INFORMATIEVEILIGHEID een uitdaging van ons allemaal VIAG themadag informatieveiligheid, Harro Spanninga

Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid Rol van de bestuur en management

Filmpjes over informatieveiligheid Ga naar https://informatieveiligheid.pleio.nl

Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister Plasterk N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar Gestart per 13 februari 2013 Actief voor een periode van twee jaar Focus op bestuur & topmanagement Bouwt voort op bestaande initiatieven en is gericht op samenwerking Recente incidenten op het gebied van informatieveiligheid in Nederland (DigiNotar, Lektober) waren aanleiding voor een onderzoek door de Onderzoeksraad voor de Veiligheid naar het belang van digitale veiligheid bij de overheid. Op 13 februari 2013 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties met de oprichting van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) gehoor gegeven aan de aanbeveling uit het in 2012 verschenen rapport van de Onderzoeksraad om ‘...een programma te ontwikkelen dat bestuurders van overheidsorganisaties doordringt van het belang van digitale veiligheid en hen te voorzien van voldoende inzicht en vaardigheden om hen in staat te stellen actief sturing te geven aan de beheersing van digitale veiligheid in hun organisatie’. Verplichtende zelfregulering houdt in dat bestuur of overheid vraagt om een bepaalde mate van zelf verantwoordelijk zijn voor invoering van regelgeving en regulering [omtrent informatieveiligheid]. Dit betekent in de praktijk dat vanuit gestelde kaders op landelijk- en koepelniveau in iedere organisatie een jaarlijkse cyclus is geborgd, waarin ambtelijke- en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt.

Dit doen we niet alleen…

Invulling langs vier lijnen Verplichtende Zelfregulering per overheidslaag Gerichtheid: Leeraanbod bestuurders en topmanagers Gericht op een leer- en ontwikkelproces Afgestemd op de volwassenheid van de overheidslaag Verankering: Handreikingen: baselines voor informatiebeveiliging Sturingsmiddelen Stelsel Visitatie, peer reviews, ketens, Single Audit

Amerikaanse KvK digitaal gegijzeld

Hackers bedienen containers in Antwerpen

Gemalen in Veere slecht beveiligd

Identiteitsfraude met DigiD

De gemeente op de korrel…

Bij ons gebeurt dit niet Bij ons gebeurt dit niet? Even googlen en je vindt tientallen voorbeelden van onzorgvuldig gegevensgebruik. Rekeningnummers, adressen en handtekeningen van zeker 5000 inwoners van het Waterschap Aa en Maas zijn op straat te komen liggen. Er werd een usb-stick op straat gevonden en anoniem bij Omroep Brabant afgeleverd Gegevens van 140.000 WMO’’ers die op een onbeveiligde cloud omgeving (scribd.com) stonden. Gemeente deventer waar een slecht beveiligde applicatie was aangeschaft, waardoor de pesoneelsdossiers van alle ambtenaren toegankelijk waren. Maar ook in het bedrijfsleven, zoals Aegon die bijvoorbeeld recent de gegevens van duizenden bellegers per ongeluk niet naar tussenpersonen maar de clienten zelf stuurde.

Het technisch perspectief

Zwarte markt in hacks en gestolen data Prijs “zero day exploits” 2012   Adobe Reader $5,000–$30,000 Android $30,000–$60,000 Chrome or Internet Explorer $80,000–$200,000 Firefox or Safari $60,000–$150,000 Flash or Java Browser Plug-ins $40,000–$100,000 iOS $100,000–$250,000 Mac OSX $20,000–$50,000 Microsoft Word $50,000–$100,000 Windows $60,000–$120,000 Bron: Rand Corporation, Markets for Cybercrime Tools and Stolen Data, 2014

Wat zien we in de prakijk Enkele trends over 2012-2013: Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens. Apple-apparaten op de korrel gezien toename van het marktaandeel. De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren. Actieve handel in kennis over kwetsbaarheden en hoe deze te misbruiken. Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden. Meer kans op keteneffecten door hyperconnectiviteit van apparaten. Zwakke wachtwoorden blijven een probleem. Kwetsbaarheden van SCADA-systemen komen meer aan het licht. bron: NCSC CSBN-3 2013

Ontwikkelingen in gedrag van criminelen

Informatieveiligheid gaat over…

Maar ook over… Clear desk policy/onbeheerde werkplek Wachtwoordbeleid Informatie op straat Verouderde software

Het perspectief van de overheid

Belang voor gemeenten van veilige informatie De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017). De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens. De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen. De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.

