Special Informatieveiligheid

OKTOBER 2013

SPECIAL

INFORMATIEVEILIGHEID

ZICHT OP VEILIG ZICHT OP VEILIG ZICHT OP VEILIG DIGIDIGIVERKEERVERKEERVERKEER

HENK WESSELING

TASKFORCE BID

KEES JAN DE VETKEES JAN DE VET

BESTUUR VNGBESTUUR VNG

DICK SCHOOFDICK SCHOOF

NCTV

JOSÉ LAZEROMS

RVB UWV

ZICHT OP VEILIG

2

e d i t o r i a l

ordt informatieveiligheid het nieuwe management buzz-woord? Ge-zien de urgentie die het thema de afgelopen jaren gekregen heeft, mag ik het hopen. Het Pobelka-Botnet, de DDoS-aanvallen, Lektober, het Dorifel-virus en DigiNotar hebben in elk geval ook de overheid flink doen opschrikken. Met de digitalisering van overheidsdiensten bleek

een cyberincident al snel een risico voor de continuïteit van de overheidsdienstverlening. In-formatiebeveiliging is de nieuwe bananenschil waar je als bestuurder heel gemakkelijk over uitglijdt als je niet oplet.

Tijd dus om te zorgen dat bestuurders en overheidsmanagers meer kennis en besef wordt bijgebracht van informatieveiligheid, oordeelde de Onderzoeksraad voor Veiligheid na het DigiNotar-incident. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Task-force BID) kreeg van Binnenlandse Zaken de schone taak de missie te leiden. Belangrijk in het programma dat het afgelopen jaar vorm kreeg, is de boodschap dat informatiebeveiliging een onderwerp is voor de bestuurstafel – en, zoals bestuurlijk hoofd Henk Wesseling en ma-nager Douwe Leguit van de Taskforce BID in deze special benadrukken, niet langer aan ‘de jongens van de ICT’ alleen kan worden overlaten.

In dit magazine, dat in opdracht van de Taskforce BID werd gemaakt, laten we zien wat sturen op informatieveiligheid inhoudt en wat nodig is om het onderwerp goed verankerd te krijgen in de organisatie. Lees op pagina 6-7 hoe de verschillende overheidslagen de in-formatieveiligheid op orde proberen te krijgen door bijvoorbeeld afspraken te maken over minimumeisen die als basis moeten dienen voor een planning- en controlecyclus. Kijk wat samenwerking op kan leveren in een ICT-samenwerkingsverband zoals de Drechtsteden ken-nen (p. 26-27) en in de loonaangifteketen (p. 16-19), die tegenwoordig zelfs een eigen keten-manager heeft. Ook de verhalen uit de praktijk beveel ik van harte aan, bijvoorbeeld van de gemeente Urk, die overstapte naar de cloud.

Veel is op de rit gezet, maar de overheid is er nog niet. Nationaal Coördinator Terrorisme-bestrijding en Veiligheid Dick Schoof beschrijft op pagina 9 hoe overheden op de rollercoaster van zich vermenigvuldigende cyber-risico’s de toenemende versnelling van ontwikkelingen maar nauwelijks kunnen bijbenen. Schoof bespeurt dat een aantal overheidsorganisaties zich inmiddels ontwikkeld heeft van ‘onbewust’ tot ‘bewust’. Het predikaat ‘bekwaam’ in in-formatieveiligheid kan hij nog niet uitdelen.

Wat is nodig voor een volgende stap? De Delftse hoogleraar Michel van Eeten verwacht veel van het organiseren van aansprakelijkheid. ‘Het gebeurt te vaak dat de schade van cy-bercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen,’ zegt hij. Of een afrekencultuur beter werkt dan de weg van zelfregulering die nu gekozen is, staat de komende tijd te bezien. Laten we eerst maar eens afwachten of informatieveiligheid voor voldoende buzz zorgt in de campagnes voor de gemeenteraadsverkiezingen.

Chris van de Wetering

Hoofdredacteur Specials

digibeWust

deze special is een uitgave van sdu uitgevers

redactieadres

Postbus 20025, 2500 EA Den Haag

Tel. 070 – 378 07 30

www.pm.nl | [email protected]

Hoofdredacteur Chris van de Wetering

Medewerkers aan deze special Pieter van den Brand, Rutger van den

Dikkenberg, Ana Karadarevic, Yvonne Kroese (illustraties), Ed Lute,

Arenda Oomen (fotografie), Richard Sandee, Fred Teunissen, Maurits

van den Toorn en Rianne Waterval

Vormgeving Jan Heijnen - www.janheijnen.com

uitgever Roel Langelaar

salesmanager Asha Narain

drukkerij Senefelder Misset, Doetinchem

Verschijning Deze PM-Special verschijnt eenmalig als bijlage

bij inGovernment, PM Public Mission, SC, VNG Magazine en het

Waterschap, in een oplage van 50.200 exemplaren

Deze special is mede mogelijk gemaakt door de Taskforce Bestuur

en Informatieveiligheid Dienstverlening, welke in opdracht van het

ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt en als

programma is ondergebracht bij ICTU.

Niets uit deze uitgave mag worden overgenomen in welke vorm dan ook zonder schriftelijke toestemming van de uitgever. De uitgever kan op generlei wijze aansprakelijk worden gesteld voor eventueel geleden schade door foutieve vermelding in het blad. © 2013 Sdu Uitgevers

PM SPECIALoktober 2013

W

3

4 taskforce zet in op bestuurlijke awareness

Douwe Leguit van de Taskforce BID over de missie

12 goede hacker komt makkelijk binnen

Hans Goedhart bepleit eigen verantwoordelijkheid

13 Herbestem gelden voor de digitale snelweg!

Sociale Verzekeringsbank bezorgd over fi nanciering

18 Ketensamenwerking vergt soft skills

Nieuwe managementtools voor loonaangifteketen

22 gevraagd: ibewuste ambtenaar

Maarten Hillenaar werkt aan het rijksdigibewustzijn

en verder:

20 uit de praktijk van de gemeente utrecht

21 Column Henri lenferink

24 Column erik gerritsen

25 uit de praktijk van de belastingdienst

26 iCt-samenwerkingsverbanden doorgelicht

28 Vijf security mythes ontraadseld

30 interview Kingdirecteur tof thissen

31 uit de praktijk van de gemeente urk

32 up to date

i N H o u d

6 overheden op weg naar informatieveiligheid

Hoe Nieuwegein DigiNotar-incident wist te managen; wat heb-

ben de diverse overheden al op de rit gekregen?

8 ratrace tegen bedreigingen

De visie van Henk Wesseling, Dick Schoof, Michel van Eeten en

Kees Jan de Vet op de digitale weerbaarheid van de overheid

14 'omslag in denken is nodig'

DG Gert Jan Buitendijk vindt dat de digitalisering niet ten koste

mag gaan van de betrouwbaarheid van publieke dienstverlening

belastingdienst uwv

voorcontrole werknemersgegevens

koppelvlak

voorcontrole

werkgever/inhoudingsplichtige

ministerie van �nanciën

belas

tingd

ienst

ontva

ngen

bu�e

rendis

tribu

eren

adres

seren

intensief toezicht

centraleontvangers-

administratie

genererenbeschikking

aanmakencorrectie-

verplichtinghe�ngs-

administratie

gemee

nteli

jke so

ciale

diens

t

zorg

verze

keraa

rs/aw

bz

kamer

van

koop

hand

el

werkgevers-administratie

handels-register polisadministratie

bijzonderepremie

taken

uitkerings-administratie




toeslagen

socia

le ve

rzeke

rings

bank

belas

tingd

ienst

belas

tingd

ienst

toes

lagen uw

v

cent

raal

bur

eau

voor

de

stat

isti

ek

overi

ge af

nemers

loon

gege

vens

zoals

pe

nsioe

nfond

sen,

ib-g

roep

, ge

recht

sdeu

rwaa

rders

.

correctieloondata

gevraagdof spontaan

aanslag ofbeschikking

met evt.boete

loon-gegevens

U bentinhoudings-

plichtige,dus...

nieuweinschrijving

ofmutatie

signaal

signaal

herstel-verzoek

correctieverplich-

ting

verze-kerings

bericht

zieke, werkloze of arbeidsongeschiktewerknemer/verzekerde zieke uitkeringsgerechtigdetoeslaggerechtigde

loon-gegevens

voor ondermeerIB-controle

Toeslagenen data derden

koppelvlak-

formulier

loket belastingsdienst

berichtvoor

uwv

berichtvoor

belastingdienst

Unit

loket uwv

berichtvoor

uwvbericht

voorbelasting

dienst

koppelvlak-

formulier

65-plusser, ouder, nabestaande

claim

klant

claim

klant

claim

klant

ziekte-

uitkering

klant

gemeentebudget

geld

schat-kist

loonaangifte*inclusief dataper werknemer

correctieloondata

geld

Correctie?

aangiftedata

Correctie?

aangiftedataCorrectie?

aangiftedata

Correctie?

aangiftedata

fonds fonds fondsfonds fonds

geld geld geld

geld

fondsgeld

80 miljard

geld

verplichtcorrectiebericht

per tijdvak (maand of vier weken)

claim

klant

claim

vergoeding

ziekte-

kosten

geld

werk-

lozen

uitkering

klant

bijstands-

uitkering

klant

arbeids-

ongeschikt-

heids-

uitkering

klant

nabe-staandeuitkering

kinder-bijslag

klant

aow-uitkeringcv, vofof eenmanszaak

bv, nvof anders

16 Facts & fi gures

Loonaangifteketen toont complexe opgave

PM SPECIAL oktober 2013

OBegin dit jaar heeft minister

Plasterk van Binnenlandse Zaken en Koninkrijksrela-ties (BZK) de Taskforce BID opgezet om het onderwerp

informatieveiligheid op de agenda te krijgen bij bestuurders en topmanagers van overheidsorganisaties. Informatie-veiligheid gaat niet om technische be-veiligingsmaatregelen alleen. De maat-schappelijke en politieke risico's vragen om een bredere oriëntatie. Informatie-veiligheid wil zeggen dat organisaties informatie op de juiste manier opslaan, verwerken, beheren en gebruiken, maar vooral ook kijken naar de noodzakelijke (organisatorische) randvoorwaarden om in brede zin de continuïteit van de orga-

nisatie en haar diensten te waarborgen. Dat is niet iets om er even bij te doen, het is een wezenlijk onderdeel dat het primaire proces van een organisatie di-rect raakt.

