; Voer de penetratietest regelmatig uit waarbij niet alleen gekeken wordt vanuit de eisen die Logius stelt; Train en school de medewerkers die met informatiebeveiliging aan de slag gaan. Informatiebeveiliging is een complex vakgebied, waarvoor de benodigde kennis en vaardigheden noodzakelijk zijn.”
18
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Een ICT-Beveiligingsassessment DigiD voor 6 gemeenten september 2013
Noorland heeft ook tips:
Een assessment voor 6 gemeenten. Dat zorgt voor de nodige druk binnen het samenwerkingsverband de Drechtsteden. De planning is dan ook uiteindelijk anders geworden dan vooraf verwacht en bedacht. U leest het goed, in dit gesprek staan wederom de 6 gemeenten binnen het samenwerkingsverband de Drechtsteden centraal. We zijn in gesprek met Nico Noorland, beleidsadviseur CIO-Office en ’trekker’ van het ICT-Beveiligingsassessment DigiD voor deze gemeenten. Een hele uitdaging aangezien hij zowel op gemeentelijk als regionaal niveau acteert. We zijn benieuwd naar de wegen die de gemeenten tijdens de uitvoering van het assessment hebben bewandeld.
De Drechtsteden; een bijzonder samenwerkingsverband De zomer van 2013 is bijna voorbij…De deadline van het assessment staat op 31 december 2013. De Informatiebeveiligingsdienst voor gemeenten (IBD) benadert momenteel alle gemeenten met de vraag waar zij staan in het assessmentproces. Bovendien attendeert zij gemeenten op de doorlooptijd van het assessment. De meeste gemeenten hebben inmiddels een start gemaakt. Desondanks kunnen vele gemeenten nog een duwtje in de rug gebruiken, omdat zij door omstandigheden regelmatig in hun voortgang worden belemmerd door onvoorziene omstandig-
heden. ”Binnen de Drechtsteden zijn we al 9 maanden onderweg inclusief de voorbereidingen, het is eigenlijk net een bevalling. We hebben nu pas de capaciteit op de ICT-afdeling tot onze beschikking voor de uitvoering van het assessment en ook een datum voor de penetratietest is net vastgesteld.”
test stond gepland in augustus. Uit de evaluatie moet nog blijken wat we moeten aanpassen. De 6 gemeenten zelf zijn geen partij tijdens de uitvoering van de testen en het audit traject. Alle ICT draait namelijk bij het Service Centrum Drechtsteden. Het voordeel van het samenwerkingsverband is dat
”Hierdoor kan beter budget en capaciteit worden vrijgemaakt voor informatiebeveiligingsprojecten”
Stand van zaken uitvoering assessment ”In 2012 werd het ICT-Beveiligingsassessment DigiD aangekondigd. In eerste instantie dachten we: ’Kunnen we niet alle aangekondigde audits integreren?’. In het begin van 2013 zijn we begonnen met een plan van aanpak en hebben we een auditor geselecteerd. De stap ’Breng in kaart hoe het er nu uitziet’ bleek behoorlijk complex te zijn. Om de situatie kort te schetsen: De 6 gemeenten hebben gezamenlijk meerdere websitelevaeranciers en daar komt bij dat de ICT-afdeling van het Service Centrum Drechtsteden (SCD) een stukje van de ICT in de DigiD keten geoutsourced heeft, waardoor we nog een extra leverancier hebben. De uitvoering van de pen-
we maar 1 keer de pentest uitvoeren in plaats van 6 keer.”
De genomen hindernissen Het ICT-Beveiligingsassessment DigiD verloopt gefaseerd. Als de uitvoering van het assessment voorspoedig verloopt, gaat het over een gemiddelde doorlooptijd van 4 maanden. Desondanks kunnen tijdens het assessment diverse hindernissen genomen moeten worden. ”De ICT-afdeling bij SCD kreeg te maken met een reorganisatie, zowel van mensen als techniek. Dit maakte de zoektocht naar capaciteit moeilijk. De aandacht verschoof naar de reorganisatie en het ICT-Beveiligingsassessment DigiD stond in de wachtstand.
Daarnaast kenden we meerdere websiteleveranciers, verdeeld over 6 gemeenten, ging 1 leverancier failliet en werd een stukje van de DigiD ICT geoutsourced. Nog een bijzonder feit is dat Logius een dergelijk samenwerkingsverband als de Drechtsteden niet erkent.” ”Wij kennen alleen gemeenten”, zei Logius. Waarop Noorland reageert: ”Maar ons referentiekader is een samenwerkingsverband en geen ’gemeente’. Al dit soort hindernissen maakt dat onze uitvoering van het ICT-Beveiligingsassessment DigiD anders verliep dan we binnen de Drechtsteden hadden verwacht.”
Borging informatiebeveiliging Noorland is de ’trekker’ voor de uitvoering van het ICT-Beveiligingsassessment DigiD, vanuit het CIO Office van Bureau Drechtsteden in Dordrecht. ”Daar wordt op regionaal niveau het beleid voor de 6 gemeenten binnen de Drechtsteden voorbereid op ICT-gebied. Daar wordt bovendien ook de uitvoering van regionale projecten opgepakt uit het zogenaamde Regionaal Informatiseringsportfolio. Het onderwerp ’informatiebeveiliging’ staat er nog niet apart in vermeld. Ten tijde van het schrijven van het eerste regionale ICT-plan in 2006, was het onderwerp informatiebeveiliging dan ook nog niet zo’n ’hot item’. Desondanks wordt bij alle projecten gebruik gemaakt van een standaard format met
” Begin op tijd. Wij hebben bijvoorbeeld een complexe situatie als het samenwerkingsverband, waardoor we vertraagd aan de penetratietest kunnen beginnen. Inschatting van de uitkomst is dan ook lastig. Een overlegorgaan tussen gemeenten zou prettig zijn, en dan naast de IBDcommunity. De IBD mag van ons de regie pakken op kennisuitwisseling. Je kunt geen ’freeze’ afdwingen op de ICT- omgeving, daar is de omgeving te complex voor. Houd als gemeente daarom rekening met dit soort situaties.”
vragen over informatiebeveiliging, waardoor toetsing op het gebied van informatiebeveiliging bij ieder project geborgd is. Het enige dat nog ontbreekt is een masterplan voor informatiebeveiliging. Dat staat voor komend jaar op de agenda.”, aldus Noorland.
Awareness op de agenda en concrete tips ”Awareness is een onderdeel dat bij ons extra aandacht verdient in de toekomst. Zowel op operationeel- als op managementniveau. Hierdoor kan beter budget en capaciteit worden vrijgemaakt voor informatiebeveiligingsprojecten. Momenteel zie je dat op beide niveaus de aandacht stijgt indien er informatiebeveiligingsincidenten optreden en er vervolgens actie moet worden ondernomen.”