Overheidsverantwoordelijkheid informatieveiligheid Het vertrouwen van burgers in hun digitale overheid is niet erg groot, blijkt uit het onderzoek van de Nationale Ombudsman van december vorig jaar. Van alle respondenten , zo’n 48.000 respondenten, heeft 36% geen vertrouwen in de manier waarop de overheid met zijn gegevens omgaat. 46% heeft hier redelijk vertrouwen in. Slechts 11% heeft aangegeven vertrouwen te hebben in de manier waarop de overheid met zijn gegevens omgaat. 7% heeft geen mening over deze vraag. Ook het vertrouwen in de veiligheid van de digitale systemen is laag. 45% geeft aan geen vertrouwen te hebben in de veiligheid van de digitale systemen van de overheid. 7% van de respondenten geeft aan hier vertrouwen in te hebben, 43% heeft er redelijk vertrouwen in en 5% heeft hier geen mening over.

Overheidsverantwoordelijkheid informatieveiligheid Burger heeft het recht om onbespied te blijven. Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is. De (gemeentelijke) overheid is verantwoordelijk voor: Veiligheid van privacy gevoelige informatie over burgers; Continuïteit van de (digitale) dienstverlening via internet. Maar naast de wettelijke verplichting die overheden hebben om zorgvuldig om te gaan met persoonsgegevens van burgers is er natuurlijk ook het vertrouwen dat niet geschonden mag worden. De imagoschade die je als overheid oploopt als de gegevens van burgers op straat liggen of wanneer de digitale dienstverlening gesaboteerd wordt.

Rol van bestuur en management….

Resolutie Informatieveiligheid: Onderdeel van collegeambities, in portefeuille collegelid. Verankering op agenda, paragraaf in jaarverslag. Gemeenten implementeren, lokaal informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader. Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie. Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie. Wat doen we gemeentebreed: Ontwikkelen van normenkader. Veel gegevenswisselingsystemen hebben elk hun eigen normenkader die grotendeels overlapt. Voor elk systeem apart moeten gemeenten zich eraan conformeren. Dat brengt veel auditkosten met zich mee. We zetten in op 1 kader. De controle op naleving ervan zou moeten meelopen in de jaarlijkse p&c cyclus. Zo komt het ook bij de raad terecht waardoor er lokale, horizontale controle op kan plaatsvinden. Nu al downloaden van website KING. Bij KING is ook helpdesk en community ingericht voor gemeentemedewerkers met vragen. Ook organiseert KING DIGID-assessments. BID is net al aan de orde geweest We werken aan een verklaring voor de ALV die samen met het normenkader wordt aangeboden. In de verklarin staat dat we conform een normenkader willen werken, dit willen opnemen in de p&c cyclus en hierover transparant willen zijn. We vragen daarvoor wel iets terug van het rijk: erken dat kader, help ons om auditlasten te beperken en gun ons tijd. Een onderzoek zoals dat van de Inspectie op een specifiek normenkader zoals dat van Suwi zal in de toekomst dus minder voor de hand liggen. Na instemming op de ALV zal er een implementatietraject worden uitgerold.

In control op informatieveiligheid? Monitoren en leren Cultuur van veiligheid Informatie-veiligheid Voldoen aan norm, baseline Crisisrespons

Beleid informatiebeveiliging Informatiebeveiligingsorganisatie Identificeren bedrijfsprocessen Evalueren & Rapporteren Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico’s Monitoren Managen van incidenten

Tips om bestuur en management te betrekken… Vertaal informatieveiligheid naar bestuurlijke risico’s en thema’s Politiek-bestuurlijk , Operationele risico, Financiele risico’s en reputatie risico’s Vergroot de urgentie Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail Maak het tastbaar en klein en breng het dichtbij Bijvoorbeeld door een hack demo te tonen van een iPad of een telefoon Mobiliseer in je eigen organisatie met lijnmanagers die het probleem ook onderkennen Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.

Vragen? Harro.spanninga@taskforcebid.nl

…is zo sterk als de zwakste schakel… De (overheids)ketting… …is zo sterk als de zwakste schakel… …en dat zien we helaas nog al te vaak terugkomen…