Om te bereiken dat dit overheids-breed wordt opgepakt, werkt de Task-force BID nauw samen met de koepels van waterschappen, provincies, gemeenten, rijksoverheid en zbo’s. Daarnaast is er een directe link met de partijen die een actie-ve rol hebben op dit thema zoals het Na-tionaal Cyber Security Centrum (NCSC), de Informatiebeveiligheidsdienst voor

gemeenten (IBD) en het Centrum Infor-matiebeveiliging en Privacybescherming (CIP). ‘De Taskforce BID is opgezet als een interbestuurlijk programma met mensen uit de diverse overheidslagen. We inven-tariseren samen met een interbestuurlij-ke werkgroep waar alle belanghebbenden in zitten, wat er op het gebied van infor-matieveiligheid nog ontbreekt en wat er toegevoegd moet worden,’ vertelt Douwe Leguit, mana-ger van de Taskforce BID. ‘Is bekend wat de belangen en risico’s zijn? Is altijd duidelijk wie waarvoor verantwoor-delijk is? Hoe kunnen we de kwaliteit verbeteren zonder direct de regeldruk te verho-gen? Het doel is uiteindelijk een sluitende en gedragen aanpak, waarbij we voorzien in de noodzakelijke onder-zoeken, opleidingen en hand-reikingen. Omdat er sprake is van zelfregulering ligt de uitvoering vervolgens bij de organisaties zelf.’

Verankeren

Hoewel er al veel organisaties zijn die zich met informa-tieveiligheid bezighouden, zoals het NCSC waar Leguit

eerder werkzaam was, is toch gekozen voor een aparte taskforce. Hij legt uit waarom: ‘In de eerste plaats staan wij bewust los van het reguliere werk om het noodzakelijke momentum te kun-nen benutten. Vanuit het reguliere werk is het in de praktijk veel lastiger om een dergelijk dossier vlot te trekken. In de tweede plaats zijn er inderdaad veel par-

Taskforce zeT in op bewusTwording bij alle overheidslagen

InfOrmatIeVeIlIgheId VereIst OVerheIdsbrede

aanpak

‘Door inciDenten als De

recente DDos-aanvallen

is De nooDzaak eviDent’

u p dat e

4

‘Het is niet de vraag of, maar wanneer iemand gehackt gaat worden. Je moet weten wat je dan gaat doen,’ stelt Douwe leguit, manager van de taskforce Bestuur en informatievei-ligheid Dienstverlening (BiD). ‘alle risico’s afvangen kan niet. Het moet wel duidelijk zijn dat je je verantwoordelijkheid hebt genomen. De burger kan geen andere overheid kiezen.’

fo

to a

ren

da O

om

en

Douwe Leguit

tijen betrokken bij het onderwerp; die hebben elk een verschillende en eigen-standige verantwoordelijkheid. Omdat we voor alle overheidslagen werken, hebben we als Taskforce BID enige dis-tantie en daarmee een neutralere rol. Dit biedt ons de positie om als intermediair op te kunnen treden en zo de noodzake-lijke verbinding te realiseren tussen de verschillende organisaties.’

De Taskforce BID kan en zal geen zaken dwingend opleggen, het streven is om in nauwe samenwerking alle over-heidsorganisaties tot ‘verplichtende zelfregulering’ te brengen. ‘Je kunt wel van alles opleggen, maar uit de affaire DigiNotar hebben we geleerd dat normen en audits alleen niet voldoende zijn om de veiligheid te waarborgen,’ verklaart Leguit de werkwijze. ‘Het gaat er juist om dat het bestuur, het management en de medewerkers van een organisatie hun verantwoordelijkheid nemen. Dat bereik je het beste door zelfregulering. Daar zetten wij dan ook vol op in en de gesprekken daarover lopen binnen alle overheidslagen. Dit proces kan ertoe lei-den dat we aan het eind van het traject, in samenspraak met de koepelorganisa-ties, bepaalde zaken wél dwingend willen opleggen. Momenteel verkent minister Plasterk welke weten regelgeving mo-gelijk ondersteunend kan zijn en welke wetgeving ingezet zou moeten worden als het via de Taskforce BID niet lukt om informatieveiligheid te verankeren.’

Dat laatste is de essentie. Informa-tieveiligheid is namelijk meer dan al-leen techniek, het onderwerp moet niet beperkt blijven tot de ‘jongens van de ICT-afdeling’. Het gaat veeleer om de structuur en de verantwoordelijkheids-verdeling binnen organisaties. ‘Wij pro-beren juist weg te sturen van de techniek en duidelijk te maken dat het bij infor-matieveiligheid ook gaat om de organi-satorische vraagstukken,’ aldus Leguit. ‘Het management en de medewerkers moeten gaan beseffen dat het thema

in de hele organisatie een plaats moet hebben. Bovendien werken overheidsor-ganisaties steeds meer in ketens en net-werken met elkaar samen. Dat betekent dat je er niet alleen voor moet zorgen dat je eigen tuintje op orde is, maar je je re-aliseert dat ook de tuin van de buurman van belang is, omdat wat daar gebeurt gevolgen voor jou kan hebben. Informa-tiesystemen overschrijden immers vaak organisatiegrenzen en organisaties zijn daarmee afhankelijk van elkaar.’

Meer veiligheid en meer waarborgen klinkt alsof er allerlei belemmeringen worden opgeworpen. ‘Het tegendeel is juist waar,’ stelt Leguit. ‘Een goede in-formatieveiligheid kan meer flexibiliteit en meer mogelijkheden bieden om de vruchten van de digitalisering te pluk-ken. Als je je zaakjes goed hebt geregeld, heb je bijvoorbeeld meer mogelijkheden tot flexibel werken, wat ten goede komt aan de kwaliteit van de dienstverlening. En als je dit als organisatie nu structu-reel oppakt, voorkom je problemen bij de grote veranderingen waar de overheid voor staat, zoals de decentralisaties.’

De Taskforce BID heeft twee jaar de tijd om in samenwerking met de koepels van gemeenten, provincies, waterschap-pen, rijksoverheid en zbo’s te komen tot verplichtende zelfregulering per over-heidslaag. Dat gebeurt door bestuurders te leren verantwoordelijkheid voor het onderwerp te nemen en door met hand-reikingen te komen: welke stuurvragen moet je stellen, hoe richt je je control in, hoe met de audits om te gaan, enzovoort. Om de werklast te beperken wordt geke-ken of het concept van single information single audit (SISA) – het systeem dat de rijksoverheid hanteert voor de verant-woording van specifieke uitkeringen – hierbij ook mogelijk is. Dit zou de infor-matieverstrekking aanzienlijk beperken. De Taskforce BID richt zich op de ver-schillende overheidsorganisaties van de rijksoverheid, gemeenten, provincies en waterschappen en de zbo’s. Daarbij wordt

vooral ingezet op de olievlekwerking: het ondersteunen van de voortrekkers, zodat deze hun ervaringen kunnen delen en de overige organisaties mee kunnen nemen in hun kielzog. Leguit: ‘Door inciden-ten als de recente DDoS-aanvallen is de noodzaak evident en hebben we de wind mee. Daardoor kunnen we nú dit dossier oppakken, maar we moeten zorgen dat de aandacht ervoor blijft bestaan als de wind weer gaat liggen. Het is zaak dat het onderwerp een vaste plek krijgt aan de bestuurstafel en in de jaarlijkse cy-clus van een organisatie. Daarmee wordt het business as usual en eigenlijk is dat onze voornaamste doelstelling.’ • mvdt

5

InfOrmatIeVeIlIgheId VereIst OVerheIdsbrede

aanpak

u p dat e

nIeuwe regels

De Europese privacyverordening zal op korte

termijn omvangrijke privacyregelgeving met

zich mee brengen. Van belang is met name

de meldplicht datalekken die hieruit voort-

komt. Deze meldplicht komt overeen met

de reeds in Nederland bij wet voorgestelde

meldplicht. De Europese privacyverordening

zal waarschijnlijk voor de verkiezingen van

het Europees Parlement in mei 2014 worden

aangenomen en treedt dan twee jaar later in

werking. De Nederlandse meldplicht zal ver-

moedelijk al iets eerder van kracht zijn.

Medio 2013 is er een Nederlands wetsvoor-

stel voor een meldplicht cyberincidenten ge-

daan. Volgens die wet moeten vitale sectoren

melding maken van ICT-inbreuken aan het

Nationaal Cyber Security Centrum. Ook de

Europese Netwerk en Informatie Beveiliging

(NIB) Richtlijn komt met meldplicht met be-

trekking tot ICT-incidenten. Deze meldplicht

wijkt af van de Nederlandse. Over de NIB

Richtlijn wordt momenteel nog onderhan-

deld.

Volgens de aanhangige Nederlandse wet-

geving moeten ICT-inbreuken waarbij ook

persoonsgegevens zijn gecompromitteerd in

de toekomst gemeld worden aan zowel het

NCSC als het CBP. Wanneer er sprake is van een ICT-inbreuk

bij een certificaatdienstverlener van gekwalifi-

ceerde certificaten (certificaten die rechtsgel-

digheid aanduiden) moet die dienstverlener

volgens aankomende wetgeving melding

van de inbreuk maken aan de Autoriteit

Consument en Markt, het NCSC en het CBP

alls daarbij tevens persoonsgegevens gecom-

promitteerd worden.

Veld In kaart

aIVd Algemene Inlichtingen- en

veiligheidsdienst

aCm Autoriteit Consument en Markt

at Agentschap Telecom

Cbp College Bescherming

Persoonsgegevens

CIp Centrum Informatiebeveiliging

en Privacybescherming

Csr Cyber Security Raad

defCert Computer Emergency Response

Team van het ministerie van

Defensie

eCp Platform voor de Informatie

Samenleving

enCs European Network for

Cyber Security

Ibd Informatiebeveiligingsdienst

voor gemeenten

nCsC Nationaal Cyber Security

Centrum

nCtV Nationaal Coördinator

Terrorismebestrijding en

Veiligheid

nfI Nederlands Forensisch Instituut

pvIb Platform voor

Informatiebeveiligers

thtC Team High Tech Crime van de

Nationale Recherche

PM sPecial okTober 2013

GIedereen denkt bij informatieveiligheid dat het

alleen maar over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat, ook bij de provin-cies. Denk eens aan op afstand bediende brug-gen en verkeerslichten, aan sluizen en tunnels.

