Informatiebeveiliging: het belang mag duidelijk zijn. Toch?


De incidenten op informatieveiligheidsvlak nemen met de dag toe, ook bij gemeenten. De media berichten er bijna wekelijks over. Deze week vond er een groot incident plaats bij de gemeenten Blaricum, Eemnes en Laren, ook wel de BEL-gemeenten genoemd. Het incident heeft er zelfs toe geleid dat alle systemen voor meerdere dagen zijn platgelegd. Bedenk wat dit betekent voor je bedrijfsvoering en reputatie als gemeente. We zijn al enkele jaren actief 

bezig op informatieveiligheidsvlak. Je zou denken dat het belang ervan inmiddels duidelijk moet zijn en het onderwerp bij elke gemeente hoog op de agenda staat. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn bij het management en bestuur, en krijgt het daardoor niet de aandacht die het verdient.

Burning platform

Maar moeten we dan wachten tot het fout gaat? Kunnen we alleen met een gevoel van angst of ongerustheid een verandering echt in gang zetten, en veranderen we alleen als een crisis ons daartoe dwingt? Angst kan inderdaad als een krachtige motivator werken als het gaat om het verhogen van de alertheid. Een goed voorbeeld hiervan is de Diginotar Hack in 2011. Er was al langer bekend dat hier veiligheidsissues speelden. Toch moest het tot een crisis komen om veel overheidsorganisaties wakker te schudden en stappen te laten zetten op informatieveiligheidsvlak. Dus ja, als je snel actie nodig hebt kunnen negatieve emoties helpen om iets te veranderen.

Echter gaat het bij informatieveiligheid om een uitdaging die continu aandacht vergt, en hiervoor is een open houding en commitment vanuit het management en het bestuur noodzakelijk. Deze verandertrajecten vragen niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. En dat blijkt voor informatiebeveiliging lastig: preventief geld uitgeven om iets te voorkomen wat misschien wel nooit gaat gebeuren… Maar doen we dat niet voor heel veel zaken? Denk aan alle verzekeringen die we afsluiten tegen diefstal, brandschade, ongelukken et cetera. Ook daar geven we preventief geld uit voor iets wat misschien wel nooit gaat gebeuren. Waarom dan niet voor informatieveiligheid?

Grote gevolgen

Maar besef wel dat wanneer zich een incident voordoet, dit kan leiden tot (grote) materiële en immateriële schade voor de gemeente. Zo heeft het datalek bij gemeente Amersfoort vorig jaar geleid tot grote gevolgen voor het imago van de gemeente, tevens heeft het veel (politieke) druk op de gemeente gelegd. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is.

Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeente. Je ziet dit nu heel duidelijk bij de BEL-gemeenten, die slachtoffer zijn van een virusaanval. Als reactie hierop heeft de gemeente alle computers offline gehaald. De verwachting is dat het nog tot het einde van de week kan duren voordat de systemen weer online komen. Tot die tijd kunnen medewerkers niet of nauwelijks werken en kunnen burgers geen online zaken regelen bij de gemeenten. Achteraf vindt iedereen een investering vooraf in informatiebeveiliging te rechtvaardigen. De (financiële) gevolgen van het beveiligingsincident zijn namelijk veel groter. En dit kan elke gemeente overkomen.

Uiteraard is het geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op informatieveiligheidsvlak. 100 % veilig bestaat immers niet, want ook ‘cybercrime’ is inmiddels de hobbyfase voorbij. Maar elke gemeente dient wel te zorgen voor een zo sterk mogelijke en veilige omgeving. Voor de gemeente zelf, maar ook voor haar burgers en bedrijven.

‘Praatjes vullen geen gaatjes’

Voor velen is het waarschijnlijk een herkenbaar probleem: het belang van informatiebeveiliging wordt gezien, zolang het maar bij praten blijft. Maar zodra er organisatorische capaciteit en (financiële) middelen nodig zijn, is het lastig om commitment van het management en het bestuur te krijgen. Wil je bij het management en bestuur bereiken dat er een positieve houding ontstaat ten aanzien van informatiebeveiliging en dat daarbij ook de eigen rol en verantwoordelijkheid wordt genomen? Zorg dan dat informatiebeveiliging structureel wordt opgenomen in beleidskaders en jaarplannen. Het management en bestuur dient als voorbeeld voor de gemeentelijke collega’s fungeren, en dient de benodigde middelen beschikbaar te stellen.

Onderstaand een aantal zaken die kunnen helpen prikkelen als het gaat om het bewerkstelligen hiervan. Incidenten op informatieveiligheidsvlak kunnen namelijk leiden tot:

  • imagoschade, je hebt jaren nodig om een reputatie op te bouwen, maar slechts enkele seconden nodig voordat deze aan gruzelementen ligt
  • een onderbreking van de bedrijfsvoering, met alle gevolgen van dien
  • (mogelijke) financiële schade, denk aan aansprakelijkheid door gedupeerden en mogelijke boetes, bijvoorbeeld van de Autoriteit Persoonsgegevens (AP)

Bovendien heb je als gemeente, in het kader van de Wet bescherming persoonsgegevens (Wbp), de verplichting transparant te zijn over informatiebeveiliging en privacy en dien je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen (blijven) garanderen.

Ja, informatiebeveiliging en privacy kosten geld

Met de komst van ENSIA moet het college straks verantwoording afleggen aan de raad, waardoor dit belang alleen maar groter wordt. En als gemeente heb je de morele verplichting zorgvuldig en integer om te gaan met de persoonsgegevens van burgers. Dit betekent dat je deze moet beveiligen tegen misbruik of ongeautoriseerde toegang. En ja, dat kost geld.
Dus wacht niet tot het te laat is en het vuur al tot aan de schenen staat, maar zet informatieveiligheid hoog als prioriteit op de bestuurlijke agenda en neem maatregelen, door het beschikbaar stellen van de benodigde (financiële) middelen. Alleen dan kun je informatiebeveiliging structureel borgen in de gemeente en, hopelijk, grootschalige incidenten zoals bij de BEL-gemeenten voorkomen.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…