Het samenwerkingsverband de Drechtsteden is een bijzondere samenwerking tussen 6 gemeenten in ZuidHolland, dat is wel duidelijk geworden. Sinds 2012 is wethouder Henk Mirck regionaal portefeuillehouder Informatievoorziening en Automatisering en daarmee bestuurlijk opdrachtgever voor het ICT-beveiligingsassessment DigiD voor het samenwerkingsverband de Drechtsteden. in de ICT-sector gewerkt, waar ik grootschalige activiteiten heb uitgevoerd op het gebied van informatiebeveiliging. Dus ik heb hele specifieke kennis en ervaring op zowel de beleidsmatige als uitvoerende kant van informatiebeveiliging. Dat breng ik nu in als bestuurlijk verantwoordelijke. Met het risico dat ik me dan ook snel met de inhoud ga bemoeien.” Henk Mirck
Hij neemt enthousiast en glimlachend het woord als we hem de vraag voorleggen of er een mogelijke relatie bestaat tussen het bewustzijnsniveau van bestuur en management aangaande het onderwerp informatiebeveiliging en de achtergrond van de verantwoordelijk bestuurder: ”Ik ben afgestudeerd informatiebeveiliger, Master of Securtiy in Information Technology. Ik heb 23 jaar
Informatie van groot belang Vanuit verschillende invalshoeken hebben we kunnen zien dat de Drechtsteden informatiebeveiliging zeker niet onderschat. ”Informatiebeveiliging is van wezenlijk belang, omdat je ziet dat de gemiddelde burger erg veel zorgen heeft over de wijze waarop er met informatie en informatievoorziening wordt omgegaan bij de overheid. Ook burgers zien dat we
steeds meer afhankelijk zijn van onze informatievoorziening, het beschikbaar stellen van informatie, maar ook het koppelen van informatie aan informatiesystemen. Je bent ook als gemeente steeds kwetsbaarder en je loopt steeds meer risico. Dat betekent dat het onderwerp feitelijk in urgentie aan het toenemen is. Maar dat betekent ook dat je je informatiehuishouding op orde moet hebben als gemeente en dat je moet nadenken over het feit hoe je ervoor zorgt dat informatie veilig en betrouwbaar is, dat beschikbaarheid kan worden gegarandeerd en de gebruiker gerust gesteld is over de veiligheid van zijn gegevens.”
Samenwerkingsverband als uitgangspunt Het ICT-Beveiligingsassessment DigiD is een van de projecten op het gebied van informatiebeveili-
ging die structureel op de agenda van gemeenten komt te staan. Gezien de investeringen die hiermee gemoeid gaan, is samenwerken met andere gemeenten een mooie oplossing. ”Het voordeel van een samenwerkingsverband is dat je meer massa creëert, zodat je efficiënter met je middelen kan omgaan. Zo kun je dus nog meer energie in het onderwerp steken, dan dat je als kleinere gemeente zou doen. Maar om iedereen het nut van informatiebeveiliging te laten inzien, zodat ook iedereen hierin wil investeren, is het van belang om het bewustzijnsniveau op dit vlak
”Zo kun je dus nog meer energie in het onderwerp steken”
bij bestuur en management bij alle gemeenten op orde te hebben. Formeel gezien is de verantwoordelijkheid voor bedrijfsvoering en informatievoorziening op lokaal niveau belegd. En daar zie je nuance verschillen tussen de 6 gemeenten van ons samenwerkingsverband. Tegelijkertijd is er het volste besef dat we op dit terrein wel moeten samenwerken. Vanuit bedrijfsvoeringsperspectief is er bijvoorbeeld de wens om mensen uit te kunnen wisselen tussen de gemeenten. Hiervoor moeten processen en informatiehuishouding op elkaar zijn afgestemd. Doordat er een tendens is om meer te gaan standaardiseren in processen en onderliggende informatiesystemen, worden de verschillen in perceptie en awareness kleiner en tegelijkertijd is er meer aandacht voor het onderwerp informatiebeveiliging binnen de gemeenten de Drechtsteden.”
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
19
Gemeente Vlaardingen en het ICTBeveiligingsassessment DigiD september 2013 ’Nog een druk op de knop’ en de eindrapportage is naar Logius ’verstuurd’. Het is net zomer in Nederland wanneer gemeente Vlaardingen als eerste gemeente het jaarlijkse ICT-Beveiligingsassessment DigiD afrondt. Daar waar de meeste gemeenten nog volop bezig zijn met het assessment of zich in de afrondingsfase bevinden, kan deze gemeente terugkijken op een goed verlopen en tijdig afgerond assessment. Jeroen van der Vlies, Chief Information Security Officer (CISO) van de gemeente Vlaardingen, kijkt met een voldaan gevoel terug op de gekozen ’aanvliegroute’. Van der Vlies is van mening dat informatiebeveiliging zo’n wezenlijk onderdeel is van de bedrijfsvoering, dat het elke dag aandacht verdient. Was dat de reden dat het verloop van de uitvoering van het assessment binnen de gemeente Vlaardingen zo voorspoedig was?
Gemeente Vlaardingen positief verrast Sinds januari 2013 is de rol van CISO binnen gemeente Vlaardingen belegd bij Jeroen van der Vlies. Geheel positief gestemd spraken we met hem over de uitvoering van het jaarlijkse verplichte ICT-Beveiligingsassessment DigiD. ”Wij waren positief verrast dat we als eerste gemeente het ICT-Beveiligingsassessment DigiD hebben afgerond. Dat hadden we niet verwacht. De reacties binnen onze gemeente en vanuit onze omgeving waren erg positief en dat is natuurlijk een leuk neveneffect.”
’Zo gezegd, zo gedaan’; prioriteit en voorbereiding… het halve werk Vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) weten we inmiddels, dat prioriteit geven aan het assessment cruciaal is voor het succesvol en tijdig afronden van het jaarlijkse ICT-Beveiligingsassessment DigiD. Gemeente Vlaardingen heeft het bewijs geleverd dat een goede planning, in-
clusief het vrijmaken van noodzakelijk budget en capaciteit, zorgt voor een positieve afwikkeling van het assessment. ”Binnen onze gemeente wordt vanuit het management prioriteit gegeven aan ICT-projecten middels ons Gemeentelijk Informatie Plan (GIP). Het jaarlijkse ICT-Beveiligingsassessment DigiD heeft van daaruit prioriteit gekregen op onze agenda. Vervolgens is daar
”de menselijke factor heeft invloed op informatiebeveiliging”
een planning voor gemaakt en zijn we aan de slag gegaan. We wilden graag voor de zomer van 2013 klaar zijn, want in de zomer ligt alles stil en na de zomer heb je nog maar heel even de tijd voordat de deadline nadert.” Maar met alleen een planning ben je er niet. ”Gemeente Vlaardingen was al voorzien van een GIP, een beveiligingsplan en een zogenaamd changemanagement proces. Deze voorbereidingen hebben er voor gezorgd dat gemeente Vlaardingen gedegen van start kon gaan. Kijkend naar de toekomst, moet er nog wel een kanttekening geplaatst worden. Gezien de ontwikkelingen
op het gebied van informatiebeveiliging, zal ons ICT-budget volgend jaar helaas niet meer toereikend zijn. Maar informatiebeveiliging is zo belangrijk, dat we daar budget voor vrij moeten maken.”