Dat zit allemaal tjokvol ICT, als daar iets verkeerd mee gaat staat het verkeer in de halve provincie vast,’ stelt Gea van Craaikamp, algemeen directeur en provincie-secretaris van de provincie Noord-Holland.

De provincies hebben met minister Plasterk afspraken ge-maakt over maatregelen op het gebied van informatieveilig-heid. ‘Daar gaan we uiteraard aan voldoen, maar de provincies zijn zelfstandig democratisch gelegitimeerde organisaties, geen uitvoeringskantoor van het Rijk. Zelfregulering betekent dan ook dat iedereen het in zijn eigen tempo en op zijn eigen manier doet. Dat wil niet zeggen dat we twaalf keer alles op-nieuw gaan bedenken, we overleggen in IPO-verband over één standaard en één rapportagemodel.

Van Craaikamp waarschuwt dat aandacht voor de techniek alleen onvoldoende is. ‘Voor een goede informatieveiligheid zijn hard controls nodig, maar minstens zo belangrijk is het gedrag van de medewerkers, hoe gaan ze met de stukken om en met sociale media. Ze moeten zich ervan bewust zijn dat de provincie weliswaar een transparante organisatie is, maar dat bepaalde informatie vertrouwelijk is en dat niet iedereen altijd goede bedoelingen heeft. Als je dit aspect niet op orde hebt, kun je systemen beveiligen zoveel je wilt, maar dan is er deson-danks geen sprake van informatieveiligheid.’

Informatieveiligheid kwam bij het Rijk ruim voor DigiNotar al in beeld. Incidenten rond vermiste USB-sticks die Defensie in 2007 in verlegenheid brachten, voedden de sense of urgency. ‘We zagen ook dat de departementale web-sites flink werden aangevallen, waardoor we ons bewust werden van onze kwetsbaarheid,’ zegt pSG Ric de Rooij van

SZW. Hij is voorzitter van de Subcommissie Informatie-beveiliging en Privacy (SIB) van de Interdepartementale Commissie Chief Information Officers (ICCIO). Daarin zit-ten de elf CIO’s van de departementen, die onder leiding van de rijks-CIO Maarten Hillenaar de informatievoorziening en het ICT-beleid van de rijksdienst coördineren en afstemmen. ‘Twee ontwikkelingen kwamen eigenlijk samen, waardoor het Rijk slagkracht kon ontwikkelen,’ vertelt De Rooij. ‘De awareness groeide, maar vanwege de bezuinigingen moesten we ook meer samen gaan doen.’ Het Rijk kreeg gemeenschappelijke ICT-or-ganisaties en stelde een rijksbrede i-strategie op. In 2012 kwam het ICCIO met de Baseline Informatiebeveiliging Rijksdienst (BIR), een instrument waarmee gemeten kan worden of de or-ganisatie in control is op het gebied van informatiebeveiliging. Wat zou helpen om meters te maken, aldus De Rooij, is de komst van een overheids-CIO; ‘een functionaris die dedicated binnen de overheid, inclusief de zbo’s, informatietechnologi-sche ontwikkelingen, waaronder informatieveiligheid, propa-geert. Een soort deltacommissaris die boven de partijen staat, ook boven de rijks-CIO’. Een overheids-CIO zou beter kunnen inspelen op kwetsbaarheden. ‘Door de onderlinge verbonden-heid in ketens is een overheidsonderdeel nu zo sterk als de zwakste schakel. Het UWV kan zijn zaken nog zo op orde heb-ben, maar blijft afhankelijk van de beleidspartner die dat niet heeft.’ De overheids-CIO zou volgens De Rooij ‘veel geld kun-

Koepels paKKen het onderwerp informatieveiligheid op

InformatIeveIlIGheId Is ook een kwestIe van

GedraG

o v e r h e d e n o p w e G

6

Hoe pakken de verschillende overheidslagen het onderwerp informatieveiligheid op? Vijf bestuurders en topambtenaren schetsen hoe hun koepels én hun eigen organisatie om-gaan met informatieveiligheid.

‘Ric de RooijGea van Craaikamp

PM SPECIAL oKtober 2013

nen besparen’ als hij zich net als de rijks-CIO bezig zou kun-nen houden met aanbodsturing, zodat overheden meer samen optrekken bij de aanschaf van IT-systemen.

Het UWV heeft vorig jaar samen met andere leden van de Manifestgroep het Centrum Informatiebeveiliging en Privacy-bescherming (CIP) opgezet. Het doel van dit kenniscentrum is het weerbaarheids-, herstel- en leervermogen van zelfstandige bestuursorganen te versterken door expertise te bundelen. ‘Waarom zou iedereen zelf het wiel gaan uitvinden?’ stelt alge-meen directeur van de RDW Johan Hakkenberg, die ook voor-zitter van de Manifestgroep is.

‘Informatieveiligheid begint met bepalen wie de eigenaar van een systeem is,’ stelt Gert Maneschijn, corporate security officer bij de RDW. Er zijn vier vaste stappen bij de invoering van een nieuw ICT-systeem. ‘We beginnen met te bepalen wie er de eigenaar van is: wie is aanspreekbaar, wie moet er wakker van liggen als het misgaat? De tweede stap is classificeren hoe

bedrijfskritisch het systeem is, en dus hoe betrouwbaar het moet functioneren. Een derde stap is kijken of de baseline voor alle ICT-systemen voldoende is of dat er extra maatregelen no-dig zijn. De vierde stap is een extra risicoanalyse voor kritische systemen: wat zijn de risico’s, hoe groot is de kans dat het mis-gaat, hoe erg is het als het misgaat?’

Hakkenberg vult aan: ‘Eigenlijk is er nog een stap voor je begint: inventariseren wat je al aan systemen in huis hebt, want dat levert soms verrassende resultaten op. En ook een op-ruimkalender is van belang, wat je niet meer gebruikt moet je ook echt verwijderen.’

Sinds begin dit jaar heeft de RDW het ISO 27001-certificaat voor informatiebeveiliging. Maneschijn is er trots op: ‘Er zijn nog maar een paar overheidsorganisaties die dit hebben. Het bevestigt dat we bewust met informatieveiligheid omgaan.’

Frans Backhuijs is voorzitter van de subcommis-sie Gemeentelijke Dienstverlening en Informatiebeleid van de VNG en burgemeester van Nieuwegein, een van de ge-meenten die getroffen werd door de problemen van DigiNo-tar twee jaar geleden. ‘Nagenoeg al onze producten hadden DigiNotar-certificaten. Enkele diensten waren zelfs weken niet online beschikbaar,’ vertelt Backhuijs. De veiligheids-certificaten van bijna alle zestig online diensten moes-ten worden vervangen. ‘Gelukkig was digitale dienstver-lening nog niet zo ingeburgerd; we hadden de balies nog.’

DigiNotar was een bruuske wake-up call. In Nieuwegein kwam de Nota informatiebeveiliging daarna prompt op de bestuurs-agenda en door DigiNotar en Lektober gingen gemeenten hun kennis bundelen. Er kwam een gemeentelijk kenniscentrum voor informatieveiligheid, de Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Nu de urgentie zo voelbaar was, werd er op de algemene ledenvergadering van de VNG ook vrij ge-makkelijk ingestemd met de financiering van de IBD uit het Gemeentefonds,’ zegt Backhuijs. Nu kan bij incidenten gemak-kelijk opgeschaald worden. Als een gemeente een incident meldt, worden andere gemeenten ingeseind; de IBD kan ook hulp bieden bij oplossing van het probleem.

‘Anticiperen op veiligheidsrisico’s is echt iets voor de waterschappen, daarom zijn ze ooit ontstaan,’ vertelt Hans Oosters, dijkgraaf van het Hoogheemraadschap Schieland en Krimpenerwaard en sinds kort bestuurslid van de Unie van Waterschappen met informatieveiligheid in zijn portefeuille.

‘De automatisering heeft bij de waterschappen al een enorme vlucht genomen, denk aan gemalen en afvalwaterzuiveringen die volledig op afstand worden bestuurd door middel van ICT-toepassingen.’

Vanwege dat belang heeft de Unie van Waterschappen on-derzoek laten doen naar omgang van de Waterschappen met informatieveiligheid. ‘Het bleek dat dit overal een issue was, en we konden zien wat er al aan maatregelen was genomen. Op basis van de uitkomsten van dat onderzoek hebben we een programmaplan gemaakt waarmee we invulling geven aan de verplichtende zelfregulering.’ Oosters vindt die zelfregulering van groot belang: ‘Organisaties zijn alerter als ze het zelf moe-ten doen, dat is veel effectiever dan wetgeving vanuit het Rijk.’

Er is al een baseline die nu wordt geïmplementeerd en elk waterschap stelt op basis van het programmaplan een eigen plan op voor het aanpakken van informatieveiligheid. Het wordt onderdeel van de planning- en controlcyclus en er ko-men elk jaar audits. Dat gaat met een getrapt systeem dat steeds strenger wordt: over twee jaar komt er een peer review door collega-waterschappen en het jaar daarna volgt er een ex-terne audit.

Oosters benadrukt aan het eind van het gesprek nogmaals het belang van informatieveiligheid, maar voegt er een oproep aan toe: ‘Laat het geen belemmering worden om door te gaan met automatisering.’ • mvdt en Cvdw

7

InformatIeveIlIGheId Is ook een kwestIe van

GedraG

o v e r h e d e n o p w e G

Ric de Rooij Johan Hakkenberg Frans Backhuijs Hans Oosters

PM SPECIAL oKtober 2013

Vier Visies op de toekomst Van onze informatieVeiligheid

Digitale weerbaarheiD vergt breDe Samenwerking

8

De overheid digitaliseert en informatieketens worden complexer. Data en applicaties verhuizen in hoog tempo naar de cloud en verlaten dan soms hun oude, vertrouwde behuizingen. Mobile devices werden in korte tijd alomtegenwoordig en vormen nu evenzovele toegangspoorten tot achterliggende systemen en gevoelige data. Door al deze ontwikkelingen neemt onze digitale kwetsbaarheid toe.Hoe zorgt de overheid ervoor dat ze het hoge tempo van de ontwikkelingen bijhoudt en op het ge-bied van informatieveiligheid niet met de onderwerpen van gisteren, maar met die van vandaag en de toekomst bezig is? Wat vraagt dit van bestuurders, maar ook van burgers en bedrijfsleven? Anders gezegd: hoe zorgen we er gezamenlijk voor dat de bad guys niet aan het langste eind gaan trekken? Vier zwaargewichten uit de wereld van de cybersecurity buigen zich over deze en aanverwante vragen.


beeld

Yvo

nn

e k

roe

se

Kan hij een vergezicht schilderen, een beeld van wat er de komende vijf tot tien jaar allemaal op ons af gaat komen op het ge-

bied van cybercrime en cyberspionage? Dick Schoof, Nationaal Coördinator Ter-rorismebestrijding en Veiligheid, waagt zich niet aan voorspellingen.

