De digitalisering binnen de overheid gaat razendsnel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee als het gaat om de informatiebeveiliging van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. De BIO benoemt een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke basisprocessen dit zijn lees je in deze blog.

Digitale weerbaarheid

Als gemeente moet je zorgvuldig omgaan met gegevens van inwoners, bedrijven en de gemeente zelf, om te voorkomen dat je slachtoffer wordt van cyberincidenten. Maar wat verstaan we nu eigenlijk onder digitale weerbaarheid? Een organisatie die digitaal weerbaar is, weet wat ze tijdens en na een incident moet doen. Dit betekent dat de basis op orde moet zijn, je een werkende crisisorganisatie hebt die tijdens het incident optreedt en dat je een plan hebt waarin staat wat er moet gebeuren om de gemeentelijke dienstverlening zo snel mogelijk te herstellen.

Informatiebeveiliging is een proces van plannen, uitvoeren, controleren en bijstellen (PDCA-cyclus). Waar we een paar jaar geleden nog vooral bezig waren met het in kaart brengen van je systemen, welke risico’s je loopt (identify) en hoe je doeltreffend moet reageren wanneer zich een cyberincident voordoet (response), zie je dat er nu juist veel aandacht wordt besteed aan de stappen die daar nog aan voorafgaan. Namelijk hoe je tijdig kwetsbaarheden, afwijkingen of verdachte zaken kunt herkennen (detect) en incidenten kunt voorkomen (prevent) door inzet van technologie, procedures en bewustwording onder collega’s. Een digitaal weerbare gemeente kan potentiële incidenten vroegtijdig signaleren en de gevolgen ervan beperken, omdat de juiste maatregelen op het juiste moment zijn getroffen.

Maatregelen BIO

Om gemeenten hierbij te helpen, wordt sinds 2020 de Baseline Informatiebeveiliging Overheid (BIO) gehanteerd. In de BIO worden de maatregelen en controls beschreven die minimaal benodigd zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen) te waarborgen. Als de basis door implementatie van de BIO op orde is, verhoogt dit de digitale weerbaarheid van gemeenten. Maar hoe ver gemeenten zijn met de implementatie van de BIO, verschilt per organisatie. Bij veel gemeenten zijn ze er nog wel even mee bezig. In praktijk zien we dat er te veel (losse) BIO-maatregelen (ad-hoc) worden genomen. Oftewel: veel Plan en Do, maar nauwelijks via Check en Act terug naar Plan. Dat gemeenten wel wat ondersteuning kunnen gebruiken bij de implementatie van de BIO en dat ondersteuning bij het verhogen van de digitale weerbaarheid zeer gewenst is, is wel duidelijk. Om gemeenten hier een handje bij te helpen heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) het ‘Ondersteuningspakket Verhogen Digitale Weerbaarheid (VDW)’ ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit.

Mindmap van processen
Eén van de middelen uit dit pakket is de ‘Mindmap van Processen’, waarmee gemeenten overzicht krijgen over de eigen situatie en de ontwikkeling van digitale weerbaarheid kunnen bijhouden en verhogen. De mindmap is onderverdeeld in vier processen: Changemanagement, Incidentmanagement, Configuratiemanagement en Patchmanagement. Wat houden deze processen in en waarom is dit belangrijk? Hieronder een toelichting per proces.

1. Changemanagement 

Changemanagement is één van de vier processen om de basisbeveiliging op orde te krijgen en van groot belang voor het verhogen van de digitale weerbaarheid. De wereld om ons heen verandert. Dit betekent dat ook al je ICT-systemen en -applicaties mee moet veranderen met actuele ontwikkelingen en de gehele levensduur aan veranderingen onderhevig zijn. Onder het changemanagementproces verstaan we daarom het op structurele wijze inplannen, uitvoeren en documenteren van wijzigingen. Door dit zo te doen, kan worden voorkomen dat onnodige verstoringen en fouten zich bevinden in de overgang naar een nieuwe gewenste situatie van de ICT-voorzieningen. Bijvoorbeeld bij het uitfaseren van oude software of hardware.

Waarom belangrijk?
Er kunnen ernstige gevolgen of verstoringen optreden in de kwaliteit van de dienstverlening, wanneer functionaliteiten niet meer goed of zelfs helemaal niet meer werken omdat een wijziging dit proces niet gevolgd heeft.

Welke maatregelen moeten er genomen worden?

• Zorg dat er een formeel, beschreven, geaccepteerd en werkend changemanagementproces is.
• Implementeer een Change Advisory Board (CAB) die de impact van changes onderzoekt en goedkeurt (met alle betrokken disciplines).
• Zorg dat wijzigingen het OTAP (Ontwikkel, Test, Acceptatie en Productie) principe volgen.
• Geef alle wijzigingen door aan het configuratiemanagementproces.
• Zorg dat alle wijzigingen een eigenaar hebben.
• Zorg dat er altijd een roll-back scenario is voor wijzigingen.
• Zorg dat wijzigingen worden uitgevoerd in het onderhoudsvenster.

Meer informatie over dit proces is te vinden in de factsheet ‘Changemanagement’ van de IBD.

