Verslag Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbosch, woensdag 12 februari 2014
1 12 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbsoch
1
Inleiding
In samenwerking met de Vereniging van Nederlandse Gemeenten (VNG), de Vereniging van Brabantse Gemeenten, het Nederlands Genootschap van Burgemeesters (NGB) en de Wethoudersvereniging heeft de Taskforce BID op woensdag 12 februari jl. een Learn & Share bijeenkomst Informatieveiligheid georganiseerd. Deze keer speciaal voor burgemeesters en wethouders van de Brabantse gemeenten. De bijeenkomst vond plaats in het stadshuis van de gemeente ‘s-Hertogenbosch. “Het belangrijkste is dat je als organisatie er alles aan doet om een incident te voorkomen. En als er toch een incident plaatsvindt, is het belangrijk dat je hier op de juiste manier in participeert”, sprak een van de deelnemende bestuurders.
2
Opening
Irma Woestenberg, gemeentesecretaris van ’s-Hertogenbosch, opende de middag met een korte inleiding over het belang van informatieveiligheid. “ICT in combinatie met informatieveiligheid is tegenwoordig echt een item en onderdeel van de dagelijkse bedrijfsvoering”, opende Woestenberg. Na het welkomstwoord van Woestenberg verzorgde Harro Spanninga, accountmanager gemeenten bij de Taskforce BID, de aftrap van de middag. In zijn inleiding lichtte Spanninga het programma nog even kort toe. Een programma waarbij informatieveiligheid, vanuit drie perspectieven werd belicht: • • •
Technisch perspectief Bestuurlijk perspectief Gemeentelijk perspectief
Spanninga startte zijn verhaal met een filmpje waarin te zien was hoe een Belgische Bank op ludieke wijze aantoonde hoeveel gevoelige informatie mensen over zichzelf op internet plaatsen en hoe makkelijk kwaadwillende daar bij kunnen. Iedereen die niet bij de bijeenkomst aanwezig kon zijn of de film graag nog een keer wil bekijken verwijzen wij graag naar de film op Youtube. Met een toelichtend verhaal op de activiteiten van de Taskforce BID onderstreepte Spanninga het belang van het sturen op informatieveiligheid. Dagelijks zijn er nieuwsfeiten over incidenten op het informatieveiligheidsvlak. “We zijn zoveel gaan digitaliseren, dat we daardoor naïef zijn geworden over wat je er allemaal mee kunt doen. Dat verklaart waarom er inmiddels dagelijks minstens twee vrij ernstige incidenten de media halen”, vertelde Spanninga. Zo was onlangs nog een gemeente in het nieuws, omdat criminelen een poging deden tot fraude met DigiD. Ook liet Spanninga in zijn presentatie verschillende andere voorbeelden van incidenten zien. Zo kwam eind 2013 een Belgische haven in het nieuws, omdat het drugscriminelen gelukt was het containersysteem te hacken. Een ander voorbeeld dat Spanninga noemde ging over hackers die de bediening van sluizen hadden overgenomen, omdat het wachtwoordbeleid van een gemeente niet op orde bleek. Het is daarom van belang dat elke gemeente maatregelen treft om de informatieveiligheid te
2 12 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbsoch
borgen in de organisatie. “Eind 2014 moet het thema informatieveiligheid beter verankerd zijn in de bestuurlijke omgeving. Kortom, we staan voor een uitdaging”, aldus Spanninga.