Hij trekt met zijn linkerhand een lijn door de lucht, die ter hoogte van zijn ge-zicht stopt: ‘Hier komen we vandaan en hier zijn we nu. We kunnen die lijn line-air doortrekken en daar ons toekomst-beeld op baseren, maar als één ding ze-ker is, dan is het wel dat de werkelijkheid zich zo niet zal gedragen. Als je naar de afgelopen periode kijkt, is wel duidelijk dat de weerbaarheid van de overheid en van de vitale infrastructuur wel-iswaar is toegenomen, maar dat de activiteiten aan de illegale kant – en dan zowel de cyberspionage als de cybercriminaliteit – naar verhouding nog meer zijn toegenomen. De eindbalans is dus negatief. Het is geen hele grote min, maar toch echt wel een min-netje. Daarom hamer ik zo op awareness, op maatre-gelen en op het nemen van de eigen verantwoorde-lijkheid door betrokkenen. Schuif die niet op elkaar af. Het gaat om het welbegrepen eigenbelang van organisaties. Want als je nu nog niet begonnen bent maatregelen te treffen, dan ben je extra kwetsbaar in de toekomst. Dat komt omdat de ontwikkelingen zo razendsnel gaan en blijven versnellen. Daarom is de nationale cybersecurity-strategie geen kwes-tie van de verre toekomst, maar van het hier en nu. Om dezelfde reden is het ontoereikend om alleen te repareren wat er in het verleden fout is gegaan, want ook dan ga je voorbij aan de vereisten van dit moment en loop je het risico dat je morgen achter de feiten aanloopt. Het is nu juist tijd om samen te investeren in smart security.

‘Qua cyber-awareness zijn er aanzienlijke ver-schillen tussen de landelijke overheid en de vitale sectoren enerzijds, en de gemeenten anderzijds. De eersten hebben inmiddels wat betreft het besef van de risico’s de beweging van onbewust naar be-wust wel gemaakt en bevinden zich nu in de over-gangsfase van bewust naar bekwaam. Maar veel gemeenten zijn daar nog een eind van verwijderd. Er moet echt een tandje bij. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) en de pas opgerichte Informatiebeveiligingsdienst voor gemeenten (IBD) gaan hier een belangrijke rol vervullen. Vanuit het Nationale Cyber Security Cen-trum ondersteunen we de IBD door informatie te delen. Al deze activiteiten moeten ertoe leiden dat de awareness flink toeneemt. Dat is absoluut punt één. Bestuurders moeten doordrongen zijn van de risico’s die ze lopen, met name in de vertrouwens-relatie met de burgers. Vervolgens gaat het erom dat je jezelf op cruciale onderdelen effectief beschermt

door forse dammen op te werpen tegen digitale dreigingen. Dat begint met kleine routines, zoals het op tijd aanbrengen van veiligheidsupdates van besturingssoftware. Toch sta ik soms versteld van rapportages waaruit blijkt dat dit onvoldoende ge-beurt. En verder moet je zorgen dat je aanvallen – als die plaatsvinden – beheersbaar houdt en zorgt voor een passende respons. Je moet niet denken dat je ermee weg komt als je dit soort maatregelen niet treft. De burger verlangt van je dat je dit doet. Bo-vendien zitten er social economic benefits aan cyber-security, want de burger zal makkelijker en sneller met je communiceren als de omgeving waarin dat gebeurt veilig is.

‘Een belangrijk deel van de oplossingen moet door wederzijdse participatie van overheden, bur-gers en bedrijven tot stand komen. Je kunt deze par-ticipatie, het gebruikmaken van elkaars kennis en daarmee je weerbaarheid versterken door een res-ponsible disclosure policy bekend te maken op je web-site. Hackers kunnen dan kwetsbaarheden aan je melden, zonder dat ze al te bang hoeven te zijn zich aan strafvervolging bloot te stellen omdat je aan-geeft geen aangifte te doen. Keerzijde is wel dat de melder en jij er pas mee in de openbaarheid treden als de kwetsbaarheid is verholpen. Wij kregen al in de week nadat we deze policy op onze eigen website bekendmaakten een aantal waardevolle meldingen. Banken en veel andere grote ondernemingen heb-ben zo’n policy inmiddels al. De komende ander-halve maand volgt ook het Rijk. En ik zou graag alle overheidsorganisaties in navolging van een aantal koplopers willen oproepen om hetzelfde te doen.’

De Taskforce BID is nu ruim een half jaar actief. Samen met het hoofd van de taskforce, Henk Wesseling, blik-ken we terug, bekijken we de huidige stand van zaken en kijken we vooruit.

‘We stapten begin dit jaar in een sterk gediffe-rentieerd veld. Op enkele uitzonderingen na bleek dat de meeste organisaties nog weinig weten van sturing op informatieveiligheid. Maar het stadium

9

Digitale weerbaarheiD vergt breDe Samenwerking

v i S i e

Fo

to w

elm

er

ke

esm

aat


Dick Schoof (nctv):

‘DE CybErSECurIty-

StrAtEgIE IS gEEn kWEStIE

VAn DE VErrE toEkoMSt,

MAAr gErICHt oP HEt

HIEr En nu’

beeld

Yvo

nn

e k

roe

se

10

v i S i e


dat mensen niet meer weten dat er überhaupt spra-ke is van informatieonveiligheid, zijn we inmid-dels wel gepasseerd. Alleen hoe ermee om te gaan, moet op veel plaatsen nog wel vanaf het begin af aan worden opgebouwd. Om daar te komen volgen we twee lijnen: verplichtende zelfregulering en het gericht blijven op informatieveiligheid. Organisa-ties moeten informa-tieveiligheid leren te beschouwen als een vast onderdeel van de dagelijkse praktijk. Hiertoe creëren we gezamenlijk enkele handige en goede ka-ders en dient de rest per overheidslaag zelf ingevuld te worden. In alle domeinen – van het Rijk tot de waterschappen en van provincies tot de gemeenten – lopen nu al initi-atieven om dit verder invulling te geven.

‘Om te zorgen dat de huidige aandacht niet ver-slapt, is een systeembenadering belangrijk. Je borgt geen continuïteit door heel hard iets te roepen of door sec aan bewustzijn te werken. Daarom wordt er concreet aan de verankering in processen gewerkt, als ook aan het blijven leren van elkaar. Organisaties van de toekomst zijn wellicht van nature gespitst op informatiebeveiliging, maar op dit moment is het noodzakelijk dat juist de mensen die sturen en

beslissen op hoofdlijnen begrijpen hoe informa-tieveiligheid technisch en sociaal werkt. Dat komt omdat de techniek en het bewustzijn over ons gedrag nog niet zodanig zijn doorontwikkeld dat je daar blind op kan ver-trouwen. Je moet in staat zijn om het juiste onder-scheid te maken naar ri-sico’s als gevolg van tech-nische en gedragskeuzes. Dit kan je doen door de juiste stuurvragen te stellen. Anders laat je je alleen leiden door de des-kundigen en die zijn het maar al te vaak onderling ook niet met elkaar eens.

‘De fundamentele vragen over informatie-veiligheid zijn voor het bedrijfsleven niet anders dan voor de overheid. Ook in het bedrijfsleven geldt dat hoe omvang-rijker of gevoeliger de informatieverwerking is, hoe belangrijker de be-

veiliging is van die informatie. Bij basisregistraties als de GBA speelt informatieveiligheid al veel langer een centrale rol. Dat dit onderwerp nu maatschap-pijbreed speelt, bewijst eens te meer de ernst van de zaak. Het is niet de vraag of de eisen rondom infor-matieveiligheid belemmerend zijn voor sommige (politieke) dossiers. Integendeel, als je als over-

heidsbestuurder je informatieveiligheid niet voldoende op orde hebt, dan zal dat je belemmeren in de dienstverlening.

‘De erfenis van deze taskforce moet zijn dat informatie-

veiligheid is geborgd in de organisatie van alle overheidspartijen. Naast inbedding van controle en coördinatie, plus voorzieningen zoals het op-leidingsaanbod, willen we dat het overleg tussen de koepels en hun leersystemen de normaalste zaak van de wereld is. Dat wil niet zeggen dat de informatieveiligheid dan helemaal op orde is, maar het vormt wel een gedegen basis. Deze be-wustwording én de concrete verankering moeten uiterlijk in het voorjaar van 2015 zichtbaar zijn bij de jaarrekening. Eigenlijk liever iets eerder en het proces moet in alle organisaties dan al veel eer-der op gang gekomen zijn. We streven ernaar als Taskforce BID om eind 2014 door een vorm van monitoring een duidelijke indruk te kunnen ge-ven over wat de voortgang is. Overigens formu-leren sommige overheidslagen nu al ambities die hiermee overeenkomen of zelfs stelliger zijn.

‘Ik ondersteun de ambitie van Digitaal 2017 van minister Plasterk volledig. Gezien de huidige ont-wikkeling zou ik zeggen: het kan bijna niet anders. In de tussentijd gaat de informatisering onverdro-ten voort. Ook zal het besef dat je de informatie-veiligheid vooraf geregeld moet hebben, heel snel toenemen. Er zullen zich zonder twijfel nog in-cidenten voordoen en af en toe zal een crimineel iets slims of onverwachts doen. Maar dit gaan we onder controle krijgen met de counterforce die nu ontwikkeld wordt, daar ben ik van overtuigd. Let wel, “onder controle” betekent een gerichte risico-beheersing; het zal, zoals in alle veiligheidskwes-ties, een strijd blijven van je risico’s kennen, leren van incidenten en weer streven naar beheersen. Honderd procent veiligheid bestaat immers niet!’

