Verslag Learn & Share bijeenkomst Informatieveiligheid Beilen, woensdag 5 februari 2014
1 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen
1
Inleiding
In samenwerking met de Vereniging van Nederlandse Gemeenten (VNG), het Nederlands Genootschap van Burgemeesters (NGB), de Wethoudersvereniging en de Vereniging van Drentse Gemeenten heeft de Taskforce BID op woensdag 5 februari jl. een Learn & Share bijeenkomst Informatieveiligheid georganiseerd. Deze keer speciaal voor burgemeesters en wethouders van de Friese, Drentse en Overijsselse gemeenten. De bijeenkomst vond plaats in het gemeentehuis van de gemeente Midden-Drenthe in Beilen. “Ik wist niet dat het zo makkelijk was om gehackt te worden”, sprak een van de deelnemers.
2
Opening
De bijeenkomst werd geopend door dagvoorzitter Jan Broertjes, burgemeester van de gemeente Midden-Drenthe. Na zijn opening gaf hij het woord aan Harro Spanninga, accountmanager gemeenten bij de Taskforce BID. Spanninga begon zijn inleiding met een toelichting op het programma van de middag. Een programma waarbij informatieveiligheid vanuit drie perspectieven word belicht: • • •
Technisch perspectief Bestuurlijk perspectief Gemeentelijk perspectief
Spanninga liet vervolgens een filmpje zien waarin te zien was hoe een Belgische Bank op ludieke wijze aantoont hoeveel gevoelige informatie mensen over zichzelf op internet plaatsen en hoe makkelijk kwaadwillende personen deze informatie kunnen achterhalen. Iedereen die niet bij de bijeenkomst aanwezig kon zijn of de film graag nog een keer wilt bekijken, verwijzen wij graag naar de film op Youtube. Met een toelichtend verhaal op de activiteiten van de Taskforce BID onderstreepte Spanninga het belang van het sturen op informatieveiligheid. Dagelijks zijn er nieuwsfeiten over incidenten op het informatieveiligheidsvlak. Spanninga ging vooral in op het gemak waarmee op informatiesystemen kan worden ingebroken en de vele incidenten die er op dat gebied al zijn geweest. “We zijn zoveel gaan digitaliseren, dat we daardoor naïef zijn geworden over wat je er allemaal mee kunt doen. Dat verklaart waarom er inmiddels dagelijks minstens twee vrij ernstige incidenten de media halen”, vertelde Spanninga. Zo was onlangs nog een gemeente in het nieuws, omdat criminelen een poging deden tot fraude met DigiD. Ook liet Spanninga in zijn presentatie verschillende andere voorbeelden van incidenten zien. Zo kwam een jaar geleden een gemeentelijk zwembad in het nieuws, omdat via een lek op de website verschillende systemen op afstand bedienbaar bleken. Bij weer een andere gemeente hadden hackers de bediening van sluizen overgenomen, omdat het wachtwoordbeleid in deze gemeente niet op orde bleek. Het is daarom van belang dat elke gemeente maatregelen treft om de informatieveiligheid te borgen in de organisatie. Volgens Spanninga is informatieveiligheid tot op heden teveel het terrein van de ICT’er geweest en te weinig van de bestuurder. De Taskforce BID moet daar verandering in brengen. “Eind 2014 moet het thema informatieveiligheid beter verankerd zijn in de bestuurlijke omgeving”, aldus Spanninga. 2 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen
3
Technisch perspectief: hackdemo