Focus op het proces Het ICT-Beveiligingsassessment DigiD kent een aantal fasen die iedere gemeente doorloopt. Afhankelijk van de wijze waarop de infrastructuur is ingericht, zijn deze fasen van invloed op de uitvoering van het assessment. ”Wij waren erg blij met het stappenplan van de IBD en hebben de stappen doorlopen.” Gemeente Vlaardingen heeft één DigiD-koppeling, waarbij de applicatie in eigen beheer is. De gemeente heeft een geslaagde penetratietest laten uitvoeren. Vervolgens heeft er een pre-audit plaatsgevonden. ”We dachten dat we alles op orde hadden, maar we liepen vooral tegen procesmatige stappen aan die niet goed geborgd waren. Focus je als gemeente dus niet alleen op een pentest, maar vooral ook op de processtappen, op het vastleggen van stappen en het documenteren van beschik-
Duijnborgh Audit b.v., auditor gemeente Vlaardingen ”Het assessment verliep voortvarend, de gemeente had voor de uitvoering voldoende resources vrijgemaakt én een strakke planning opgesteld”. Jeroen Meulendijks, Duijnborgh Audit b.v. Tips en Tricks van de auditor: Start op tijd met de voorbereiding en planning van het ICT-Beveiligingsassessment DigiD; zorg voor een tijdige allocatie van budget en capaciteit. Zowel intern als extern. Onderschat de borging van processen niet; ondanks het sterk technische karakter van het assessment is voor de gemeente een belangrijke taak weggelegd met betrekking tot de procesmatige borging en de noodzakelijke beschrijvingen. Houd rekening met externe factoren in de planning; waaronder activiteiten die door de leverancier uitgevoerd moeten worden. Deze kunnen invloed hebben op de planning van de gemeente. Voer, daar waar mogelijk, regie richting de leverancier. Betrek het management bij het ICT-beveiligingsassessment DigiD; ondanks de sterke betrokkenheid van ICT-afdelingen is het assessment ook een verantwoordelijkheid van het management.
bare informatie.” Aldus Van der Vlies. Sinds het assessment is het thema ’beveiligen van informatie’ geborgd in het proces. De selectie van een deskundige auditor is zorgvuldig verlopen. ”We hebben gezocht naar auditors, die het gehele pakket in zich hebben. Dat is
”De community, documenten en templates van de IBD waren erg prettig”
wel zo handig voor het opzetten en de aansturing van het project. De relatie met de auditor was goed. Hij controleerde alles zorgvuldig. Daarnaast is het van belang om het assessment projectmatig aan te pakken. De enige tegenvaller die nog genoemd kan worden, is de prijs voor de uitvoering van het assessment. We hadden de prijs onderschat. Deze verhoging werd veroorzaakt door het uitvoeren van twee pre-pentesten. Maar die marge hadden we gelukkig ingecalculeerd tijdens het budgetteren van onze ICT-projecten”.
Bewustzijn binnen gemeente verbeterd Binnen de gemeente Vlaardingen was er op managementniveau al aandacht voor ICT-projecten. Maar door de aankondiging van het ICTBeveiligingsassessment DigiD, is het thema ’beveiliging’ toegevoegd als onderwerp op de agenda. Daarnaast worden er sinds kort kwartaalrapportages op het gebied van informatiebeveiliging voor het management opgesteld. Deze ontwikkelingen dragen bij aan een
verhoogd bewustzijn op het gebied van informatiebeveiliging op managementniveau. Om ook het bewustzijn op de werkvloer naar een hoger niveau te trekken, zal de aandacht binnen de gemeente Vlaardingen aankomend jaar verschuiven van management naar de mensen op de werkvloer. ”Tenslotte wordt een groot deel van het risico bepaald door het gebruik van ICT-systemen.Met andere woorden; de menselijke factor heeft invloed op informatiebeveiliging. We gaan bijvoorbeeld naar een nieuw gebouw, waarbij we gebruik gaan maken van flex-werkplekken. Ook daarom zal het vergroten van het bewustzijn op het gebied van informatiebeveiliging van groot belang zijn.”
IBD en Logius als partners tijdens het proces Tijdens de uitvoering van het jaarlijkse ICT-Beveiligingsassessment DigiD zijn er diverse partijen, die ondersteuning kunnen bieden. Gemeente Vlaardingen heeft dankbaar gebruik gemaakt van het door de IBD beschikbaar gestelde stappenplan. ”De community, documenten en templates van de IBD waren erg prettig. We hebben eigenlijk het stappenplan nageleefd. Alleen bij het interpreteren van de door Logius opgestelde normen, ontstond er enigszins verwarring. Maar dat is door een informatiedeskundige binnen de IBD opgelost. We zijn dan ook erg blij dat de IBD en Logius de uitvoering van het project zo omarmen”. Gemeente Vlaardingen heeft samen met haar partners het assessment inmiddels afgerond. ”100% Beveiliging kan nooit. Maar je kan er wel voor zorgen dat je systemen zo goed mogelijk beveiligd zijn. Dat ben je ook verplicht richting je burgers.”
20
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Informatiebeveiliging in Beeld
december 2013
reeks van interviews 2013 waarbij het thema informatiebeveiliging centraal staat. Vanuit het Oosten van het land spreken we met de vrolijk gestemde wethouder Hans Brouwer over informatiebeveiliging en de ontwikkelingen bindoorn. Brouwer: ”Vanochtend heeft bij de gemeente nog de regiobijeenkomst ’Aansluiten bij de IBD’ van de Informatiebeveiligingsdienst voor gemeenten (IBD) plaatsgevonden.”
Resolutie Informatieveiligheid ’Aansluiten bij de IBD’ past bij een professionele gemeente die verantwoordelijkheid neemt voor de eigen informatieveiligheid. Dit is in lijn met de Resolutie ’Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ waar gemeenten eind november 2013 mee hebben ingestemd en die vervolgens werd aangenomen met een grote meerderheid van stemmen. De resolutie beschrijft waar gemeenten zich op het gebied van informatieveiligheid aan committeren, dit aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). In ruil hiervoor, vragen gemeenten van het Rijk om het aantal audits op het gebied van informatieveiligheid terug te brengen. Ook moeten gemeenten de tijd krijgen om een realistisch groeipad te doorlopen om
Hans Brouwer
informatieveiligheid verder te verbeteren. De resolutie kunt u vinden op de website van de Vereniging van Nederlandse Gemeenten (VNG). De gemeente Apeldoorn heeft als pilotgemeente meegedraaid tijdens de pilot ’Aansluiten bij de IBD’. Brouwer vervolgt: ”De gemeente Apeldoorn ziet het belang in van informatiebeveiliging. Ik probeer daarvoor de budgetten te realiseren en een rol te spelen in het bewustwordingsproces dat plaatsvindt in de organisatie.”
Complexe materie ”Bij het formeren van een nieuw college van B&W was ook Leefbaar Apeldoorn gevraagd om aan te schuiven. Ik ben voorzitter van Leefbaar Apeldoorn, maar ben sinds de formatie in 2012 ook wethouder geworden.” En wat is uw connectie met het onderwerp informatiebeveiliging? Brouwer vervolgt: ”Al een geruime tijd geleden, ongeveer 26 jaar, heb ik een training ’Data Security Officer’ gevolgd. Het was destijds al een
Inter Access, leverancier gemeente Apeldoorn: ”Vanwege het DigiD-assessment heeft Inter Access als ICT-leverancier een professionaliseringsslag doorgemaakt, waardoor de formele procedures zijn aangescherpt en beter worden nageleefd. Ook gemeenten worden zich bewust van de noodzaak om onder andere de contracten, de Service Level Agreements (SLA’s) en de afspraken met hun leveranciers goed op orde te hebben. Vanuit Inter Access juichen we deze ontwikkeling toe. Inter Access is zich al jaren bewust van de risico’s die een digitaal loket en e-formulieren met zich meebrengen. Bij de gemeente Apeldoorn worden ongeveer 156.000 burgers door WebNext bediend. In 2008 is de eerste penetratietest op WebNext uitgevoerd. Sindsdien is de beveiliging van WebNext en de onderliggende infrastructuur meerdere malen verbeterd dankzij periodieke testen. Deze worden in samenwerking met klanten als de gemeente Apeldoorn uitgevoerd. De gemeente Apeldoorn gaat zorgvuldig met de veiligheid om. Dat merk je in elk project dat we bij hen uitvoeren. De architecten en de Security Officer kijken en praten altijd mee en stellen kritische vragen met betrekking tot de veiligheid van de oplossing. Om het beste resultaat te bereiken met het ICT-Beveiligingsassessment DigiD heeft Inter Access intensief samengewerkt met de gemeente Apeldoorn. De gemeente heeft het TPM-rapport en de audit van de governance afgenomen en de richtlijnen voor infrastructuur geregeld.” dr. Robert Párhonyi, product manager.