De Delftse hoogleraar Governance van Cybersecurity Michel van Eeten pleit ervoor om cybercrime abso-luut serieus te nemen, maar ook om er nuchter mee om te gaan. ‘Maak

hierin vooral rationele en proportionele keuzes.’‘De komende jaren moeten we een antwoord

vinden op de vraag: hoe ver ga je in het aanvaarden

‘SoMMIgE gEVoLgEn VAn EEn

DAtALEk zIjn nu AL

EEn VErzEkErbAAr rISICo’

Fo

to a

ren

da o

om

en

henk weSSeling

(taSkforce biD):

‘WE gAAn DIt onDEr

ControLE krIjgEn’

11

v i S i e


van onveiligheid? Op bepaalde ter-reinen in de maat-schappij is deze vraag al beant-woord, zoals bij huisinbraken of verkeersongeluk-ken. Daar zijn we gewend aan een bepaald niveau van onveilig-heid en hebben we aanvullende m e c h a n i s m e n verzonnen, zoals ve r z e k e r i n g e n . Op deze en andere gebieden heb-ben we inmid-dels een aardige balans gevonden. Qua cybercrime

doorlopen we nu een soortgelijk traject. Zodra we beter wennen aan het af en toe uitvallen van een service als internetbankieren, zal een deel van het mysterie verdwijnen. We zullen er niet meer zo hys-terisch op reageren. Daarnaast zal de samenleving haar gebruikelijke instrumentarium inzetten. De eerste verzekeringspolissen tegen cybercrime zijn inmiddels al op de markt. Sommige gevolgen van een datalek zijn nu al een verzekerbaar risico, al wa-gen verzekeraars zich vooralsnog niet aan het ver-goeden van directe schade. Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risi-cogebied.

‘De samenleving beschikt over een enorm adap-tief vermogen. Dat heeft ons in het verleden grote diensten bewezen en dat zal het ook blijven doen. Dit aanpassingsvermogen is uiteraard wel geba-seerd op organisaties of instanties die het belang-rijk vinden en er hun best voor doen. Hoe het er over vijf of tien jaar uit zal zien, valt onmogelijk te voorspellen. Bepaalde takken van cybercrime zullen blijven, maar ongetwijfeld ontstaan er weer nieuwe moeilijk te bestrijden vormen. Daar komen dan weer aanpassingen op, want uiteindelijk is alles te bestrijden. De grote vraag blijft: hoever wil je daarin gaan? Dit in algemene zin beantwoorden is onzin-nig. Het optimale niveau van onveiligheid bepalen we van geval tot geval.

‘Volgens mij heeft het omgaan met criminali-teit ook in belangrijke mate te maken met het orga-niseren van aansprakelijkheid. Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voor-komen. Dit moet juridisch beter worden geregeld en ook de overheid kan hier bijsturen of een goede prikkel initiëren. Ik geloof niet zo in hysterische

oproepen dat we alles dicht moeten timmeren. Vol-gens mij gaat goede informatiebeveiliging over be-wustwording. Daarom is wat de Taskforce BID doet absoluut noodzakelijk. Overheden moeten worden gestimuleerd om bewust afwegingen te maken om-trent informatiebeveiliging, iets wat tot nog toe nauwelijks gebeurde. Dit bewustzijn groeit geluk-kig, maar de echte crux is natuurlijk dat het bestuur in staat moet zijn om hierover zinnige beslissingen te nemen. Dat is een stuk moeilijker. Resultaten kunnen we pas over een aantal jaren beoordelen, maar het is evident dat het thema nu veel zichtbaar-der is en veel serieuzer wordt genomen.'

Het weekend van 8 en 9 oktober 2011, waarin bekend werd dat de websites van vijftig gemeenten gehackt waren, zal hem nog lang heugen. Het was vooraf aangekon-

digd door onderzoeksjournalist Brenno de Winter en het gebeurde met de beste, want waarschuwen-de intenties, maar toch. De door Lektober getroffen gemeenten werden compleet overvallen. Kees Jan de Vet, lid van de directieraad van de VNG, maakte het allemaal van zeer nabij mee.

‘Wij als VNG werden eveneens overvallen. Bij de gemeenten leefde de verwachting dat wij het wel zouden coördineren en oplossen, maar daarvoor

ontbrak de infrastructuur. We hadden geen 24-uurs beschikbaarheidsdienst voor dit soort gevallen. En dergelijke dingen gebeuren natuurlijk altijd in het weekend... Het ministerie van Justitie vroeg ons op een gegeven moment of we de getroffen websites niet tijdelijk op zwart konden zetten, maar dat lag uiteraard niet in onze macht. De 408 gemeenten hebben allemaal hun eigen softwareleveranciers en zeer uiteenlopende systemen voor het beheer van hun websites en wij hadden daar geen centraal overzicht over. Bovendien heeft de VNG geen moge-lijkheid om gemeentelijke websites te sluiten.

michel van eeten

(tU Delft):

‘bEWuSt, MAAr nIEt

HyStErISCH’

keeS Jan De vet (vng):

‘kEnnISDELIng IS

HEt CEntrALE

InnoVAtIEtHEMA

Voor DE koMEnDE

jArEn’ F

oto

are

nd

a o

om

en

Fo

to a

ren

da o

om

en


v i S i e

‘Dit incident heeft geleid tot het besluit van onze leden om de Informatiebeveiligingsdienst voor ge-meenten (IBD) op te richten. De IBD moet ervoor zorgen dat we in het vervolg wél een systematisch en proactief antwoord hebben op dit soort inciden-ten. De IBD is ondergebracht bij KING, het landelij-ke kwaliteitsinstituut dat gemeenten ondersteunt. Voor de opstart is twee miljoen euro uitgetrokken. De IBD is sinds 1 januari 2013 operationeel en is ze-ven dagen per week en 24 uur per dag bereikbaar. Dat betekent dat er nu een goede infrastructuur is om effectief te reageren op incidenten. Andere ta-ken van de IBD zijn preventie en kennisdeling. Twee jaar geleden stond vooral de coördinatie sterk in de aandacht en dat is logisch vanuit wat er destijds speelde, maar ik vind het belangrijk dat we met de IBD nu beter gaan doordenken op het vlak van de kennisdeling. Dat zie ik als het centrale innovatie-thema voor de komende jaren.

‘Ik hoop dat binnen twee jaar ook andere overheden – waterschappen en provincies – deel zullen uitmaken van de IBD, juist ook vanuit het oogpunt van kennisdeling. Dit is essentieel omdat de ontwikkelingen razendsnel gaan en onvoorspelbaar zijn. De maatschappelijke omge-ving is permanent in beweging. Nieuwe ontwik-kelingen landen niet automatisch in overheids-programma’s. Er zal dus altijd sprake zijn van

nieuwe risico’s. Drie jaar geleden waren er nog geen iPads, nu werkt heel bestuurlijk Nederland ermee. Onlangs was ik bij een demonstratie waar-uit bleek dat tablets en smartphones in openbare netwerken, zoals in hotels, met de juiste appara-tuur binnen drie seconden te hacken zijn. Dat is echt schrikken. Al deze nieuwe ontwikkelingen maken dat we permanent naar onze omgevingen moeten kijken, dat we moeten monitoren en de-tecteren en alert moeten reageren.

‘Een belangrijk onderdeel van de systematische bewustwording van risico’s is een betere vastleg-ging van de verantwoordelijkheid voor de informa-tieveiligheid in gemeenten. We gaan tijdens de na-jaarsvergadering aan onze 408 leden voorstellen dat in alle nieuwe colleges een portefeuillehouder voor informatieveiligheid komt. Je kunt dit een vorm van verplichtende zelfregulering noemen. Het zal ervoor zorgen dat dit thema bestuurlijk geborgd wordt in het hele land. Daarnaast zullen er op aller-lei gebieden landelijke werkprogramma’s moeten komen, zoals bijvoorbeeld een betere beveiliging van mobiele apps.’ • ft en el

‘tAbLEtS En SMArtPHonES zIjn

In oPEnbArE nEtWErkEn bInnEn

DrIE SEConDEn tE HACkEn’

‘ambtenaar moet

zelf ook letten op

vertroUweliJk StUk'

Provinciesecretaris Hans goedhart van de pro-vincie utrecht waarschuwt voor een al te lucht-hartige omgang met de systemen die toegang geven tot vertrouwelijke informatie.

Een inspecteur die met een

gevoelig dossier in de snack-

bar gaat zitten en het daar

laat liggen of een mede-

werker die het wachtwoord

van zijn computer op een

Post-it aan zijn scherm heeft

geplakt. Het is niet de tech-

nische kant van informatie-

beveiliging die Hans goed-

hart, provinciesecretaris in

utrecht, de meeste zorgen

baart. Wel dat ambtenaren

denken dat de veiligheid

goed geregeld is en zich

daardoor onvoldoende be-

wust zijn van hun eigen verantwoordelijkheid.

‘We moeten weg zien te komen van de automatise-

ringstechnische benadering, maar het veel meer zoeken

in de manier van omgaan met informatie,’ aldus de pro-

vinciesecretaris. De provincie heeft haar ICt goed bevei-

ligd, zegt goedhart, maar dat voorkomt niet dat een goe-

de hacker toch altijd binnenkomt als hij het lang genoeg

probeert. ‘je kunt het allemaal technisch op orde hebben,

maar als iemand in de systemen gericht op zoek gaat naar

specifieke informatie, dan is daar bijna niet tegen te be-

veiligen.’

verkeerSmanagement

Provincies lopen dezelfde beveiligingsrisico’s als andere

overheden, maar de informatie is verschillend. zo hebben

de provincies weinig van doen met privégegevens van

burgers, maar behoort de beveiliging van het verkeersma-

nagementsysteem wel tot hun taken. Dat neemt niet weg

dat als er ergens een ICt-lek is, de provincie utrecht het

systeem moet platgooien, waardoor het werk niet meer

gedaan kan worden. Daarnaast kan er politiek-gevoelige

informatie op straat komen te liggen, benadrukt goedhart.

‘Dan gaat het niet om mensenlevens, maar zo’n lek kan wel

het politieke proces verstoren.’

uiteindelijk gaat het om hoe ambtenaren met het

systeem omgaan, stelt goedhart. ‘Het is belangrijk dat

de mensen die met de systemen werken, beseffen dat ze

belangrijke informatie in handen hebben. Informatieveilig-

heid is niet alleen het probleem van de ICt-staf, maar moet

ook in de rest van de organisatie leven.’ • rvdD

hans goedhart

22 13

U I T D E P R A K T I J K

De DDoS-aanvallen en de problemen met DigiD, die soms digitale dien-sten plat kunnen leggen, lieten nog eens pijnlijk

voelen hoe afhankelijk de dienstverle-ning van de overheid is van ICT. De am-bities van de ministers Plasterk en Blok, die tot nog grotere ICT-afhankelijkheid zullen leiden, baren de uitvoering dan ook een beetje zorgen. Bestuurder Ro-nald Barendse van de SVB, een van de grote uitvoerders, vindt dat de fi nan-ciering van 'stelselvoorzieningen' als de DigiD-pas, het eID-stelsel, de authen-ticatie en de modernisering van de ba-sisadministraties dan ook meer politieke aandacht verdient. ‘In Nederland is het met de informatiebeveiliging best goed gesteld, zo heeft de afgelopen periode laten zien. DDoS-aanvallen wisten we af-doende te beantwoorden. Als dit echter de opmaat is naar de komende tien jaar, dan staat ons allen nog een behoorlijke uitdaging te wachten. De vraag is of we daarop zijn voorbereid. Immers de afge-lopen periode heeft helder gemaakt hoe afhankelijk de dienstverlening van de overheid is geworden van de veiligheid van de informatievoorziening.’

