INFORMATIEVEILIGHEIDeen uitdaging van ons allemaal

VIAG themadag informatieveiligheid, Harro Spanninga

Agenda

• Toelichting op de Taskforce BID• Introductie thema Informatieveiligheid

Technisch perspectief Perspectief van de overheid

• Rol van de bestuur en management

Filmpjes over informatieveiligheid

Ga naar https://informatieveiligheid.pleio.nl

TaskforceBestuur & Informatieveiligheid Dienstverlening

Geïnitieerd door minister Plasterk

N.a.v. Rapport Onderzoeksraad voor

Veiligheid over DigiNotar

Gestart per 13 februari 2013

Actief voor een periode van twee

jaar

Focus op bestuur & topmanagement

Bouwt voort op bestaande

initiatieven en is gericht op

samenwerking

Dit doen we niet alleen…

Invulling langs vier lijnen

• Verplichtende Zelfregulering per overheidslaag

• Gerichtheid:

• Leeraanbod bestuurders en topmanagers

• Gericht op een leer- en ontwikkelproces

• Afgestemd op de volwassenheid van de overheidslaag

• Verankering:

• Handreikingen: baselines voor informatiebeveiliging

• Sturingsmiddelen

• Stelsel

• Visitatie, peer reviews, ketens, Single Audit

Amerikaanse KvK digitaal gegijzeld

Hackers bedienen containers in Antwerpen

Gemalen in Veere slecht beveiligd

Identiteitsfraude met DigiD

De gemeente op de korrel…

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=dIF9iHAE9uOO7M&tbnid=K7yuMHhgHwjj5M:&ved=0CAUQjRw&url=http://www.bndestem.nl/algemeen/binnenland/veel-dossiers-meer-kans-op-lekken-1.474065&ei=l5kcUuHiFoOG0AW6_IHQCg&bvm=bv.51156542,d.d2k&psig=AFQjCNG9N-ZKSbO9TcoQ5wQuGqrp7hzOQA&ust=1377692421335045

Het technisch perspectief

Zwarte markt in hacks en gestolen dataPrijs “zero day exploits” 2012  

Adobe Reader $5,000–$30,000

Android $30,000–$60,000 

Chrome or Internet Explorer  $80,000–$200,000 

Firefox or Safari  $60,000–$150,000 

Flash or Java Browser Plug-ins  $40,000–$100,000 

iOS  $100,000–$250,000 

Mac OSX  $20,000–$50,000 

Microsoft Word  $50,000–$100,000 

Windows  $60,000–$120,000 

Bron: Rand Corporation, Markets for Cybercrime Tools and Stolen Data, 2014

Wat zien we in de prakijk

Enkele trends over 2012-2013:

• Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens.

• Apple-apparaten op de korrel gezien toename van het marktaandeel.

• De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren.• Actieve handel in kennis over kwetsbaarheden en hoe deze te

misbruiken.• Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden.• Meer kans op keteneffecten door hyperconnectiviteit van

apparaten.• Zwakke wachtwoorden blijven een probleem.• Kwetsbaarheden van SCADA-systemen komen meer aan het licht.

bron: NCSC CSBN-3 2013

Ontwikkelingen in gedrag van criminelen

Informatieveiligheid gaat over…

Maar ook over…

Het perspectief van de overheid

Belang voor gemeenten van veilige informatie

• De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017).

• De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens.

• De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen.

• De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.

Overheidsverantwoordelijkheid informatieveiligheid

24

Overheidsverantwoordelijkheid informatieveiligheid

Burger heeft het recht om onbespied te blijven.Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is.

De (gemeentelijke) overheid is verantwoordelijk voor:

• Veiligheid van privacy gevoelige informatie over burgers;• Continuïteit van de (digitale) dienstverlening via internet.

25

Rol van bestuur en management….

• Onderdeel van collegeambities, in portefeuille collegelid.• Verankering op agenda, paragraaf in jaarverslag.• Gemeenten implementeren, lokaal

informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader.

• Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie.

• Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie.

Resolutie Informatieveiligheid:

In control op informatieveiligheid?

Informatie-veiligheid

Cultuur van veiligheid

Monitoren en leren

Voldoen aan norm,

baselineCrisisrespons

Identificeren bedrijfsprocessen

Toekennen eigenaarschap

Uitvoeren risicoanalyses

Opstellen en invoeren 

beveiligingsplan

Accepteren restrisico’s

Monitoren

Managen van incidenten

Evalueren & Rapporteren

Informatiebeveiligingsorganisatie

Beleid informatiebeveiliging

Baseline

Tips om bestuur en management te betrekken…

Vertaal informatieveiligheid naar bestuurlijke risico’s en thema’s Politiek-bestuurlijk , Operationele risico, Financiele risico’s en reputatie

risico’s Vergroot de urgentie

Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail

Maak het tastbaar en klein en breng het dichtbij Bijvoorbeeld door een hack demo te tonen van een iPad of een

telefoon Mobiliseer in je eigen organisatie met lijnmanagers die het probleem ook

onderkennen Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.

Harro.spanninga@taskforcebid.nl

Vragen?

…is zo sterk als de zwakste schakel…

De (overheids)ketting…

…en dat zien we helaas nog al te vaak terugkomen…