De discussies over informatiebeveiliging gaan niet zozeer specifiek over het vormgeven van een beleid of de te nemen technische maatregelen, maar vooral ook over fundamentele zaken, zoals: ’In hoeverre willen we informatie beveiligd hebben?’, ’Wat vinden wij noodzakelijk?’ ’Evolueert de visie als het gaat om de mate van veiligheid?’ ’Denkt de volgende generatie er misschien heel anders over?’ ’Vinden zij het niet erg wanneer hun persoonlijke gegevens op straat liggen?’ Zij zijn gewend aan social
”Ik vind het ook vervelend om steeds m’n password te moeten aanpassen”
media en de dagelijkse verspreiding van persoonlijke informatie. ”Als ik naar de jongere generatie kijk, zit daar een enorm spanningsveld tussen met mijn generatie. Zij groeien op in een wereld met data. Voor hen geldt: ’Data? Anytime anywhere, anyplace’. Zij verwachten gewoon dat de informatie er is. Op die leeftijd denken ze nog helemaal niet na over het beveiligen van informatie en kijken ze ook heel anders aan tegen ’privacy’. Zij laten een spoor van gegevens na op internet, waarvan mijn generatie denkt: ’Is dat wel wat je wilt?’ Maar de jongere generatie vindt dat heel normaal. Vinden wij, de generatie die nu met informatiebeveiliging bezig is, wel dezelfde aspecten belangrijk als de generatie die na ons komt?”
Bestuurlijke agenda ”Maar ongeacht hoe de toekomstige generatie ook denkt over het delen van informatie, wij hebben te maken met de huidige generatie en de huidige wetgeving. En die vindt dat persoonsgegevens in ieder geval veilig moeten zijn binnen de eigen gemeente. En zo denken wij er als gemeente ook over. Momenteel zie je dat informatiebeveiliging ook intern bij de gemeente Apeldoorn
te benen. En dan spreek ik ook nog namens een grotere gemeente, waar we de mensen en de capaciteit hebben om de ontwikkelingen proberen bij te houden. Althans, ik zou het een hele logische stap vinden om deze complexe materie achter één bunker te zetten, bijvoorbeeld bij de IBD.”
De toenemende digitalisering en de economische tijden waarin we meer moeten doen met minder middelen, hebben tot gevolg dat we steeds vaker dezelfde geluiden horen vanuit de gemeentelijke
Barry Meesters, auditor Service Centrum Drechtsteden
”De gemeente Apeldoorn ziet het belang in van informatiebeveiliging”
Generatieverschillen
nen de gemeente Apel-
net een veiligheidsmaatregel hebt genomen. Waarom kiezen we niet voor één systematiek met alle gemeenten en laten we hiervoor iemand verantwoordelijk maken die het voor alle gemeenten regelt, bijvoorbeeld de IBD. Want laten we eerlijk zijn, uiteindelijk is het voor kleinere gemeenten niet meer bij
Uniformiteit
serieus onderwerp, maar ten opzichte van de huidige problematiek kinderspel. Het ging dan over onderwerpen als ’passwords’ en ’databetrouwbaarheid’ en veel minder over onderwerpen als ’privacy’. Als je kijkt naar de ontwikkelingen van de afgelopen 25 jaar, dan is dat natuurlijk enorm veranderd! Sommige onderwerpen zijn dan misschien niet veranderd, maar de complexiteit ervan is enorm toegenomen.”
de laatste gemeente in de
21
den, maar je moet geen ’overkill’ willen realiseren.”
Apeldoorn De gemeente Apeldoorn is
2014 - Editie ICT-Beveiligingsassessment DigiD
een heel belangrijk thema is en het onderwerp op de bestuurstafel ligt. Ieder kwartaal komt het in ieder geval één keer langs: ’Waar staan we nu?, ’Wat zijn de aspecten die de komende maanden een rol gaan spelen?’, ’Wat hebben we de afgelopen maanden gehad?’ en ’Wat is de stand van zaken rondom bijvoorbeeld de DigiD-audits?’ Ook al heeft het onderwerp intern een enorme discussie aangezwengeld, zolang de National Security Agency (NSA) nog steeds dagelijks in de krant staat, is het bestuurlijk en publicitair gezien een ongelooflijk belangrijk onderwerp.”
Bewustwording ”We proberen ook het maximale te doen aan bewustwording. Je kunt veel technische maatregelen nemen, die zijn namelijk oneindig. Maar ook technische maatregelen kunnen onderuit gehaald worden door mensen die deze bewust of onbewust omzeilen.”
Geen sexy onderwerp ”Vanuit de ICT-afdeling leeft het onderwerp informatiebeveiliging zeker. Maar informatiebeveiliging is niet het meest sexy onderwerp op de werkvloer. Ik vind het ook vervelend om steeds m’n password te moeten aanpassen. Zoiets kan moeilijk op een positieve manier gaan leven in een organisatie. En daar komt bij dat ik wel keer op keer mijn password kan wijzigen, maar als ik een briefje moet ophangen om mijn password te kunnen onthouden, wat heeft het dan voor zin? Kortom, probeer hierin een frequentie te vinden die voor iedereen acceptabel is.” Het niveau waarop gemeenten acteren op het vlak van informatiebeveiliging verschilt. De ene gemeente staat nog wat meer aan het begin wat betreft kennisontwikkeling op het gebied van ICT en informatiebeveiliging. De andere gemeente heeft zoveel kennis in huis dat ze bijna niks outsourcen zolang ze het zelf nog aankunnen.
Ook de gemeente Apeldoorn kent van oudsher een sterke focus op techniek en ICT. Brouwer vertelt trots: ”We zijn uitmuntend als we kijken naar de techniek. We proberen bij ’de beste jongetjes van de klas’ te horen. Ook de raad is heel ’eager’ als het gaat om informatiebeveiliging, vooral op het vlak van privacy. Op het vlak van bewustwording, de menselijk aspecten van informatiebeveiliging, zullen we onze collega’s moeten blijven trainen, scholen en het onderwerp informatiebeveiliging onder de aandacht blijven brengen door ze te wijzen op de risico’s. Maar of het daarmee een sexy onderwerp wordt?”
