Veel gemeenten zien het belang van informatieveiligheid voor hun essentiële dienstverlening nog onvoldoende in. Een nieuwe standaard moet daarin vanaf dit jaar verandering brengen.
‘Alles wat direct en zichtbaar bijdraagt aan de dienstverlening aan inwoners en ondernemers kan rekenen op veel belangstelling vanuit politiek, bestuur en management. Maar informatiebeveiliging heeft niet het imago direct bij te dragen aan dienstverlening,’ staat in het vorige maand verschenen Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten. ‘Het wordt gezien als bijzaak, en soms zelfs als drempel of last.
Kwetsbaar voor incidenten
Informatiebeveiliging en privacy komen ‘vaak pas in een laat stadium’ aan de orde. Dit maakt gemeenten kwetsbaar voor cybersecurity-incidenten. De gevolgen daarvan voor de bedrijfsvoering kunnen groot zijn, waarschuwt het rapport. De dienstverlening kan stilvallen, maar ook de bescherming van persoonsgegevens loopt gevaar. Net als processen die kwetsbaar zijn voor beïnvloeding van buitenaf. ‘Bijvoorbeeld verkiezingen, maar ook vergunningsprocessen en processen in het domein van werk en inkomen.’
Aanvallers zijn in de praktijk succesvol, terwijl die eenvoudig tegen te houden waren. ‘Aanvallers hebben vaak niet meer nodig dan een niet bijgewerkt stukje software of een klik op een phishingmail om toegang te krijgen tot systemen. Gemeenten kunnen veel voorkomende incidenten voorkomen met behulp van enkele essentiële basismaatregelen.’ Een probleem daarbij is wel de beschikbaarheid van IT-personel. Gemeenten kunnen moeilijk opbieden tegen de salarissen die bedrijven hiervoor betalen.
Nieuwe richtlijn
Om de beveiliging toch naar een hoger niveau te brengen, is een nieuwe standaard in het leven geroepen, de Baseline Informatiebeveiliging Overheid (BIO). Ook het Rijk, waterschappen en provincies gaan hierop over. Gemeenten maken een begin in 2019, volgend jaar gelden de normen als officiële richtlijn. De Vereniging van Nederlandse Gemeenten verstuurde hierover deze week een ledenbrief.
Naast een aantal verplichtingen moeten gemeenten ‘voor hen relevante maatregelen’ nemen op basis van de richtlijn. Niet in de laatste plaats moet informatieveiligheid een prominente bestuurskwestie worden. ‘De BIO positioneert de bestuurder en het management sterker dan voorheen in de rol waarin hij of zij risico-gebaseerd stuurt op het gebied van informatieveiligheid. Zij zullen hierover op het advies van de betrokken chief information security officers afspraken moeten maken.’
Door Richard Sandee op 9 januari 2019 E-overheid,ICT,Privacy,Security