Na zijn verhaal gaf Spanninga het woord aan Wouter Otterspeer en John van Maningen, ‘ethische hackers’ bij PwC. Zij lieten de bestuurders in een hackdemo zien hoe eenvoudig het is voor een hacker om via een nep-mail met een geïnfecteerd pdf-bestand in de bijlage een computer te hacken. Vanaf het moment dat het slachtoffer de bijlage heeft geopend en de malware in de bijlage zijn werk kan doen, heeft de hacker de mogelijkheid om alle informatie op de computer in te zien, de computer over te nemen en zelfs wachtwoorden voor bijvoorbeeld internetbankieren uit te lezen. De aanwezigen werden met deze hackdemo duidelijk wakker geschud, want zij stelden allerhande vragen over hoe vaak dit gebeurt en hoe zij zich als organisatie hier überhaupt tegen kunnen wapenen. De heren van PwC beantwoorden deze vragen kundig. “100 procent veiligheid is niet mogelijk”, zo luidde hun boodschap. “Wel kun je 80% veiligheid realiseren door het treffen van de juiste veiligheidsmaatregelen. Daarmee kun je de opportunisten en gelukzoekers tegenhouden. De overige 20% bestaat uit gerichte cyber/hackers aanvallen waar 100% beveiliging veel moeilijker is te realiseren. Deze gerichte aanvallen komen echter veel minder voor. Dus: installeer een goede virus scanner, scan regelmatig je computer en houd de software up-todate.” Daarnaast is het van groot belang dat organisaties, in dit geval gemeenten, hun verantwoordelijkheid op het gebied van informatieveiligheid pakken en op informatieveiligheid sturen, zodat de organisatie in control is.
4
Bestuurlijk perspectief: inleiding Ad Koppejan
Na de hackdemo was het woord aan Ad Koppejan, ex-Tweede kamerlid en strategisch bestuursadviseur bij SWINTH op het snijvlak van overheid, politiek en bedrijfsleven. Hij sprak over de risico’s die bestuurders lopen wanneer zij niet hun verantwoordelijkheid nemen en afdoende maatregelen treffen op het gebied van informatieveiligheid. Koppejan wees er in zijn inleiding op dat onze afhankelijkheid van internet en ICT nog steeds toeneemt. Het gevolg hiervan is dat de impact van incidenten op internet ook steeds meer toeneemt. Burgers, bedrijven/organisaties en overheden zijn kwetsbaarder geworden. Volgens het laatste trendrapport ‘Cybersecuritybeeld Nederland 3’ van het Nationaal Cyber Security Centrum (NCSC) zijn overheidsorganisaties met name kwetsbaarder geworden voor digitale spionage en cybercriminaliteit. De grootste uitdagingen voor overheden liggen dan ook in enerzijds het waarborgen van de vertrouwelijkheid van informatie en anderzijds de continuïteit van de online dienstverlening. Koppejan beargumenteerde dit aan de hand van een aantal landelijke ontwikkelingen. Zo komt er als gevolg van de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten te liggen. Als deze gegevens op straat komen te liggen, dan kan dit ook het imago van de gemeente en de bestuurlijk verantwoordelijken beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers verwachten immers dat hun gemeenten de zaken op orde heeft. Verder staat het volgens Koppejan buiten kijf dat de continuïteit van de dienstverlening en het vertrouwen van burgers centraal moet staan als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.