Toekomst ”Om het vertrouwen van je burger te behouden, zal de gemeente informatiebeveiliging goed geregeld moeten hebben. Informatiebeveiliging is en blijft een onderwerp op de agenda dat blijvende aandacht en budgetten nodig heeft. En de digitalisering neemt alleen maar toe. Ik ben lang genoeg binnen de ICT-wereld actief geweest om te weten dat er nog stappen gemaakt kunnen worden in de wijze waarop gemeentelijke organisaties gedigitaliseerd zijn. Het is van essentieel belang dat informatiebeveiliging op een hoog niveau komt, zodat de processen richting burgers geautomatiseerd kunnen worden. Daarnaast vind ik het spannend om te zien wat de generatie na ons gaat doen. Zijn zij net zo ’eager’ als onze generatie als het gaat om (informatie)veiligheid? Of zeggen zij: ’Privacy? Dat kan allemaal wel een stapje minder.’ Aan de andere
”Aan de andere kant moeten mensen niet de illusie hebben dat je alles kunt beveiligen”
kant moeten mensen niet de illusie hebben dat je alles kunt beveiligen. Dat kon niet vóór de digitale
wereld, dus dat kan ook niet ìn de digitale wereld. Je moet een bepaald veiligheidsniveau aanhou-
organisaties. Ook Brouwer laat zich hierover uit: ”Ik verbaas me erover dat we een onderwerp als informatiebeveiliging niet op intergemeentelijk niveau gezamenlijk regelen. Het is namelijk een enorm complexe wereld waarin de ontwikkelingen elkaar bijna sneller opvolgen dan dat de trainingen geschreven kunnen worden. Je wordt gehackt waar je bij staat terwijl je
Tips en Tricks van de auditor: eldere scope afbakening is complex en dient met alle aanweH zige partijen in de keten plaats te vinden; de informatie van alle afzonderlijke partijen zorgen uiteindelijk voor het totaal plaatje. Binnen shared service center omgevingen dient vooraf in kaart gebracht te worden wat centraal en decentraal gebeurt. De centrale functie blijkt niet altijd op alle vlakken te zijn ingeregeld, wat wel mogelijkheden biedt voor efficiency. Het geïntegreerd uitvoeren van security testen en auditwerkzaamheden levert veel efficiencyvoordelen op. Uitkomsten uit security testen kunnen daarnaast input leveren, dat het bijbehorende proces of de controle niet heeft gefunctioneerd. Proces en techniek komen hiermee samen. Evalueer de uitkomsten van het DigiD beveiligingsassessment in een bredere context. De bevindingen zijn vaak niet beperkt tot de DigiD scope en de gemeente kan hier eenvoudig stappen zetten in de beheersing van de IT-risico’s. Ook kan het efficienter zijn om bevindingen in een bredere context op te volgen in plaats van afzonderlijke beleidsdocumenten en procedures voor DigiD.
Het ICT- Beveiligingsassessment December DigiD in Apeldoorn 2013 We vervolgen ons interview en staan voor de laatste keer in 2013 stil bij de ervaringen van een gemeente voor wat betreft de uitvoering van het jaarlijks verplichte ICT-Beveiligingsassessment DigiD. Hiervoor zijn we namens de gemeente Apeldoorn in gesprek met Erwin Laros, teammanager Infrastructuur. Met een lange carrière in de commerciële wereld, heeft hij een aantal jaren geleden gekozen voor de gemeentelijke overheid: ”Ik zit hier om een opdracht uit te voeren en dan pak ik daar op door”. Met deze vastberaden houding zijn we het gesprek in gegaan om te horen hoe de gemeente Apeldoorn de uitvoering van het DigiD-assessment heeft ervaren.
Techniek is onze ambacht De goedgehumeurde Laros vervolgt: ”Sinds twee jaar ben ik als teammanager Infrastructuur verantwoordelijk voor de exploitatie en het beheer van de ICT-infrastructuur. Binnen de gemeente Apeldoorn willen wij een stap maken van een technisch gedreven organisatie naar een klant gedreven organisatie. De technische basis heeft ons overigens altijd goed geholpen om de continuïteit te waarborgen. We hebben hele goede mensen die voor diverse onderdelen gecertificeerd zijn. De mensen zijn zelf ook heel gedreven om hun kennis bij te houden.
Daar waar we op het gebied van techniek ambachtelijk te noemen zijn, zijn we procesmatig minder goed georganiseerd. De manier van werken is heel erg verankerd in de manier van werken van de mens, in het ambacht.”
dat de gemeentelijke organisatie een ontwikkeling doormaakt waarbij je interne klanten nu je externe klanten worden. Met andere woorden: dat is ineens een klant geworden die we moeten bedienen met een servicelevel en
”waarom de ene norm wel en de andere dan weer niet toetsen”
Van ambacht naar proces De wereld om ons heen verandert en daarom veranderen organisaties mee. ”Je ziet het gemeentelandschap veranderen en je merkt
een bijpassend kostenplaatje. Dat vraagt toch om een andere manier van werken. De oude ambachtelijke werkwijze past daar minder goed bij. En omdat we vaker
middels een regiemodel invulling geven aan onze dienstverlening, behoren we ook onze processen goed te waarborgen. Afgezien van de interne klanten, komen ook de ICT-leveranciers steeds meer in beweging. Ze willen allemaal een stukje van de koek als het gaat om het leveren van ICT-diensten die we nu nog zelf leveren. Externe partijen willen graag die dienstverlening van ons overnemen. Ook met deze veranderingen moet je leren omgaan. Uit al deze ontwikkelingen blijkt dat je je processen goed op orde moet hebben, wil je snappen wat de insteek moet zijn. Als je dat zelf niet kan, dan wordt het heel lastig.”
Proces denken ”Gezien mijn achtergrond en mijn persoonlijke interesse in processen, was het logisch dat het ICTBeveiligingsassessment DigiD bij mij terecht kwam. We hadden overigens ook al meegedaan aan de Impactanalyse van het Kwaliteitsinstituut Nederlandse Gemeenten (KING) in 2012. Eind vorig jaar zijn we gestart met het DigiD-assessment. Buiten de impactanalyse hadden we al ervaring met assessments zoals de audit Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Vanuit die gedachte hebben we ook gekeken naar het DigiD-assessment, maar ik heb direct mijn vraagtekens gezet bij de normen. Het is
Erwin Laros
een subset van de NCSC-normen, maar waarom de ene norm wel en de andere dan weer niet toetsen? In eerste instantie hebben we gezegd dat we het DigiD-assessment niet ergens anders gaan beleggen, omdat we er dan niks van leren. Het is tenslotte een jaarlijks terugkerend verplicht assessment. We hebben geprobeerd zelf de mensen van de afdelingen erbij te betrekken om gezamenlijk invulling te geven aan de opdracht. Daar zijn we wel van teruggekomen, want op een gegeven moment merk je dat wanneer je organisatie (nog) niet bekend is om procesmatig te werken, het moeilijk is om dat in een korte periode voor elkaar te krijgen. Dan moet je toch op een andere manier gaan leren denken. Dus we hebben uiteindelijk externe hulp ingeschakeld om de processen en de documentatie goed op orde te krijgen. We zijn momenteel met de laatste loodjes bezig.”
Lees verder op pagina 23
22
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Interview martine schiffeleers
Ondersteuning projecten door IBD Zoals Nausikaä Efstratiades en Anita van Nieuwenborg hiervoor uitvoerig hebben besproken, kent de IBD een drietal doelen waar zij invulling aan geeft. Eén van de doelen is het bieden van projectmatige ondersteuning op deelgebieden aangaande het onderwerp informatiebeveiliging. De ondersteuning, die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project.
draaiboek voor het assessment, regiobijeenkomsten voor gemeenten, bijeenkomsten voor betrokken leveranciers, auditors en pentesters, factsheets, een website en community waar gemeenten hun informatie, ervaringen, vragen en tips aangaande het assessment kunnen delen, intensieve begeleiding van koplopergemeenten en handzame templates. Kortom, handige hulpmiddelen om het wiel niet opnieuw uit te hoeven vinden.”
