Informatiebeveiliging en privacy

Gemeente hulst is sinds de invoering van de Baseline Informatiebeveiliging voor Gemeenten (BIG) bezig om informatiebeveiliging structureel te borgen in de organisatie. De bestuurlijke richting, kaders en uitgangspunten waarin informatiebeveiliging zich behoort te ontwikkelen, zijn vastgelegd in het strategisch informatiebeveiligingsbeleid 2019-2022 en er is een CISO benoemd die binnen de gestelde beleidskaders belast is met het vormgeven van de beveiligingsorganisatie en het verder professionaliseren van informatieveiligheid. Informatiebeveiliging is geen doel op zich maar een essentiële factor om de bedrijfsdoelstellingen te kunnen realiseren. Het ondersteunt de primaire processen en de veilige en verantwoorde uitvoering daarvan om het gestelde vertrouwen van de burger in de overheid niet te schaden. In 2021 hebben onderstaande thema’s invloed gehad op de informatiebeveiliging van gemeente Hulst. Dit zijn  de Baseline Informatiebeveiliging Overheid (BIO), COVID-19 en de focus op bedrijfscontinuïteit.

COVID-19 heeft ervoor gezorgd dat een groot deel van de organisatie in 2021 noodgedwongen vanuit huis diende te werken. De beweging naar op afstand werken heeft een kritieke invloed op de IT-beveiliging. Het is belangrijk dat ook thuis op een veilige manier gewerkt kan worden en dat bijvoorbeeld een veilige verbinding naar het bedrijfsnetwerk wordt afgedwongen. Het organiseren van de benodigde technische zaken is nog redelijk eenvoudig: er wordt een technisch veilige en voldoende beveiligde oplossing geboden om vanuit huis te werken (multifactor authenticatie in combinatie met een beveiligde verbinding). Daarnaast is ook het menselijke aspect zeer belangrijk om de informatieveiligheid in de organisatie te waarborgen. Sinds het coronavirus zijn intrede heeft gedaan is een toename te zien van kwaadaardige e-mails en van kwetsbaarheden in software. Cybercriminelen spelen in op de veranderende werksituatie. Daarom is geprobeerd om bewustwording te creëren bij collega's door ze duidelijk te informeren over de risico's van thuiswerken en is opgeroepen om extra alert te zijn op phishing en valse e-mails.

2021 laat zien dat een goede informatiebeveiliging en gegevensbescherming voor gemeenten van groot belang blijft. Waar gemeenten ten tijde van de inwerkingtreding van de AVG veel aandacht hadden voor de vertrouwelijkheid van informatie, is dit in 2021 verschoven naar de component beschikbaarheid. De informatiebeveiligingsdienst (IBD) ziet een toename van het aantal en de ernst van ransomware aanvallen. Gemeenten en gemeentelijke samenwerkingsverbanden die getroffen worden, kunnen niet meer bij hun data omdat deze versleuteld is door criminelen. Om dit tegen te gaan heeft gemeente Hulst acties ondernomen om de digitale weerbaarheid te verhogen. Zo is twee-factor-authenticatie ingesteld, is een uitwijktest gedaan en wordt er gewerkt aan de aanschaf van een monitoring en respons tool.

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de Baseline Informatiebeveiliging voor Gemeenten (BIG). In 2021 heeft de focus vooral gelegen op de verdere implementatie van de BIO. Het grote verschil tussen de normenkaders is dat de BIO meer nadruk legt op risicomanagement. Concreet betekent de BIO een verplicht kader van maatregelen, een vermindering aan maatregelen van bijna 60% en proces gestuurd risicomanagement waarbij een baselinetoets de basis vormt. Per proces dient bekeken te worden welke maatregelen noodzakelijk zijn om een acceptabel informatiebeveiligingsniveau te hanteren. Het is de verantwoordelijkheid van de proceseigenaar om ervoor te zorgen dat risico’s binnen het proces passend worden beheerst. Dit is een grote verandering ten opzichte van de BIG, waarbij gemeentebreed maatregelen geïmplementeerd dienden te worden. Het vergroten van het risicobesef en prioritering van risico’s, kost dan ook de nodige tijd.