3
Technisch perspectief: hackdemo
Na zijn verhaal gaf Spanninga het woord aan Wouter Otterspeer, ‘ethische hacker’ bij PwC. Zij lieten de bestuurders in een hackdemo zien hoe eenvoudig het is voor een hacker om via een nep-mail met een geïnfecteerd pdf-bestand in de bijlage een computer te hacken. Vanaf het moment dat het slachtoffer de bijlage heeft geopend en de malware in de bijlage zijn werk kan doen, heeft de hacker de mogelijkheid om alle informatie op de pc in te zien, de pc over te nemen en zelfs wachtwoorden voor bijvoorbeeld internetbankieren uit te lezen. “Hoe kom je erachter dat je gehackt bent?” vroeg één van de bestuurders zich af. Een andere bestuurder vroeg zich af wat je er zelf aan kunt doen om het te voorkomen en weer een ander gaf aan een beangstigend gevoel te krijgen omdat het van ‘alle’ kanten lijkt te kunnen komen. De aanwezigen werden met deze hackdemo duidelijk wakker geschud en stelden veel vragen. De heren van PWC beantwoordden de vragen van de bestuurders kundig. “100 procent veiligheid is niet mogelijk”, zo luidde hun boodschap. “Maar zorg in ieder geval dat je niet de zwakste bent. Want dan word je het slachtoffer van een opportunistische hacker, en dat zijn de meeste hackers. Dus: installeer een goede virus scanner, scan regelmatig je computer en houd de software up-to-date.” Daarnaast is het van groot belang dat organisaties, in dit geval gemeenten, hun verantwoordelijkheid op het gebied van informatieveiligheid pakken en op informatieveiligheid sturen, zodat de organisatie ‘in control’ is.
4
Bestuurlijk perspectief: inleiding Pieter Tops
Pieter Tops, hoogleraar Bestuurskunde aan de Universiteit van Tilburg en lid van het College van Bestuur van de Politieacademie, ging in zijn inleiding in op de argumenten waarom bestuurders dit thema zouden moeten omarmen. “Waarom zou u hier, als bestuurder, in willen investeren?” Volgens Tops is het immers een investering in iets ontastbaars; je ziet het niet, maar als je het niet op orde hebt, dan kunnen grote problemen ontstaan bij incidenten. “Als gemeente heb je een specifieke taak om te voorkomen dat je al te makkelijk slachtoffer van een incident wordt, maar dit moet je doen zonder de beweging in je eigen organisatie te belemmeren,” sprak Tops. Hij benoemde in zijn verhaal vier belangrijke argumenten waarin hij aantoont dat het loont te investeren in informatieveiligheid. In het eerste argument ging Tops in op het ‘gekke-Henkie-syndroom’. Als overheidsorganisatie moet je mee met de (technologische) ontwikkelingen, je kunt niet als enige structureel achter blijven lopen en de ontwikkelingen aan je voorbij laten gaan. Dat betekent ook dat je informatieveiligheid op orde moet zijn. Het hoort bij de basis, sterker nog, het schaakt aan je bestaansrecht als organisatie. Het tweede argument dat Tops benoemde, ging in op de groeiende hoeveelheid gevoelige informatie die bij gemeenten terecht komt als gevolg van de decentralisaties. “Hierdoor komt opeens veel privacygevoelige informatie bij gemeenten terecht, waar ook nog eens buitengewoon veel vanaf kan hangen voor mensen. Die informatie moet zo goed mogelijk worden beschermd”, meent Tops. Als deze gegevens op straat komen te liggen, dan kan dit 3 12 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbsoch
ook het imago van de gemeente en de bestuurlijk verantwoordelijken beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Ook burgers verwachten immers dat hun gemeenten de zaken op orde heeft. Bij het derde argument ging Tops in op de kracht van cybercrime. Deze kracht moeten we volgens Tops niet onderschatten, zeker niet als je bedenkt hoeveel geld er in het criminele circuit omgaat. “Informatie is voor criminelen van levensbelang. Wie is wanneer waarmee bezig bij de overheid, en bij politie en justitie? Of je nu in de hennepteelt zit, of als malafide sportschool geld witwast door de adressen van 2000 nietsvermoedende burgers in het klantenbestand op te nemen. Plus: informatie biedt buitengewoon interessante mogelijkheden om zaken te ontregelen.” In zijn laatste argument ging Tops tot slot in op de veranderende gemeente. In de digitale samenleving kunnen we steeds makkelijker tijd-, plaats- en apparaatonafhankelijk allerlei informatie ontsluiten. Ook gemeenten gaan mee in deze verandering. Tegelijkertijd heeft de burger steeds minder vertrouwen dat hun gegevens veilig zijn bij de overheid. Continuïteit van dienstverlening en het vertrouwen van burgers staan centraal als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen. De burger moet de overheid kunnen vertrouwen dat die processen goed verlopen en dat de informatie die zij geven veilig is. “Je ontkomt als gemeente niet aan digitalisering” sprak Tops. Hij besloot zijn verhaal met een advies aan alle bestuurders: “Blijf doen waar je goed in bent en gebruik je gezonde verstand. Laat je informeren door de techneuten, maar blijf uiteindelijk wel zelf de baas over de te nemen keuzes.”