Gedurende de uitvoering van het DigiD-assessment komen verschillende partijen met elkaar in aanraking, waaronder de gemeente, de betrokken leverancier(s), de auditor van de gemeente en de auditor van de leverancier(s). ”Diverse redenen kunnen ervoor zorgen dat het assessmentproces soms niet zo voorspoedig verloopt. Denk hierbij bijvoorbeeld aan:
Het is belangrijk dat niet alleen gemeenten, maar ook leveranciers een goede voorbereiding treffen
”Begin op tijd”
ICT-Beveiligingsassessment DigiD Als projectleider van het project Ondersteuning ICT-Beveiligingsassessment DigiD spreken we met Martine Schiffeleers. ”Het was een langdurig en omvangrijk project met een deadline op 31 december 2013. Een landelijk project met een politieke lading, diverse partijen die voor het eerst moeten samenwerken met soms ook tegengestelde belangen en vele nieuwsgierige blikken van derden. Dit heeft ervoor
gezorgd dat het DigiD-assessment een uitdagend traject is geworden.”
Verantwoordelijkheid van gemeente Elke DigiD-gebruikende gemeente is zelf verantwoordelijk voor het jaarlijks uitvoeren van een ICTBeveiligingsassessment DigiD. De gemeente dient zelf vroegtijdig in actie te komen om de juiste voorbereidende maatregelen te treffen ter voorbereiding op de uitvoering van het assessment en het indie-
”Ervaring leert dat de gemiddelde doorlooptijd van het assessment 4 maanden is, mits er niks tegenzit”
nen van de rapportage bij Logius. ”Ervaring leert dat de gemiddelde doorlooptijd van het assessment 4 maanden is, mits er niks tegenzit.”
Uiteraard verloopt de uitvoering in nauwe samenwerking met de bij gemeenten betrokken leveranciers. Deze nieuwe maatregel vraagt om extra inspanning van een gemeente en kent naast logistieke ook budgettaire uitdagingen. Zeker omdat het assessment in 2013 voor de eerste keer is uitgevoerd.
Impactanalyse Om gemeenten hierbij actief te ondersteunen heeft de IBD als eerste stap in 2012 een impactanalyse uitgevoerd onder negen gemeenten. Dit om te achterhalen wat de omvang van de impact van de assessment-maatregel op gemeenten is en tevens om te kijken of een gestandaardiseerde aanpak van het assessment voor gemeenten mogelijk is. ”In eerste instantie is er in 2012 door de IBD een impactanalyse uitgevoerd om te kijken waar extra ondersteuning nodig is om het jaarlijkse assessment succesvol en tijdig af te kunnen ronden bij en door de DigiD-gebruikende gemeenten. Dit heeft geleid tot een concrete ondersteuningsaanpak vanuit de IBD. Deze aanpak bestaat onder meer uit een handzaam
en zo snel mogelijk met het assessment starten. Ook in 2014. Ondanks het feit dat betrokken leveranciers een cruciale rol spelen tijdens de uitvoering van het ICTBeveiligingsassessment DigiD, blijft elke gemeente zelf verantwoordelijk voor het assessment en het indienen van de rapportage(s). Elk jaar opnieuw. Om zo efficiënt als mogelijk te werk te gaan, heeft de IBD het initiatief genomen om leveranciers te adviseren zogeheten Third Party Mededelingen (TPM’s) te maken. Zodat de bevindingen uit deze assessments bij meerdere gemeenten kunnen worden hergebruikt.”
Ervaringen Uit alle interviews met gemeenten blijkt hoe elke gemeentelijke organisatie haar eigen dynamiek kent. Desondanks deelt de IBD toch graag de opgedane ervaringen, die tijdens de uitvoering van het ICTBeveiligingsassessment DigiD van pas kunnen komen. Een paar tips die bij elke gemeente een positieve uitwerking hebben gehad in 2013: • ” Verhoog het bewustzijn aangaande het belang van informatiebeveiliging bij het bestuur en het management.
2014 - Editie ICT-Beveiligingsassessment DigiD
(interview met Erwin Laros)
Leveranciers
Martine Schiffeleers
•W erk indien mogelijk samen met andere gemeenten. • Begin op tijd aangezien de voorbereiding van het assessment veel tijd kost. • Maak gebruik van het ondersteuningsaanbod van de IBD, dat versnelt het proces. • En tot slot: doe de zelftest uit het stappenplan, want een goede voorbereiding is het halve werk.” Voor een volledig overzicht van onze tips, bekijk de factsheets ICTBeveiligingsassessment DigiD op www.IBDgemeenten.nl.
DigiD-assessment 2014 ”De IBD stimuleert de gemeenten om gebruik te maken van de community op de website van de IBD. Daar kunnen gemeenten kennis en ervaringen delen om van elkaar te leren. Daarnaast hebben we afgelopen jaar verschillende gemeenten geïnterviewd, waarbij de ervaringen omtrent informatiebeveiliging en de uitvoering van het ICT-Beveiligingsassessment DigiD gedeeld werden. Aanvullend op hun ervaringen, hebben ook de auditors en de leveranciers hun visie gedeeld middels constructieve adviezen. Voor de IBD en alle DigiD-gebruikende gemeenten is het een omvangrijk project waar de tussentijdse lessen in 2013 steeds gedeeld zijn via nieuwsberichten, interviews op de IBD-website en de verschillende bijeenkomsten die de IBD gehouden heeft. Met aanzienlijke ervaring in de rugzak, worden de puntjes op de ’i’ gezet voor een nieuwe uitvoering van het ICT-Beveiligingsassessment DigiD in 2014!”
De gemeente Apeldoorn heeft twee DigiD-koppelingen. Eén voor het digitaal loket en de andere DigiDkoppeling heeft te maken met het opvragen van de WOZ-waarden. ”Eigenlijk is die tweede DigiD-koppeling alleen maar interessant op het moment dat de jaarlijkse gemeentelijke belastingronden van start gaan in februari. We moeten daar nog een TPM-verklaring voor ontvangen. Uiteindelijk zie je wel dat wanneer de ICT niet bij ons ligt als Centrale Eenheid Informatievoorziening, dat het lastig is om erop te sturen. Er zijn leveranciers die zeggen: ’We doen niet mee aan het afgeven van een TPM, het is te kostbaar voor ons’, waardoor je als gemeente moet kijken naar alternatieven. Ik kan overigens wel begrijpen dat de eisen vanuit het DigiD-assessment voor sommige leveranciers niet niks zijn.”