ENSIA (Eenduidige Normatiek Single Information Audit) ondersteunt de gemeente bij het in één keer slim verantwoording afleggen over informatieveiligheid gebaseerd op de BIO met inbegrip van de specifieke normenkaders voor de BRP, PNIK, BAG, BGT, BRO, DigiD, Suwinet en WOZ. Uitgangspunt hierbij is de horizontale verantwoording aan de gemeenteraad. Deze vormt de basis voor het verticale verantwoordingsproces aan nationale partijen die een rol hebben in het toezicht op informatieveiligheid.
Vanzelfsprekend is dat het verantwoordingsstelsel ENSIA gewijzigd is met de intreding van de BIO. De zelfevaluatie toetst in mindere mate de aanwezigheid van maatregelen maar legt de focus op de uit te voeren risicoanalyses met specifieke maatregelen als uitkomst. De verplichte zelfevaluaties zijn uitgevoerd op het gebied van de:

• Basisregistratie Personen (BRP);
• Paspoorten en Nederlandse Identiteitskaarten (PNIK);
• Basisregistratie Adressen & Gebouwen (BAG);
• Basisregistratie Grootschalige Topografie (BGT);
• Basisregistratie Ondergrond (BRO);
• Wet onroerende zaken (WOZ);
• Baseline Informatiebeveiliging Overheid (BIO);
• DigiD (t.b.v. digitale dienstverlening);
• Structuur uitvoeringsorganisatie Werk & Inkomen (Suwinet);

Er zijn van deze zelfevaluaties/audits rapporten beschikbaar waarin de bevindingen en conclusies zijn vastgelegd. Algeheel resultaat van ENSIA is dat we op alle deelterreinen in belangrijke mate voldoen aan de gestelde normen en dat bepaalde aspecten nog nadere aandacht vragen.

De afgelopen periode is verder ingezet om de informatiebeveiliging een structurele plek binnen de organisatie te geven. Dat gaat overigens niet vanzelf en vereist ook voor de komende jaren een aanpak met een hoog bewustzijnsgehalte in de vorm van bijvoorbeeld nulmetingen om het kennisniveau op dit gebied te meten en een passende e-learning op alle niveaus aan te bieden. Het besef moet groeien dat managers, college- en raadsleden zelf verantwoordelijk zijn voor informatiebeveiliging en daar ook naar moeten handelen. In 2021 heeft gemeente Hulst ervoor gekozen om een extra laag toe te voegen binnen de ambtelijke organisatie. Voor de meeste teams is een teamleider aangesteld. In 2022 zal veel aandacht worden besteed aan de verantwoordelijkheid van de teamleider als het gaat om informatiebeveiliging en privacy. De 2e lijn zoals de CISO, het Privacy- en InformatiebeveiligingsTeam (PIT) en andere faciliterende disciplines biedt ondersteuning in de vorm van tijdige (sturings-)informatie, advies, controle en begeleiding. In deze beoogde samenwerking zal de komende jaren steeds intensief geïnvesteerd moeten worden om informatiebeveiliging tot een succes te maken.

De GAP-analyse biedt ons de mogelijkheid om te controleren of en in welke mate de beveiligingsmaatregelen uit de BIO geïmplementeerd zijn. Het is derhalve de methode om een vergelijking te maken tussen een bestaande of huidige situatie en de gewenste situatie. Ieder jaar zal een nieuwe meting gedaan worden om de voortgang te monitoren. Onderstaand figuur geeft de analyse weer over de controls en beveiligingsmaatregelen die gemeente breed van toepassing zijn. Aan de hand van deze GAP-analyse wordt de impact bepaald en vastgelegd wie wanneer en hoe een ontbrekende of niet volledige beveiligingsmaatregel geïmplementeerd wordt. Dit wordt vervolgens opgenomen in een informatiebeveiligingsplan (jaarplan). Omdat de BIO uitgaat van een pas-toe-of-leg-uit-principe kan aan de hand van een onderbouwing en aantoonbare risicoanalyse gekozen worden om een beveiligingsmaatregel niet te implementeren. Het afgelopen jaar is hard gewerkt aan de thema’s encryptie en communicatiebeveiliging. Gemeente Hulst is sterk vooruit gegaan op deze thema’s in vergelijking met 2020. Figuur 1 laat  zien welke thema’s aankomend jaar aandacht verdienen. Het gaat om beheer van bedrijfsmiddelen, fysieke beveiliging en beveiliging van de bedrijfsvoering. In 2021 zijn projecten gestart zoals het inrichten van zonering in de gemeentelijke gebouwen en de aanschaf van een monitoring & respons tool. Deze projecten zorgen voor de verdere implementatie van het BIO normenkader.

Figuur 1