CHAOS

De belangen bij continuïteit van de dienstverlening zijn groot. De SVB (circa 3.000 medewerkers) verstrekt jaarlijks voor 37 miljard euro aan uitkeringen aan mensen die volgens Barendse vaak ‘elke maand op dat geld zit-ten te wachten’. De dienstver-lening is nu voor 70 procent digitaal, schat hij. ‘Nu al zou de chaos compleet zijn als we bijvoorbeeld niet in staat zijn op tijd te betalen. Daarnaast zouden we zeker vier keer zoveel mensen nodig hebben om alle zaken handmatig in plaats van geau-tomatiseerd te moeten behandelen. We

zouden burgers bijvoorbeeld weer zelf moeten vragen naar gegevens die we nu geautomatiseerd en beveiligd uitwisse-len met de Belastingdienst en het UWV. Om maar niet te spreken van de maat-schappelijke onrust die het te laat beta-len van uitkeringen of kinderbijslag tot gevolg heeft.’

VERNETWERKING

Qua informatiebeveiliging staan we aan het begin van een agressiever tijdperk van cyber criminaliteit, denkt Barendse, die binnen het SVB-bestuur de porte-feuille ICT en informatieveiligheid voor zijn rekening neemt. ‘Er staat ons ont-zettend veel te wachten. De vernetwer-king van gegevens tussen de verschil-lende onderdelen van de overheid heeft de burger veel gemak in dienstverlening gebracht. De beveiliging van deze gege-vens en de uitwisseling met de burger is voor de overheid een groot goed.’ De SVB heeft samen met DUO, UWV en de

Belastingdienst het expertisecentrum Centrum voor Informatiebeveiliging en Privacy (CIP) opgericht waarin zij hun krachten bundelen om externe dreigin-gen het hoofd te kunnen bieden.

‘Aan de achterkant werken we keihard, maar er zijn ook politieke keuzes nodig,´ signaleert Barendse. Natuurlijk, hij be-grijpt het politieke dilemma wel: in deze tijden van fi nanciële krapte is investeren

in informatieveiligheid ten opzichte van bezuinigingen in bijvoorbeeld de zorg niet gemakkelijk.

'Maar wellicht kunnen er tijdelijk middelen gereallo-ceerd worden,' oppert hij. Hij denkt daarbij aan reallocatie à la het Infrastructuurfonds

voor wegen, verreweg het grootste fonds van het ministerie van Infrastructuur en Milieu. ‘De digitale snelweg hoort tenslotte inmiddels ook tot onze vitale infrastructuur.’ • CvdW

PM SPECIAL OKTOBER 2013

Het kabinet zet in de nota Digitaal 2017 in op volledige digitale dienstverlening in 2017. Een hele mooie ambitie, vindt Ronald Barendse, lid van de raad van bestuur van de Sociale Verzekeringsbank (SVB), maar hij mist de fi nanciële paragraaf. Hoe gaan we de nationale voorzieningen bekostigen die zorgen dat digitale diensten straks ook veilig zijn?

DIGITALE SNELWEG VERDIENT TIJDELIJKE REALLOCATIE VAN MIDDELEN

MOOIE AMBITIES, MAAR WIE GAAT HET BETALEN?

'WE ZOUDEN VIER KEER ZOVEEL

MENSEN NODIG HEBBEN OM WEER

ALLES HANDMATIG TE DOEN'

Ronald Barendse

at heeft uw hoogste prioriteit inzake in-

formatieveiligheid?

‘Het DigiNotar-incident in de zomer van 2011 toont nog eens hoe indringend de invloed van informatie- en communi-

catietechnologie op de samenleving is geworden. De samenle-ving digitaliseert, maar slechts weinig mensen realiseren zich hoe belangrijk het slotje in de linkerhoek van de websites is. We vertrouwen er allemaal op dat overheidssites veilig zijn. Dit voorjaar waren er ook de nodige DDoS-aanvallen. Banken en enkele overheidsvoorzieningen waren daardoor dagenlang niet of nauwelijks voor gebruikers beschikbaar. Dat laat zien dat de grote afhankelijkheid van digitale informatievoorzie-ning een goede informatiebeveiliging en bijbehorende nood-procedures hoogst belangrijk maakt.

De overheid legt al veel digitaal vast en communiceert veel digitaal met burgers en bedrijven. Met de doelstel-ling om in 2017 de dienstverlening van de overheid digitaal te laten verlopen gaat daar nog een schepje bovenop. Het openbaar bestuur moet investeren in informatieveiligheid om hoogwaar-dige dienstverlening te kunnen blij-ven bieden. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Er mag gewoon geen sprake zijn van een acuut, redelijkerwijs te voorkomen be-veiligingsrisico, waardoor de veiligheid van mensen, persoonlijke informatie en organisaties in het geding komt.’

Hoe kan voorkomen worden dat de

digitale dienstverlening ‘hapert’ zoals

deze zomer bij het UWV het geval was?

‘Dit kunnen we nooit volledig voorko-men. De technologische ontwikkelingen gaan daarvoor te snel. Maar we moeten er wel ons uiterste best voor doen om het zo goed mogelijk tegen te gaan. Uitvoe-ringsorganisaties zijn primair zelf ver-antwoordelijk voor de beveiliging van hun netwerken en systemen. Ze moe-ten er alles aan doen om hun klanten de

dienstverlening te bieden die deze mogen verwachten. Het is dan ook verstandig een voorziening binnen de overheid te cre-eren waar de klassieke post of het vertrouwde loket een plek krijgt.

‘Het is ook van belang dat organisaties in het openbaar bestuur door een beter samenspel tot een efficiënte en effec-tieve aanpak van calamiteiten komen. Ik wil daarom toe naar heldere richtlijnen en een handleiding bij digitale inciden-ten. Vanuit de verantwoordelijkheid voor de kwaliteit van het openbaar bestuur hecht minister Plasterk er belang aan dat er interbestuurlijke afspraken worden gemaakt over samen-werking bij digitale incidenten, om de digitale weerbaarheid van het openbaar bestuur te vergroten. Overheidsorganisaties wisselen tegenwoordig veel informatie uit en zijn vaak van el-

DG Gert-Jan BuitenDiJk Bepleit Beter samenspel BiJ iCt-inCiDenten

‘EEn omslag in dEnkEn is nodig’

i n t E r V i E W

14

De digitalisering van overheidsdiensten mag niet ten koste gaan van de continuïteit van de publieke dienstverlening, vindt Gert-Jan Buitendijk, Directeur-Generaal bestuur en koninkrijks-relaties van Binnenlandse Zaken. ‘Het is zaak dat het openbaar bestuur investeert in informatieveiligheid om betrouwbare dienstverlening te kunnen blijven bieden.’

Fo

to B

Zk

Gert-Jan Buitendijk

W

kaar afhankelijk. Een belangrijke ontwikkeling op dit gebied is bijvoorbeeld de uit de VNG voortgekomen Informatiebeveili-gingsdienst voor gemeenten (IBD).‘Met de ICT-Response Board, het publiek-private samenwer-kingsverband waarin nu twintig en in 2014 zestig experts zit-ting hebben, is een belangrijke stap gezet naar netwerksamen-werking bij calamiteiten. Hierin wordt preventie, de detectie van incidenten en de coördinatie van de probleemoplossing samen en interbestuurlijk opgepakt. We sluiten ons verder aan bij het Nationaal Response Netwerk dat de minister van Veilig-heid & Justitie aan het opbouwen is.’

de onderzoeksraad voor Veiligheid vindt dat de

kennis van informatieveiligheid bij bestuurders en

overheidstopmanagers beter kan. Hoe zorgt u dat het thema

bij strategische beslissingen zwaarder mee gaat wegen?

‘De Onderzoeksraad voor Veiligheid richtte zich op de wijze waarop de overheid de veiligheid van de digitale communicatie met burgers waarborgt en de manier waarop overheden invul-ling geven aan digitale veiligheid. Burgers moeten erop kunnen vertrouwen dat de overheid alles in het werk stelt om de digi-tale communicatie met de overheid zo veilig mogelijk te laten verlopen. Daarom heeft minister Plasterk in februari van dit jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ingesteld. De bedoeling is het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zo kan er een versnelling op gang komen. De Taskforce BID zet in op vergroten van de awareness bij bestuurders en op meer be-stuurlijke sturing op informatieveiligheid. Uiteindelijk moet dat ertoe leiden dat informatieveiligheid in de bedrijfsprocessen wordt verankerd, waardoor de risico’s op incidenten zoals met het Citadelvirus, dat het Dorifelvirus hielp binnenkomen op veel overheidscomputers, tot een minimum beperkt worden.’

Er is gekozen is voor zelfregulering. Waarom die keuze?

‘Je kunt wel een wet maken, maar het is aanzienlijk sneller en effectiever als overheden en zbo’s zelf scherp en bewust sturen en reguleren. Zelfregulering betekent geen vrijblijvendheid. De Taskforce BID heeft de opdracht om verplichtende zelfre-gulering te helpen ontwikkelen en te faciliteren en werkt daar-voor nauw samen met de koepelorganisaties.

‘Dat krijgt nu vorm. De rijksoverheid is druk bezig met de invoering van de Baseline Informatiebeveiliging Rijk (BIR), die bestaande departementale en interdepartementale base-lines (minimumeisen) vervangt. Daarmee wordt het basisbe-veiligingsniveau bij de rijksdienst gelijkgetrokken en ontstaat eenduidigheid. De BIR wordt nu vertaald naar gemeenten en waterschappen tot de Baseline Informatiebeveiliging Gemeen-ten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA). De koepelorganisaties hebben die samen met de Task-force BID ontwikkeld. Ze zijn nu ter vaststelling aan gemeen-ten en waterschappen voorgelegd.

