Dit jaar, 2018, is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. En wat blijkt? Uit het dreigingsbeeld komt onder andere dat de factor ‘mens’ het grootste risico vormt. Verrassend of oud nieuws?

Het Dreigingsbeeld

Het dreigingsbeeld van de IBD is een aanvulling op het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC), dat al langer bestaat. Omdat dit over meer dreigingen gaat dan relevant zijn voor gemeenten heeft de IBD hier een gemeentelijke aanvulling op gemaakt. Dit dreigingsbeeld voor gemeenten is bedoeld om gemeenten nog eens goed te laten kijken naar hun beveiligingsbeleid en -plannen en om scherp te krijgen of je als gemeente goed voorbereid bent op nieuwe ontwikkelingen en technologieën, een taak die ligt bij de CISO. Onlangs werd er in een artikel op iBestuur gesproken over dat het dreigingsbeeld ook wel ‘het belangrijkste hulpmiddel van de CISO is’. Hier ben ik het niet helemaal mee eens.

Bedreigingen

In het dreigingsbeeld komt naar voren dat ‘de mens’ het grootste risico is, maar wisten we dit niet al lang? En zo niet, dan kun je wel stellen dat je als CISO de afgelopen jaren hebt liggen slapen.. Daarnaast blijkt dat onbewuste en onbedoelde acties een groter risico zijn dan bewuste en gerichte aanvallen. Tja. Een verkeerd verzonden e-mail, een verloren USB-stick of een gestolen smartphone zorgen al snel voor een informatiebeveiligingsincident of een datalek. Verder worden als grootste bedreigingen genoemd dat gemeenten kwetsbaar zijn, de waan van de dag de agenda bepaalt en dat we niet weten wat we niet weten. Allemaal algemeenheden die onder CISO’s waarschijnlijk al jaren bekend zijn.

Nut en noodzaak

Is het dreigingsbeeld dan volkomen overbodig? Nee, ondanks dat bijna alles al bekend is bij veel CISO’s wil het niet zeggen dat het niet goed is dat er een dreigingsbeeld voor gemeenten wordt opgesteld. Het dreigingsbeeld brengt in kaart wat de kwetsbaarheden zijn, het is makkelijk leesbaar en ook nog eens grafisch aantrekkelijk vormgegeven. Het kan dus prima dienen als hulpmiddel en ‘praatplaat’ in het gesprek met directie en bestuur over deze onderwerpen.

Ik vind alleen de ondertitel ‘het belangrijkste hulpmiddel van de CISO is’ nogal overtrokken. Als CISO moet je namelijk over heel wat meer capaciteiten beschikken wil je informatiebeveiliging binnen de gemeente naar een hoger niveau tillen. De CISO heeft immers een centrale rol in het beheren van alle processen die met informatiebeveiliging te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Welke eigenschappen dit zijn beschreef ik in mijn eerdere blog . Bezit je niet over deze eigenschappen dan zal het dreigingsbeeld je ook niet veel verder brengen. Kortom, met mooie plaatjes en overzichten in het dreigingsbeeld ben je er niet.

Ontwikkelingen 2019

Momenteel wordt er gewerkt aan een 2019-versie op basis van beveiligingsincidenten die in gemeenten hebben plaatsgevonden in het afgelopen jaar. Zou deze versie heel veel anders zijn ten opzichte van 2018? En zou het jaarlijks actualiseren nieuwe informatie opleveren voor de doorsnee CISO bij een gemeente? Of is het oud nieuws en slechts van beperkte meerwaarde? Het zal mij benieuwen.. wat denk jij?