3 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen
De burger moet de overheid kunnen vertrouwen dat die processen goed verlopen en dat de informatie die zij geven veilig is. Door deze ontwikkelingen worden gemeenten nog interessanter voor hackers. Informatie over persoonsgegevens is volgens Koppejan “het nieuwe hackersgoud”, ook wel de olie van de 21ste eeuw genoemd. Het biedt bedrijven de mogelijkheid tot commerciële toepassingen, zoals gerichte (online) advertenties en aanbiedingen op maat. Veel business- en verdienmodellen van snelgroeiende internetbedrijven als Google, Facebook, Twitter en LinkedIn zijn hierop gebaseerd. Ook criminelen worden met deze persoonlijke informatie in staat gesteld om vanuit callcenters in het buitenland, burgers te misleiden en te duperen. De hoeveelheid beschikbare informatie biedt criminelen buitengewoon interessante mogelijkheden om zaken te ontregelen. Volgens Koppejan zijn criminelen in een viertal categorieën in te delen: cybervandalen/scriptkiddies hacktivisten beroepscriminelen buitenlandse inlichtingendiensten Op gemeentebestuurders rust de zware verantwoordelijkheid om zowel de continuïteit van de online dienstverlening te garanderen als ook zorgvuldig te waken over de aan haar toevertrouwde persoonlijke informatie van haar burgers. Daar zijn bestuurders krachtens de Grondwet, artikel 10, lid 1 en 2 en de Wet Bescherming Persoonsgegevens, toe verplicht. Dat het vertrouwen van burgers in hun digitale overheid nog niet erg groot is, blijkt uit het onderzoek ‘De burger gaat digitaal’ van de Nationale Ombudsman uit december 2013. Zo blijkt uit dit onderzoek dat een groot deel van de respondenten bezorgd (44%) tot redelijk bezorgd (33%) is over mogelijk misbruik van zijn DigiD. Ook geeft 45% van de respondenten aan geen vertrouwen te hebben in de veiligheid van de digitale systemen van de overheid en heeft 36% van de respondenten geen vertrouwen in de manier waarop de overheid met zijn gegevens omgaat. Daar ligt dus nog een geweldige uitdaging voor gemeentebestuurders. Het vraagt in ieder geval van gemeentebestuurders om structurele aandacht voor digitale veiligheid en informatieveiligheid. Dat hebben de gemeenten ook gezamenlijk afgesproken tijdens de Buitengewone Algemene Ledenvergadering (BALV) van de VNG van 29 november 2013 jl. middels de Resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeenten'. Gemeenten kunnen bij het op orde brengen van hun informatieveiligheidsbeleid, ondersteuning krijgen van de rijksoverheid, middels de Taskforce BID en de VNG. Er is door de VNG en het Kwaliteitsinstituut voor Gemeenten (KING) de Informatiebeveiligingsdienst voor gemeenten (IBD) opgericht. Zo heeft de IBD een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld, waarmee gemeenten kunnen toetsen of zij 'in control' zijn op het gebied van informatiebeveiliging. Ook kunnen gemeenten zich bij de IBD aansluiten om snel geïnformeerd te kunnen worden over de nieuwste ontwikkelingen en bedreigingen.
4 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen
Als burgemeesters en wethouders, desondanks hun verantwoordelijkheden niet oppakken op het gebied van digitale- en informatieveiligheid, dan lopen ze daarmee volgens Koppejan grote bestuurlijke risico’s. Op het moment dat een incident plaatsvindt en vertrouwelijke gegevens van burgers in verkeerde handen terecht zijn gekomen of omdat het digitale loket platligt, dan kan de gemeente zich nergens meer achter verschuilen. Koppejan: “Met het op orde brengen van de informatieveiligheid staat niets minder op het spel dan vertrouwen van burgers en de reputatie van de overheid.” Afsluitend liet Koppejan zien welke stappen een gemeente kan zetten om haar informatieveiligheidsbeleid op orde te brengen: Laat een GAP-analyse / 0-meting uitvoeren. Tref noodzakelijke technische maatregelen. Sluit je als gemeente aan bij de IBD. Neem informatieveiligheid op in het collegeprogramma 2014-2018. Maak de burgemeester of wethouder verantwoordelijk voor informatieveiligheid. Stel een informatieveiligheidsbeleid op aan de hand van de BIG. Neem het informatieveiligheidsbeleid op in het jaarverslag en in de planning- en controlcyclus.