‘Belangrijker nog dan deze ontwikkelingen vind ik een om-slag in het denken over informatieveiligheid. Informatieveilig-heid moet standaard worden meegenomen bij het inrichten en onderhouden van informatiesystemen, waar ook leveranciers een verantwoordelijkheid in hebben. Dat lukt sneller en beter

via de weg van verplichtende zelfregulering dan met wetge-ving, al wil dat niet zeggen dat extra weten regelgeving wordt uitgesloten. De Taskforce zit er twee jaar, die tijd zal worden benut om een analyse te maken van bestaande en noodzake-lijke weten regelgeving, inclusief de handhaving van al be-staande regels. Mocht bij de evaluatie van de Taskforce blijken dat het gewenste resultaat niet bereikt is, dan zal minister Plas-terk zich beraden over mogelijke weten regelgeving.’

Wat zijn de goede voorbeelden?

‘Ik had het zojuist al over de Baseline informatiebeveiliging Rijk (BIR) als best practice. Met ingang van volgend jaar gaat de rijks-overheid ook rapporteren. Elk jaar worden er thema’s en onder-werpen uitgelicht om te kijken of voldaan wordt aan de BIR.

‘Als buitenlands voorbeeld zou ik Estland willen noemen. Hoewel daar in 2007 door een aantal grote DDoS-aanvallen nog de kwetsbaarheid van een iSamenleving ondervonden werd, is het land toch koploper geworden in e-diensten aan burgers. Zo beschikt e-Estonia over e-taks, een e-politie

en tal van e-health diensten. Estland is ook bezig met de ontwikkeling van een e-identiteit voor e-burgers met een band met Estland, die zo ook vanuit het buitenland vei-lig kunnen communiceren met overheid en bedrijfsleven.’

goede basisvoorzieningen zijn van belang. Hoe staat u

tegenover een basis portal of generieke kernwebsite voor

gemeenten?

‘Momenteel wordt onderzocht of er niet één loket op internet kan komen voor alle gemeenten. De kernwebsite zou bijvoor-beeld Mijnoverheid.nl kunnen zijn, waar gemeenten bij kun-nen aansluiten. De VNG overlegt nu over wat een dergelijk gezamenlijk digitaal loket precies zou inhouden en hoe dit gerealiseerd kan worden. Het zou een voorbeeld zijn van sa-menwerking aan de achterkant op een veilige manier zonder dat burgers er iets van merken. Burgers willen graag hun eigen gemeente blijven herkennen.’

de uitvoerders maken zich zorgen of het authenticatiemiddel

eid, dat digid moet vervangen, er wel op tijd zal zijn. Wat is

de planning?

‘Het kabinetsbesluit voor de invoering van het eID-stelsel en de uitrol van de kaart is in voorbereiding. Het streven is om dit besluit aan het einde van het jaar aan het kabinet voor te leg-gen. Daarin komen ook afspraken over de veiligheid. Ik begrijp de zorg, we kunnen op dit terrein nooit snel genoeg zijn, maar willen we echt een toekomstbestendiger systeem, dan moeten we ook zorgvuldig zijn.

‘DigiD wordt tientallen miljoenen keren per jaar gebruikt: voor de belastingaangifte, de studiefinanciering, het pensioen- overzicht en de ziektekostenadministratie. Er wordt nu met alle betrokken partijen gekeken of er nieuwe financierings- en besturingsvormen te ontwikkelen zijn voor de digitale basisinfrastructuur.’ • CvdW

15

‘EEn omslag in dEnkEn is nodig’

´WeiniGen realiseren ZicH Het BelanG van Het

slotJe in De linkerHoek van De WeBsites´

i n t E r V i E W

Fo

to B

Zk

PM sPecial oktoBer 2013

belastingdienst uwv


koppelvlak

voorcontrole



belas

tingd

ienst

ontva

ngen

bu�e

rendis

tribu

eren

adres

seren

intensief toezicht

centraleontvangers-

administratie


aanmakencorrectie-


administratie

gemee

nteli

jke so

ciale

diens

t

zorg

verze

keraa

rs/aw

bz

kamer

van

koop

hand

el



bijzonderepremie

taken





toeslagen

socia

le ve

rzeke

rings

bank

belas

tingd

ienst

belas

tingd

ienst

toes

lagen uw

v

cent

raal

bur

eau

voor

de

stat

isti

ek

overi

ge af

nemers

loon

gege

vens

zoals

pe

nsioe

nfond

sen,

ib-g

roep

, ge

recht

sdeu

rwaa

rders

.

correctieloondata

gevraagdof spontaan


met evt.boete

loon-gegevens

U bentinhoudings-

plichtige,dus...

nieuweinschrijving

ofmutatie

signaal

signaal

herstel-verzoek

correctieverplich-

ting

verze-kerings

bericht


loon-gegevens



koppelvlak-

formulier


berichtvoor

uwv

berichtvoor

belastingdienst

Unit

loket uwv

berichtvoor

uwvbericht

voorbelasting

dienst

koppelvlak-

formulier


claim

klant

claim

klant

claim

klant

ziekte-

uitkering

klant

gemeentebudget

geld

schat-kist


correctieloondata

geld

Correctie?

aangiftedata

Correctie?


aangiftedata

Correctie?

aangiftedata


geld geld geld

geld

fondsgeld

80 miljard

geld



claim

klant

claim

vergoeding

ziekte-

kosten

geld

werk-

lozen

uitkering

klant

bijstands-

uitkering

klant

arbeids-

ongeschikt-

heids-

uitkering

klant


kinder-bijslag

klant


bv, nvof anders

belastingdienst uwv


koppelvlak

voorcontrole



belas

tingd

ienst

ontva

ngen

bu�e

rendis

tribu

eren

adres

seren

intensief toezicht

centraleontvangers-

administratie


aanmakencorrectie-


administratie

gemee

nteli

jke so

ciale

diens

t

zorg

verze

keraa

rs/aw

bz

kamer

van

koop

hand

el



bijzonderepremie

taken





toeslagen

socia

le ve

rzeke

rings

bank

belas

tingd

ienst

belas

tingd

ienst

toes

lagen uw

v

cent

raal

bur

eau

voor

de

stat

isti

ek

overi

ge af

nemers

loon

gege

vens

zoals

pe

nsioe

nfond

sen,

ib-g

roep

, ge

recht

sdeu

rwaa

rders

.

correctieloondata

gevraagdof spontaan


met evt.boete

loon-gegevens

U bentinhoudings-

plichtige,dus...

nieuweinschrijving

ofmutatie

signaal

signaal

herstel-verzoek

correctieverplich-

ting

verze-kerings

bericht


loon-gegevens



koppelvlak-

formulier


berichtvoor

uwv

berichtvoor

belastingdienst

Unit

loket uwv

berichtvoor

uwvbericht

voorbelasting

dienst

koppelvlak-

formulier


claim

klant

claim

klant

claim

klant

ziekte-

uitkering

klant

gemeentebudget

geld

schat-kist


correctieloondata

geld

Correctie?

aangiftedata

Correctie?


aangiftedata

Correctie?

aangiftedata


geld geld geld

geld

fondsgeld

80 miljard

geld



claim

klant

claim

vergoeding

ziekte-

kosten

geld

werk-

lozen

uitkering

klant

bijstands-

uitkering

klant

arbeids-

ongeschikt-

heids-

uitkering

klant


kinder-bijslag

klant


bv, nvof anders

FA C T S & F I G U R E S

16

geldstroomgegevensstroomprocesstroom


➧ Over de loonaangifteketen

is elke acht weken op hoog

niveau strategisch overleg van

de managementteams van de

Belastingdienst en CBS, de

raad van bestuur van UWV

en de ketenmanager van de

loonaangifteketen. ➧ Elke maand

is er ook een tactisch overleg op

directieniveau. UWV controleert

de juistheid van de gegevens;

onjuistheden worden via de

Belastingdienst teruggekoppeld

aan werkgevers (verantwoorde-

lijk voor de salarisadministratie)

en softwareontwikkelaars met

het verzoek deze te corrigeren. het verzoek deze te corrigeren.

GOVERNANCE

➧ Ongeveer 40

procent van de

Nederlandse

ondernemers is in

2012 slachtoffer

geworden van

cybercrime.

➧ Uit onderzoek van BZK

is gebleken dat er vorig

jaar tussen 670.000 en

870.000 slachtoffers van

identiteitsfraude waren. De

geleden schade lag tussen

390 en 510 miljoen euro.

De loonaangifteketen wordt wel gezien als de fi nanciële gegevensaorta van

Nederland. In de loonaangifteketen gaat maar liefst 145 miljard euro om.

Dat zijn premie- en belastingopbrengsten die door 650.000 werkgevers,

uitkeringsinstanties en pensioenfondsen worden binnengebracht. Het

bedrag is goed voor ongeveer 60 procent van alle belastingontvangsten, en

er zijn enkele tientallen miljarden gegevens mee gemoeid. Belastingdienst

UWV en CBS werken sinds 2006 samen in de loonaangifteketen die een

eenmalige uitvraag van inkomensafhankelijke gegevens mogelijk maakt.

De gegevens komen binnen via de Belastingdienst en worden vervolgens

na controles van het UWV gedeeld met diverse afnemers zoals het CVZ,

het CAK, de IND en gerechtsdeurwaarders. Ze zijn de basis voor onder

meer de vooringevulde belastingaangifte, de toeslagen en uitkeringen

en de premievaststelling van pensioenen. Nodeloos te zeggen dat bij

obstructie van deze gegevensstroom een hartinfarct van de BV Nederland

op de loer kan liggen.

VERSTERKEN VAN DE SCHAK ELS IN DE INFORMATIEKETEN VERSTERKEN VAN DE SCHAK ELS IN DE INFORMATIEKETEN

BRON: PAPERNOTE 35 VAN PBLQ EN KETENBUREAU LOONAANGIFTEKETEN, SDU UITGEVERS 2011.

➧ Van 2007 tot 2012 had

volgens het onderzoek 13,3

procent van de Nederlanders

met identiteitsfraude te

maken. Naar schatting heeft

9,5 procent van de bevolking

in die periode schade

opgelopen.