Programma van eisen ”Deze ontwikkeling heeft ons wel de ogen geopend. We werken natuurlijk veel met leveranciers samen en soms zijn de ICT-producten erg complex. Hoe kun je als gemeente en klant dan sturen op je leverancier? Hier worden we ook door de auditor op gewezen. Dat wil niet zeggen dat we het nu allemaal al op de rit hebben. Want als je nu nog in een Europees aanbestedingstraject zit, kun je je programma van eisen niet ineens aanpassen, maar misschien wel aanvullende afspraken maken. In ieder geval doen we het bij de volgende aanbesteding anders. Als een bedrijf ISO 27001 gecertificeerd is, dan maakt dat de samenwerking makkelijker. De certificering geeft een stuk zekerheid dat zij de dienstverlening op het gebied van security goed kunnen uitvoeren. Die garantie is nodig voor het DigiD-assessment. Want soms zet je een vraag uit in de markt omdat je daar als organisatie zelf geen goede invulling aan kan geven. Vervolgens wordt het heel moeilijk de leverancier
Vervolg van pagina 3 (interview met Hans Baaten)
enkele praktische tips: aak M
iemand in de
organisatie structureel verantwoordelijk voor het assessment
org Z
voor regie en
heldere verantwoordelijkheden
eem N
contracten met
leveranciers onder de loep
Hierbij kijken we wat de meest kwetsbare processen in onze organisaties zijn. Als de integriteit, beschikbaarheid of betrouwbaarheid in het geding komen, welke processen hebben er dan het meeste last van? Dat doen we in eerste instantie voor de hoofdprocessen door aan de controllers te vragen waar de grootste risico’s zitten. De kritische processen gaan we bekijken en van daaruit komen nieuwe passende maatregelen. Dat houdt in dat we doen wat nodig is, maar niet te veel. De vakafdelingen zijn verantwoordelijk voor het bepalen van de risicobereidheid. Welke risico’s lopen we en wat vinden we
23 beveiligde omgeving. Vanuit de ICT-afdeling geven we aan dat het gebruik van Dropbox sterk wordt afgeraden en bieden dan een alternatief. Dat is wel een lastige ontwikkeling geweest, omdat op een gegeven moment de markt iets ontwikkelt voor tablets en die zetten van alles ’in de cloud’, waardoor je er vervolgens geen controle meer over hebt. Dus ook geen controle wat betreft de beveiliging van je data. Er kan van alles mee gebeuren, kijk maar naar de berichten van de National Security Agency (NSA). Dat is niet overdreven.”
Vervolg van pagina 21
Gemeenten en Leveranciers
• Het ICT-Beveiligingsassessment DigiD was begroot, de vervolgacties die hier uit kwamen echter niet. • Gemeenten migreerden naar een nieuwe omgeving, een nieuwe applicatie of nieuwe versie van hun eigen applicatie. • Gemeenten vormen onderdeel van een traject om te fuseren of een verregaande samenwerking aan te gaan per 1 januari 2014.”
In 2012 heeft het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) na een aantal incidenten op het vlak van informatiebeveiliging een maatregel afgekondigd. Deze maatregel betreft de verplichting voor alle DigiD-gebruikende organisaties om jaarlijkse een ICT-Beveiligingsassessment DigiD uit te voeren. Om de veiligheid van koppelingen met DigiD, hét digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak, te borgen. En zo het vertrouwen van burgers in het digitaal regelen van hun zaken bij gemeenten via DigiD te behouden.
Informatiebeveiliging in Beeld
DigiD-assessment 2014 ”We zijn benieuwd naar volgend jaar aangezien de interpretatie van een aantal normen dit jaar onduidelijk was. Wat gaat er veranderen in het DigiD-assessment in de toekomst omtrent de normen? Is er dan meer duidelijkaan te sturen als je zelf de kennis niet in huis hebt. Dan ga je sturen op KPI’s die heel abstract worden. Dat is gewoon schijnzekerheid wat je dan koopt. Dan is zo’n ISO-certificering in ieder geval een goede basis.”
Uitvoering DigiDassessment ”We hebben drie aandachtspunten die ons beheerst hebben tijdens het DigiD-assessment. Als eerste de eerder besproken processen en een kwaliteitssysteem. Die beide
”Afgezien van de interne klanten, komen ook de ICT-leveranciers steeds meer in beweging”
aspecten vormen toch wel je fundament. Daar hebben we dan ook vrij veel tijd in geïnvesteerd. Als tweede heb je de techniek, wat vrij goed op orde lijkt. Dat blijkt ook wel uit de diverse penetraties-
acceptabel? Vervolgens stellen we samen de passende organisatorische en/of technische maatregelen voor. Een belangrijk aspect en een kanteling die nu in de organisatie plaatsvindt is dat we niet meer kijken naar wat we de technologie kan, maar aan de vakafdelingen vragen welke maatregelen nodig zijn om hun werkzaamheden goed te kunnen uitvoeren. Een ander voorbeeld van activiteiten is de interne bewustwordingscampagne. Ik werk momenteel aan een strategie die inspeelt op de
”Dat houdt in dat we doen wat nodig is”
testen die we meerdere keren per jaar uitvoeren. Het kan uiteraard altijd beter. De aandacht zit nu op de beoordeling van de normen en welke normen we echt wel geborgd moeten hebben. De relatie met de auditor is goed te noemen. We vinden hem vrij streng maar dat geeft ons wel het beeld dat als we klaar zijn, we dan ook iets goeds hebben staan. We leren veel van hem door discussies aan te gaan en zodoende komen wij ook tot nieuwe inzichten. Daarbij is de interpretatie van de normen nog wel een punt van discussie. We hebben het idee dat sommige normen een ’moving target’ zijn. Dat maakt het wel lastig. Logius mag van mij duidelijker zijn over de acceptatiegrens. Het laatste aandachtspunt tijdens de uitvoering van het DigiD-assessment waren de leveranciers, dit vanwege de TPM’s.”
OTAP-model ”We werken inmiddels al jarenlang volgens een OTAP-model, wat staat voor Ontwikkel-Test-Acceptatie-Productie model. Dat doen wij vanuit het oogpunt van beveiliging en functionaliteit. We testen en zorgen ervoor dat het product goed werkt voor onze klant. Het vraagt nog wel eens uitleg aan
drie-eenheid vrijheid, vertrouwen en verantwoordelijkheid. Bijvoorbeeld hoe zorg ik ervoor dat onze medewerkers op een betrouwbare en vertrouwelijke manier omgaan met persoonsgegevens die bij ons bewaard worden? Het zijn tenslotte wel onze klanten. Of hoe zorg ik ervoor dat medewerkers een pincode aanzetten op hun telefoon? Hoe zorg ik ervoor dat de bestuurder zijn update draait of een backup maakt? Deze aspecten moet je niet alleen via ICT ondersteunen, maar ook tussen de oren krijgen bij je medewerkers. De maatregelen moeten echter wel laagdrempelig zijn, anders werkt het ook niet. Een pluspunt is dat de gemeenten nut en noodzaak hiervan onderkennen en daar ook de resources voor beschikbaar stellen.”
onze klanten waarom deze vier omgevingen doorlopen moeten worden. Het proces kan wel anders verlopen maar dan doen we concessies aan de kwaliteit, want de ICT-producten zijn gewoon heel complex. Daar komt bij dat tegenwoordig ook alles aan elkaar wordt gekoppeld. Dat zorgt er bijvoorbeeld voor dat je heel veel afhankelijkheden creëert wat weer een impact heeft op je kwaliteit maar ook op je bezuinigingen. Vervolgens moet je de kwaliteit ook nog kunnen borgen. Je blijft altijd een spanningsveld houden tussen flexibiliteit, snelheid en degelijkheid.”
