Informatiebeveiliging
Inleiding
Gemeente Hulst is sinds de invoering van de Baseline Informatiebeveiliging voor Gemeenten (BIG) bezig om informatiebeveiliging structureel te borgen in de organisatie. De bestuurlijke richting, kaders en uitgangspunten waarin informatiebeveiliging zich behoort te ontwikkelen, zijn vastgelegd in het strategisch informatiebeveiligingsbeleid. Daarnaast is er een CISO benoemd die binnen de gestelde beleidskaders belast is met het vormgeven van de beveiligingsorganisatie en het verder professionaliseren van informatieveiligheid. Informatiebeveiliging is geen doel op zich maar een essentiële factor om de bedrijfsdoelstellingen te kunnen realiseren. Het ondersteunt de primaire processen en de veilige en verantwoorde uitvoering daarvan om het gestelde vertrouwen van de burger in de overheid niet te schaden. In 2022 hebben onderstaande thema’s invloed gehad op de informatiebeveiliging van gemeente Hulst. Dit zijn de Baseline Informatiebeveiliging Overheid (BIO), de focus op bedrijfscontinuïteit en de oorlog in Oekraïne.
Baseline Informatiebeveiliging Overheid (BIO)
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de Baseline Informatiebeveiliging voor Gemeenten (BIG). In 2022 heeft de focus vooral gelegen op de verdere implementatie van de BIO. Het grote verschil tussen de normenkaders is dat de BIO meer nadruk legt op risicomanagement. Concreet betekent de BIO een verplicht kader van maatregelen, een vermindering aan maatregelen van bijna 60% en proces gestuurd risicomanagement waarbij een baselinetoets de basis vormt. Per proces dient bekeken te worden welke maatregelen noodzakelijk zijn om een acceptabel informatiebeveiligingsniveau te hanteren. Het is de verantwoordelijkheid van de proceseigenaar om ervoor te zorgen dat risico’s binnen het proces passend worden beheerst. Dit is een grote verandering ten opzichte van de BIG, waarbij gemeentebreed maatregelen geïmplementeerd dienden te worden. Het vergroten van het risicobesef en prioritering van risico’s, kost dan ook de nodige tijd.
Focus op bedrijfscontinuïteit
2022 laat zien dat een goede informatiebeveiliging en gegevensbescherming voor gemeenten van groot belang blijft. De Informatiebeveiligingsdienst heeft het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023/2024 uitgebracht in 2022. Het dreigingsbeeld schetst een somber beeld. Er zijn steeds meer ransomware aanvallen bij gemeenten. Gemeenten en gemeentelijke samenwerkingsverbanden die getroffen worden, kunnen dan niet meer bij hun data omdat deze versleuteld is door criminelen. Ook worden er steeds meer kwetsbaarheden in software gezien. Om dit tegen te gaan heeft gemeente Hulst acties ondernomen om de digitale weerbaarheid te verhogen. Zo is in oktober 2022 een cyberoefening gedaan, waarmee een eerste fictieve ervaring is opgedaan met de mogelijke gevolgen van een incident. De IBD raadt gemeenten aan om zo goed mogelijk voorbereid te zijn op uitval van systemen door cyberincidenten. Daarnaast is er een monitoring en respons tool aangeschaft. De monitoring en responstool zorgt ervoor dat verdachte handelingen op ons netwerk gesignaleerd worden. Zo kunnen cyberincidenten eerder opgespoord worden. Ook is er aandacht besteed aan de fysieke beveiliging van de gebouwen zodat gemeentelijke informatie niet onrechtmatig kan worden ingezien.
Oorlog in Oekraïne
De oorlog in Oekraïne vindt niet alleen op fysieke bodem plaats maar ook digitaal. Dit heeft zijn weerslag op de digitale veiligheid in Nederland. Nederlandse organisaties kunnen door ketenafhankelijkheden geraakt worden als gevolg van digitale aanvallen in relatie tot de oorlog in Oekraïne. Vanwege de onvoorspelbaarheid van de situatie heeft de gemeente Hulst de noodzaak onderstreept om alert te blijven. De adviezen van het Nationaal Cybersecurity Centrum (NCSC) hieromtrent zijn opgevolgd.
Audits
ENSIA (Eenduidige Normatiek Single Information Audit) ondersteunt de gemeente bij het in één keer slim verantwoording afleggen over informatieveiligheid gebaseerd op de BIO met inbegrip van de specifieke normenkaders voor de BRP, Waardedocumenten, BAG, BGT, BRO, DigiD, Suwinet en WOZ. Uitgangspunt hierbij is de horizontale verantwoording aan de gemeenteraad. Deze vormt de basis voor het verticale verantwoordingsproces aan nationale partijen die een rol hebben in het toezicht op informatieveiligheid.