5
Gemeentelijk perspectief: dialoog over de rol van het gemeentelijk bestuur
Na het bespreken van de politiek bestuurlijke aspecten van informatieveiligheid met Pieter Tops, nam Irma Woestenberg, gemeentesecretaris van ’s-Hertogenbosch, de aanwezigen mee naar een warme zomermiddag in augustus 2012 bij de gemeente ’s-Hertogenbosch. Computerprogramma’s werkten niet naar behoren en na enkele meldingen van medewerkers is besloten alle automatiseringssystemen in de gemeente stil te leggen. Achteraf gezien bleek dit een goede keuze geweest; het zogenoemde Dorifel-virus was opgedoken en in korte tijd waren honderden bestanden aangetast. Woestenberg realiseerde zich vanaf die dag hoe kwetsbaar je bent als organisatie. De hele bedrijfsvoering hangt af van goedwerkende ICT-systemen. Woestenberg vertelde dat ze blij is dat het zo snel werd opgemerkt en dat de gemeente ’s-Hertogenbosch de nodige kennis in huis had. “Het calamiteitenplan dat we hadden en hebben toegepast heeft gewerkt”, vertelde Woestenberg. “Natuurlijk constateerden we ook verbeterpunten. Zo heeft de beveiligingsadviseur van de gemeente een zwaardere positie gekregen in de organisatie.” De conclusie die Woestenberg heeft getrokken na dit incident in 2012 is dat het management een sleutelfiguur is als het gaat om informatieveiligheid en incidenten, maar dat het de taak van de bestuurder is de juiste vragen te stellen. Ook vertelde Woestenberg dat structurele aandacht voor informatieveiligheid belangrijk is. “Op het moment dat bij een andere organisatie een incident plaatsvindt op het informatieveiligheidsvlak, checken we binnen onze gemeente of de informatieveiligheid nog steeds op orde is”, vervolgt Woestenberg. Volgens haar is het een wisselwerking van ICT, techniek, deskundigheid en menselijk handelen en gedrag. Deze factoren moet je volgens Woestenberg steeds in ogenschouw nemen. Spanninga vroeg 4 12 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbsoch
Woestenberg vervolgens wat ze zo lastig vindt aan de thematiek vanuit haar rol als gemeentesecretaris. Daarop antwoordde Woestenberg dat ze het lastig vindt dat je nooit weet of het goed genoeg is. Volgens haar heb je geen controle op een ICT-vraagstuk. Op de vraag van Spanninga of de aanwezige bestuurders dit ook zo ervaren, werd instemmend geknikt. Hierop haakte Woestenberg in met het advies om te zorgen dat je genoeg oefent; hiermee creëer je een gevoel van controle. Een van de aanwezige bestuurders concludeerde: “Je moet gewoon zorgen dat je het goed geregeld hebt.” Spanninga vulde dit aan met de mededeling dat het geen ambitie is om de informatieveiligheid op orde te hebben, maar core business. Hij verwees hiermee ook naar de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeenten'. In de resolutie staat een handelingsperspectief met stappen die je als gemeente kunt nemen om de informatieveiligheid te vergroten. Tot slot verifieerde Spanninga onder de aanwezige deelnemers of er behoefte is aan het ontwikkelen van een systematiek van peer reviews, waarin bestuurders van gemeenten ervaringen op informatieveiligheidsvlak kunnen uitwisselen. Iedereen was hier unaniem voorstander hiervan. Volgens de aanwezige bestuurders heb je elkaar op allerlei vlakken nodig en dus is het belangrijk dat niet alleen je eigen informatieveiligheid op orde is, maar ook dat van een samenwerkingsorganisatie. Dit is een mooie conclusie van deze middag. Vervolgens rondden Spanninga en Woestenberg het programma af en dankten zij iedereen voor zijn of haar komst en bijdrage. Iedereen kon terugkijken op een geslaagde bijeenkomst met ruim aandacht voor de dilemma’s op het vlak van digitalisering en informatieveiligheid.
5 12 februari 2014 | Learn & Share bijeenkomst Informatieveiligheid ‘s-Hertogenbsoch