5
Gemeentelijk perspectief: inleiding Jan Westmaas
Na de pauze was het woord aan Jan Westmaas, burgemeester van Meppel en vicevoorzitter van de VNG. In zijn inleiding ging Westmaas in op het gemeentelijke perspectief. Westmaas sprak over de ervaringen binnen de gemeente Meppel met incidenten op het informatieveiligheidsvlak. Sinds begin 2000 heeft iedereen die werkzaam is bij de gemeente Meppel de beschikking over een computer. Tot op heden is er binnen de gemeente nog geen structurele aandacht voor het informatieveiligheidsvraagstuk. Alleen bij de afdeling ICT houden zij zich ermee bezig. Dit moet natuurlijk anders. Zo was een hacker er onlangs in geslaagd om toegang te krijgen tot alle dossiers over de vergunningen die wij vanuit de gemeente verstrekt hebben. Deze informatie had de hacker vervolgens doorgestuurd naar het Dagblad van het Noorden. Dat informatieveiligheid in toenemende mate een kritische bedrijfsfactor is geworden in de gemeentelijke dienstverlening benadrukte Westmaas nog eens extra met een aantal cijfers. Zo ontvangt de gemeente Meppel per jaar ongeveer 500.000 mailberichten van burgers, zijn er in het afgelopen jaar 262 virussen gescand en 10.000 hackpogingen geweest. Westmaas trok daarmee de conclusie dat een incident op informatieveiligheidsvlak elke gemeente kan treffen wanneer je als gemeente niet alert genoeg bent. Het is dus belangrijk om structureel aandacht te hebben voor informatieveiligheid. “De inwoners van je gemeente moeten erop kunnen vertrouwen dat wij er als gemeente alles aan doen om vertrouwelijke gegevens zo goed mogelijk te beschermen”, besluit Westmaas.
6
Resolutie Informatieveiligheid
Als laatste programmaonderdeel ging Spanninga kort in op de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Deze resolutie is met bijna 95% van de stemmen aangenomen tijdens de Bijzondere Algemene Ledenvergadering (BALV) van de VNG van november vorig jaar. 5 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen
In deze resolutie geven gemeenten aan dat zij verder werken aan informatieveiligheid. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), begin vorig jaar ontwikkeld door de Informatiebeveiligingsdienst voor gemeenten (IBD), vormt hierbij hét gemeentelijke normenkader. Gemeenten zijn als professionele overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Dit zullen en mogen burgers, bedrijven en ketenpartners van gemeenten verwachten. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat alle gemeenten en alle (keten)partners hun informatieveiligheid op orde hebben. In de resolutie verklaren gemeenten verder informatieveiligheid zowel bestuurlijk als ambtelijk te borgen en maken zij de invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners. In de resolutie staat ook beschreven wat gemeenten terugvragen van het Rijk. Zo geven gemeenten aan dat het aantal audits op gebied van informatieveiligheid moet worden teruggebracht en dat het rijk, ketenpartners en KING gaan verkennen hoe leveranciers beter kunnen worden betrokken bij het borgen van informatieveiligheid. Tot slot moeten gemeenten de tijd krijgen om een realistisch groeipad te doorlopen om informatieveiligheid verder te verbeteren. Op de vraag van Spanninga of deelnemers bekend zijn met de inhoud van de Resolutie antwoordden de deelnemers bevestigend. Ze zijn het er unaniem over eens dat continu bewustzijn in de organisaties voor de risico’s van informatieveiligheid noodzaak is en dat hier actie op genomen moet worden. Met deze conclusie rondde Spanninga het programma af en dankte hij iedereen voor zijn of haar komst en bijdrage. Spanninga kijkt terug op een geslaagde interactieve bijeenkomst met ruim aandacht voor de dilemma’s van digitalisering en informatieveiligheid. Een aantal reacties van deelnemers: “Misschien moeten we veel meer de jonge generatie erbij betrekken. Zij zijn handig met dergelijke systemen en kunnen ons mogelijk verder helpen.” “We moeten wel de balans tussen veiligheid en gebruiksgemak bewaken. Het kan niet zo zijn dat alles volledig wordt dichtgetimmerd.” “Ik ga toch wel wat ongerust naar huis. Ik wist niet dat het zo makkelijk was om gehackt te worden.”
6 5 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid Beilen