Vanzelfsprekend is dat het verantwoordingsstelsel ENSIA gewijzigd is met de intreding van de BIO. De zelfevaluatie toetst in mindere mate de aanwezigheid van maatregelen maar legt de focus op de uit te voeren risicoanalyses met specifieke maatregelen als uitkomst. De verplichte zelfevaluaties zijn uitgevoerd op het gebied van de:
• Basisregistratie Personen (BRP);
• Waardedocumenten;
• Basisregistratie Adressen & Gebouwen (BAG);
• Basisregistratie Grootschalige Topografie (BGT);
• Basisregistratie Ondergrond (BRO);
• Wet onroerende zaken (WOZ);
• Baseline Informatiebeveiliging Overheid (BIO);
• DigiD (t.b.v. digitale dienstverlening);
• Structuur uitvoeringsorganisatie Werk & Inkomen (Suwinet);
Er zijn van deze zelfevaluaties/audits rapporten beschikbaar waarin de bevindingen en conclusies zijn vastgelegd. Algeheel resultaat van ENSIA is dat we voor het overgrote gedeelte van de deelterreinen in belangrijke mate voldoen aan de gestelde normen. Alleen wat betreft de DigiD-aansluitingen voldeden we niet op één punt. Dit kwam omdat een interne procedure niet actueel genoeg is bevonden. Inmiddels is de procedure geactualiseerd en heeft er een hercontrole plaats gevonden. Zodoende voldoen we op dit moment weer aan het normenkader van DigiD.
Beheer
De afgelopen periode is verder ingezet om de informatiebeveiliging een structurele plek binnen de organisatie te geven. Dat gaat overigens niet vanzelf en vereist ook voor de komende jaren een aanpak met een hoog bewustzijnsgehalte. Daarom zijn we in 2022 bezig geweest met het opzetten van een bewustwordingscampagne die in 2023 van start moet gaan. Het besef moet groeien dat managers, college- en raadsleden zelf verantwoordelijk zijn voor informatiebeveiliging en daar ook naar moeten handelen. In 2021 heeft gemeente Hulst ervoor gekozen om een extra laag toe te voegen binnen de ambtelijke organisatie. Voor de meeste teams is een teamleider aangesteld. Er is en zal veel aandacht worden besteed aan de verantwoordelijkheid van de teamleider, in diens hoedanigheid als proceseigenaar, als het gaat om informatiebeveiliging en privacy. De 2e lijn zoals de CISO, het Privacy- en InformatiebeveiligingsTeam (PIT) en andere faciliterende disciplines biedt ondersteuning in de vorm van tijdige (sturings-)informatie, advies, controle en begeleiding. In deze beoogde samenwerking zal de komende jaren steeds intensief geïnvesteerd moeten worden om informatiebeveiliging tot een succes te maken.
GAP-analyse
De GAP-analyse biedt ons de mogelijkheid om te controleren of en in welke mate de beveiligingsmaatregelen uit de BIO geïmplementeerd zijn. Het is derhalve de methode om een vergelijking te maken tussen een bestaande of huidige situatie en de gewenste situatie. Ieder jaar zal een nieuwe meting gedaan worden om de voortgang te monitoren. Onderstaand figuur geeft de analyse weer over de controls en beveiligingsmaatregelen die gemeente breed van toepassing zijn. Aan de hand van deze GAP-analyse wordt de impact bepaald en vastgelegd wie wanneer en hoe een ontbrekende of niet volledige beveiligingsmaatregel geïmplementeerd wordt. Dit wordt vervolgens opgenomen in een informatiebeveiligingsplan (jaarplan). Omdat de BIO uitgaat van een pas-toe-of-leg-uit-principe kan aan de hand van een onderbouwing en aantoonbare risicoanalyse gekozen worden om een beveiligingsmaatregel niet te implementeren. Het afgelopen jaar is hard gewerkt aan de thema’s beveiliging van de bedrijfsvoering en de fysieke beveiliging. Gemeente Hulst is vooruit gegaan op deze thema’s in vergelijking met 2021. Figuur 1 laat zien welke thema’s aankomend jaar aandacht verdienen. Het gaat om de thema’s beheer van de bedrijfsmiddelen, toegangsbeveiliging en veilig personeel. In 2023 zijn projecten gestart zoals de optimalisatie van de in- en uitdiensttredingsprocedure en bewustwording omtrent wachtwoorden. Deze projecten zorgen voor de verdere implementatie van het BIO normenkader.
Figuur 1