2. Incidentmanagement

Een incident is nooit helemaal te voorkomen, 100% veilig bestaat immers niet. Daarom is het belangrijk dat je als gemeente voorbereid bent als zich toch een incident voordoet. Zo kun je met goede voorbereiding snel reageren op incidenten en de schade zoveel als mogelijk beperken. Dit doe je door het proces van incidentmanagement in te richten, te oefenen en regelmatig te actualiseren. Kortom, een goede voorbereiding is het halve werk.

Waarom belangrijk?
Door incidenten te registreren, oefenen en de oplossing op te nemen, kan in de toekomst eenzelfde soort incident sneller verholpen worden.

Welke maatregelen moeten er genomen worden?
(Basis-) maatregelen kunnen risico’s op informatiebeveiligingsincidenten sterk verminderen.

• Zorg dat er een formeel, beschreven, geaccepteerd en werkend incidentmanagementproces is.
• Registreer incidenten (en eventuele oplossingen) op een centrale plek en zorg dat medewerkers weten waar ze incidenten kunnen melden.
• Zorg voor een escalatiepad indien incidenten niet volgens de SLA opgelost kunnen worden.
• Zorg dat elk incident een eigenaar heeft.
• Zorg dat incidenten in volgorde van prioriteit worden ingedeeld en behandeld.

Meer informatie over dit proces is te vinden in de factsheet ‘Incidentmanagement’ van de IBD.

3. Configuratiemanagement

Om kwaadwillende en onbevoegden buiten de deur te houden is het belangrijk dat je als gemeente weet welke hardware en software zich bevinden binnen het gemeentenetwerk of onder beheer van de gemeente vallen, zoals cloudoplossingen. Op die manier weet je ook wat er dus beschermd moet worden. Configuratiemanagement is het proces voor het registeren en bijhouden van informatie over het gebruik van al die hardware en software en onderlinge verbindingen binnen de organisatie.

Waarom belangrijk?
Configuratiemanagement is een randvoorwaarde om goed beheer uit te kunnen voeren, zoals het gericht beheren van de omgeving en het opsporen van onbekende en/of ongeautoriseerde IT-middelen binnen het netwerk. Wanneer je als IT-afdeling geen zicht hebt op welke hardware en software zich bevinden binnen het gemeentenetwerk, dan kunnen ongeautoriseerde applicaties gewoon gebruikt worden. Hierdoor kunnen kwaadwillende schade aanrichten binnen het netwerk. Dit noemen we ook wel ‘shadow-IT’.

Welke maatregelen moeten er genomen worden?

• Zorg dat er een formeel, beschreven, geaccepteerd en werkend configuratiemanagementproces is.
• Zorg voor een actueel en volledig overzicht van alle configuratieitems (CI).
• Scan in het netwerk naar nieuwe hardware en software.
• Zorg dat elke CI een eigenaar heeft.
• Zorg dat de classificatie van de CI duidelijk en eenduidig wordt vastgesteld door de eigenaar.

Meer informatie over dit proces is te vinden in de factsheet ‘Configuratiemanagement’ van de IBD.

4. Patchmanagement

Tot slot, patchmanagement. De laatste van de vier processen om de basisbeveiliging op orde te krijgen. Waar configuratiemanagement belangrijk is om te weten wat de gemeente in huis heeft, is het belang van patchmanagement om dat wat de gemeente in huis heeft ook veilig te houden door het uitvoeren van juiste en tijdige beveiligingsupdates. Het proces waarmee beveiligingsupdates worden doorgevoerd noemen we patchmanagement.

Waarom belangrijk?
Door achterstanden in updates kunnen er kwetsbaarheden in software, hardware en besturingssystemen ontstaan waar hackers misbruik van kunnen maken. En dit wordt steeds makkelijker. Dit komt doordat je via online scans kwetsbare systemen kunt opsporen. Indien hier misbruik van wordt gemaakt, kan dit grote gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van systemen. Zo kunnen er gegevens worden gestolen (datalek), gewijzigd of versleuteld (ransomware). Dit kan voor grote schade zorgen, zowel financiële als imagoschade. Het is daarom belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Kortom, patchen en updaten is van groot belang voor de informatiebeveiliging van de gemeente. Door je systemen up-to-date te houden, kunnen veel incidenten voorkomen worden.

Welke maatregelen moeten er genomen worden?

• Zorg dat er een formeel, beschreven, geaccepteerd en werkend patchmanagementproces is.
• Zorg dat afspraken voor patches zijn vastgelegd in de SLA.
• Zorg dat er een specifiek proces is voor kritische/beveiligingspatches (spoedpatches).
• Volg het changemanagementproces voor de uitrol van patches.
• Controleer met regelmaat of er nieuwe relevante patches beschikbaar zijn.

Meer informatie over dit proces is te vinden in de factsheet ‘Patchmanagement’ van de IBD.

Meer informatie?

Ik hoop je met deze blog meer inzicht te hebben gegeven in wat er vanuit de BIO moet gebeuren als het gaat om het verhogen van je digitale weerbaarheid. Heb je hulp nodig binnen jouw gemeente om verder te komen op dit vlak? Laat ons dit dan vooral even weten en neem contact met ons op.