Algemene bewustzijnsniveau ”Het algemene bewustzijnsniveau in de organisatie neemt zeker toe. We hebben een Security Officer die regelmatig een campagne voert met verschillende onderwerpen, zoals ’clean desk’. Maar door de toenemende digitalisering zoals het gebruik van tablets, zullen de medewerkers heel bewust moeten zijn van hun handelingen. Vroeger maakten medewerkers gebruik van de zeer onveilige Dropboxomgeving. Nu hebben we een eigen gemeentelijke box met een
”Je blijft altijd een spanningsveld houden tussen flexibiliteit, snelheid en degelijkheid”
heid omtrent de interpretatie van de normen? Dat houdt de gemoederen intern bezig. Maar ook andere vragen schitteren aan de horizon, zoals ’Hoe classificeer je data?’, ’Hoe ga je daar mee om?’, ’Welke maatregelen tref je?’, Welke data ontsluit je en voor welke doelgroep?’ Dit moet allemaal nog worden vastgelegd. Bovenal moeten we onze klanten bedienen met goede ICT-diensten. Om de kwaliteit en veiligheid van onze dienstverlening te borgen moeten we onze organisatie zo slim mogelijk organiseren, efficiënt maar uiteraard wel effectief en daar waar mogelijk geautomatiseerd. Ondanks dat we het goed op orde hebben bij de gemeente Apeldoorn, hebben we nog een behoorlijke klus te klaren.”
Tips en Tricks De meeste gemeenten zijn nog bezig om het assessment af te ronden. Om collega-gemeenten nog een duwtje in de rug te geven tijdens de eindsprint, zijn de volgende tips en tricks vanuit gemeente Vlaardingen wellicht handig: ”Zelf doen! Verwacht niet dat bij uitbesteding van het assessment, partijen als de pentester of auditor het werk doen. Dat doen ze namelijk niet. Zij voeren alleen hun taak uit en dat is controle uitvoeren naar gelang de normen van Logius. Je moet het echt zelf doen, en zeker op tijd aan de slag gaan. En leg daarbij de focus op het proces en niet op de techniek. Het is een project en zo moet het ook belegd en aangestuurd worden.” Belangrijk is het commitment van je medewerkers die meewerken aan het ICT-Beveiligingsassessment DigiD Let bij de pentesten op, dat commerciële partijen voornamelijk een commercieel doel hebben. De pentest is tijdens het assessment geen doel op zich.”
24
Informatiebeveiliging in Beeld
2014 - Editie ICT-Beveiligingsassessment DigiD
Vervolg van pagina 13 (interview met Boy Janssen)
Dus over drie assen moeten we de organisatie ontwikkelen. En om dan ook nog met een onderwerp als informatiebeveiliging aan de slag te moeten… dan komt het thema er echt ’bij’ en vervolgens strijdt het om voorrang. En dan bedoel ik niet alleen in aandacht, maar heel plat gezegd ook in geld. Ik kan met een gerust hart stellen dat we als gemeente Zutphen met informatiebeveiliging op de goede
”Ik kan met een gerust hart stellen dat we als gemeente Zutphen met informatiebeveiliging op de goede weg zijn”
weg zijn. We willen er binnen de gemeente Zutphen extra capaciteit en formatie voor vrijmaken. Maar als je dan kijkt naar bijvoorbeeld specifieke privacy-aspecten en je wilt je voor 100% houden aan de privacywetgeving, zou je daar ook een informatiedeskundige voor moeten aanstellen. Dit gaat immers toch over andere aspecten dan puur informatiebeveiliging. Wij constateren bijvoorbeeld dat ’de bescherming van privacygevoelige gegevens’ een taak voor ons is, maar daar hebben we simpelweg de middelen niet voor. Wij kunnen daar moeilijk formatie voor vrijmaken dus zijn we nu in gesprek met collega-gemeentesecretarissen om te kijken of we dat niet intergemeentelijk kunnen gaan oppakken. Je hoeft het natuurlijk ook niet allemaal zelf te gaan organiseren, maar probeer als kleinere gemeente dit op intergemeentelijk niveau te gaan borgen.” Ook vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) wordt de onderlinge samenwerking aangemoedigd, mede gezien de uitwisseling van kennis en de opgelegde bezuinigingen in gemeenteland. Samenwerkingsverbanden tussen gemeenten staan nog in de kinderschoenen maar komen langzaamaan steeds vaker
voor. ”Ik merk dat veel collega’s van mij nog niet zo bewust zijn van de verantwoordelijkheid die wij dragen en het kost me dan ook
”Je hoeft het natuurlijk ook niet allemaal zelf te gaan organiseren”
Informatiebeveiliging in Beeld
Copy, redactie en vormgeving: Sonja Kok, Marlies Schamper en Annelieke van den Berg Redactieadres: Informatiebeveiligingsdienst
Samenwerken is de basis voor de toekomst waarbij kennis delen en kosten reduceren centraal staan.
De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. Zo heeft de IBD:
beveiliging bij gemeenten
Samen staan we sterk
Het is belangrijk als gemeente niet de zwakste schakel te zijn in de keten, informatiebeveiliging hoog op de agenda te houden en om elkaar te attenderen op kwetsbaarheden. ”Want, de ontwikkelingen aan de kant van de cybercriminelen gaan natuurlijk gewoon door.” Dus deel de ervaringen via de community van de IBD, zodat we sterk kunnen optreden in het beperken van de risico’s op het gebied van informatiebeveiliging.
Heeft uw gemeente zich al officieel aangesloten bij de IBD?
COLOFON
is een uitgave over Informatie-
moeite om ze te overtuigen van de belangrijkheid van het onderwerp. Dat maakt het samenwerken nog niet eenvoudig. Hier mag de IBD ook zeker haar rol pakken, wat de uitvoering in het veld waarschijnlijk makkelijker zou maken.”
GeoTax, leverancier gemeente Zutphen: ”Over het algemeen kun je stellen dat je als gebruiker van digitale diensten, in dit geval de gemeente Zutphen, mag verwachten (eisen) dat de leverancier van de dienst er alles aan doet om de veiligheid van de dienst te ’garanderen’. Dit laatste zet ik bewust tussen aanhalingstekens want garanderen kun je het niet echt. Hoe dan ook, je mag er echter wel vanuit gaan dat alles in het werk is gesteld om het niet makkelijk te maken en dat gevoelige informatie niet zomaar op straat komt te liggen. Specifiek voor de gemeente Zutphen geldt dat wij het product GT-LOKET nauwkeurig onder de loep hebben laten nemen door de bij NOREA aangesloten EDP register auditor. De samenwerking met de auditor verliep op een paar, niet technische discussies na, zeer goed. Het GT-LOKET heeft alle beproevingen doorstaan en de zogeheten Third Party Mededeling (TPM) is inmiddels afgegeven.” Gijs de Groot, coördinator Implementatie & ICT Services.
E en Helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. E en website en community waar door en tussen gemeente kennis en ervaring op informatiebeveiligingsvlak kunnen worden uitgewisseld.
Om de gehele dienstverlening van de IBD af te kunnen nemen en gemeenten gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van elke gemeente. Hiervoor moet iedere gemeente ’officieel’ aansluiten bij de IBD.
voor Gemeenten (IBD) Kwaliteitsinstituut Nederlandse Gemeenten (KING) Nassaulaan 12 - 2514 JS Den Haag T 070 373 8011 E
[email protected] I www.IBDgemeenten.nl
070 - 373 80 11
[email protected]