CYBERCRIME

belastingdienst uwv


koppelvlak

voorcontrole



belas

tingd

ienst

ontva

ngen

bu�e

rendis

tribu

eren

adres

seren

intensief toezicht

centraleontvangers-

administratie


aanmakencorrectie-


administratie

gemee

nteli

jke so

ciale

diens

t

zorg

verze

keraa

rs/aw

bz

kamer

van

koop

hand

el



bijzonderepremie

taken





toeslagen

socia

le ve

rzeke

rings

bank

belas

tingd

ienst

belas

tingd

ienst

toes

lagen uw

v

cent

raal

bur

eau

voor

de

stat

isti

ek

overi

ge af

nemers

loon

gege

vens

zoals

pe

nsioe

nfond

sen,

ib-g

roep

, ge

recht

sdeu

rwaa

rders

.

correctieloondata

gevraagdof spontaan


met evt.boete

loon-gegevens

U bentinhoudings-

plichtige,dus...

nieuweinschrijving

ofmutatie

signaal

signaal

herstel-verzoek

correctieverplich-

ting

verze-kerings

bericht


loon-gegevens



koppelvlak-

formulier


berichtvoor

uwv

berichtvoor

belastingdienst

Unit

loket uwv

berichtvoor

uwvbericht

voorbelasting

dienst

koppelvlak-

formulier


claim

klant

claim

klant

claim

klant

ziekte-

uitkering

klant

gemeentebudget

geld

schat-kist


correctieloondata

geld

Correctie?

aangiftedata

Correctie?


aangiftedata

Correctie?

aangiftedata


geld geld geld

geld

fondsgeld

80 miljard

geld



claim

klant

claim

vergoeding

ziekte-

kosten

geld

werk-

lozen

uitkering

klant

bijstands-

uitkering

klant

arbeids-

ongeschikt-

heids-

uitkering

klant


kinder-bijslag

klant


bv, nvof anders

belastingdienst uwv


koppelvlak

voorcontrole



belas

tingd

ienst

ontva

ngen

bu�e

rendis

tribu

eren

adres

seren

intensief toezicht

centraleontvangers-

administratie


aanmakencorrectie-


administratie

gemee

nteli

jke so

ciale

diens

t

zorg

verze

keraa

rs/aw

bz

kamer

van

koop

hand

el



bijzonderepremie

taken





toeslagen

socia

le ve

rzeke

rings

bank

belas

tingd

ienst

belas

tingd

ienst

toes

lagen uw

v

cent

raal

bur

eau

voor

de

stat

isti

ek

overi

ge af

nemers

loon

gege

vens

zoals

pe

nsioe

nfond

sen,

ib-g

roep

, ge

recht

sdeu

rwaa

rders

.

correctieloondata

gevraagdof spontaan


met evt.boete

loon-gegevens

U bentinhoudings-

plichtige,dus...

nieuweinschrijving

ofmutatie

signaal

signaal

herstel-verzoek

correctieverplich-

ting

verze-kerings

bericht


loon-gegevens



koppelvlak-

formulier


berichtvoor

uwv

berichtvoor

belastingdienst

Unit

loket uwv

berichtvoor

uwvbericht

voorbelasting

dienst

koppelvlak-

formulier


claim

klant

claim

klant

claim

klant

ziekte-

uitkering

klant

gemeentebudget

geld

schat-kist


correctieloondata

geld

Correctie?

aangiftedata

Correctie?


aangiftedata

Correctie?

aangiftedata


geld geld geld

geld

fondsgeld

80 miljard

geld


nabper tijdvak (maand of vier weken)

claim

klant

claim

vergoeding

ziekte-

kosten

geld

werk-

lozen

uitkering

klant

bijstands-

uitkering

klant

arbeids-

ongeschikt-

heids-

uitkering

klant


kinder-bijslag

klant


bv, nvof anders

FA C T S & F I G U R E S

17PM SPECIAL OKTOBER 2013

het verzoek deze te corrigeren.

GOVERNANCE

MALWARE

➧ De grootste oorzaak van

een malwarebesmetting zijn

‘gaten’ in software. Ook het

gebruik van USB-sticks en

andere removable media kan

leiden tot malware-infectie.

➧ Gemeenten die vorig jaar

door het Dorifel-virus werden

getroffen moesten meer dan

tienduizend euro besteden

aan opruim- en herstelacties.

➧ Iedere 37 seconden wordt

een computer met malware

besmet. Er wordt overigens

ook iedere 37 seconden een

fi ets gestolen…

HACKERS DIE HELPEN

➧ De Rabobank heeft begin

oktober ‘tientallen meldingen’

binnengekregen van hackers

die de bank hebben gewezen

op kwetsbaarheden op de

site en in zijn systemen

voor internetbankieren. De

bank ontwikkelde afgelopen

maanden in samenwerking

met het Nationaal Cyber

Security Centrum (NCSC)

een beleid voor responsible

disclosure en plaatste dit half

september op zijn site. Bij het

Meldpunt Kwetsbaarheden

kunnen deskundigen op

gebied van internetbeveiliging

kwetsbaarheden en lekken

melden.

INCIDENTEN EN SCHADE

➧ Uit internationaal onderzoek blijkt dat het aantal

beveiligingsincidenten het afgelopen jaar met 25 procent

is toegenomen, hoewel organisaties vorig jaar substantieel

meer aandacht en geld aan de beveiliging van hun

informatie besteedden.

➧ De schade als gevolg van fraude met internetbankieren

is in de eerste helft van 2013 met 58 procent gedaald

ten opzichte van de tweede helft van 2012. Het bedrag

dat daarmee gemoeid was daalde van 10 naar 4,2 miljoen

euro. Ten opzichte van de dezelfde periode vorig jaar is de

daling nog groter: 82 procent.

➧ Uit internationaal onderzoek onder 9600 respondenten

blijkt dat ondanks een toename van bijna 50 procent

van de uitgaven aan informatieveiligheid het nog steeds

slechts 3,8 procent van het totaal van het IT-budget is. Het

is een relatief kleine investering.

➧ Er gaan steeds meer data verloren als gevolg van

security-incidenten. Internationaal onderzoek laat een

toename van 16 procent zien. Data van medewerkers en

klantgegevens zijn het meest waardevol.

VERSTERKEN VAN DE SCHAK ELS IN DE INFORMATIEKETEN VERSTERKEN VAN DE SCHAK ELS IN DE INFORMATIEKETEN VERSTERKEN VAN DE SCHAK ELS IN DE INFORMATIEKETEN

➧ Meer dan 200.000 Nederlanders zijn

vorig jaar slachtoffer geworden van

identiteitsfraude via internet of betaal-

of pinautomaten. Het gaat dan om 1,5

procent van de bevolking van 15 jaar en

ouder.

➧ Uit onderzoek blijkt dat

92 procent van de data

breaches om gegevens

te stelen van buiten de

organisatie komen. Een

slecht beveiligd netwerk is

een open uitnodiging voor

alle type aanvallers.

➧ TNS NIPO concludeert in een onderzoek naar (internet- )

veiligheid onder burgers dat 71 procent te maken heeft gehad

met verschillende vormen van cybercriminaliteit. De helft

van de respondenten zegt over zichzelf matig tot helemaal

niet op de hoogte te zijn van de gevaarlijke kanten van

internetgebruik, waaronder cybercriminaliteit, virussen, spam

of het bezoeken van valse websites.

De zakelijke netwerksite LinkedIn heeft in Nederland zo’n vier miljoen leden. Die zien één site, één applica-tie. ‘Maar schijn bedriegt,’ zegt Ype van Wijk van de Rijksuniversiteit

Groningen. Hij doet promotieonderzoek naar de samenwerking in en betrouwbaarheid van de IT-ondersteunde service-economie. ‘In werkelijkheid kijk je naar het samenspel van zo’n 1200 applicaties, die zich fysiek verspreid over de wereld bevinden. Je gegevens staan dus overal en nergens, bijvoorbeeld in de cloud, in goede en slechte rekencentra, met elk hun eigen programmeer- en security-standaarden.’

Samenwerking is in, weet Van Wijk. ‘Het is wel degelijk een trend. Je ziet dat organisaties zich steeds verder specialiseren in die onderdelen waar ze goed in zijn. En dat er vervolgens wordt samen-gewerkt in collaboratieve netwerkorganisaties om

diensten of goederen bij de consument te krijgen.’ Volgens Van Wijk moet daarbij heel wat op z’n kop. ‘De interne controle-frameworks voor bijvoorbeeld de boekhouding en risicobeheersing volstaan niet meer. Je kunt je eigen beleid prima op orde hebben, maar zit je vervolgens in de cloud met allerlei figu-ren waarbij dat niet zo is, dan is je informatiebevei-liging zo veilig als de zwakste schakel.’

Dat klinkt logisch, maar Van Wijk geeft toe: ‘Zo-wel op academisch niveau als in professionele krin-gen heeft mijn werk een vrij hoog pioniersgehalte.’ Volgens Van Wijk moet je een keten als ‘één virtuele organisatie’ zien. Daarbij moet duidelijk worden gemaakt wat het gewenste niveau van veiligheid is. Partners moeten hieraan voldoen én de juiste controlesystemen hebben ingericht. Voor die eisen en systemen bestaat geen blauwdruk. ‘Het scheelt nogal of je het hebt over gegevens van een bank, de overheid of Buienradar.’

Ruggen naaR elkaaR

Voor de loonaangifteketen beschikt de overheid sinds enige tijd over een ketenmanager, een func-tionaris met een behoorlijk bestuurlijk gewicht die de samenwerking in de keten vlot moet laten lopen. Deze ketenmanager Mart Driessen werd aangesteld door de minister van Sociale Zaken en de staatsse-cretaris van Financiën om vanuit een onafhankelij-ke rol de samenwerking tussen de Belastingdienst en UWV, de uitvoerder van de werknemersverze-keringen, te bevorderen. Helemaal in het begin, in 2006 en de eerste jaren daarna, was dat nog niet echt een succes. ‘Het leek soms op schelden met de ruggen naar elkaar toe,’ weet Driessen. ‘Men wilde eigenlijk niet samenwerken en vond het heel moei-lijk dingen voor elkaar te doen waar ze zelf niets aan hadden.’

De problemen waren in het begin legio – zo moesten meer dan 100.000 werkgevers de loonaan-gifte over 2007 opnieuw doen, omdat door automa-tiseringsproblemen gegevens waren zoekgeraakt

‘Soft SkillS’ nodig voor vruchtbare ketenSamenwerking

De ouDe managementtools volDoen niet meeR

ype van wijk

‘voor de eisen en systemen

in een keten bestaat geen

blauwdruk’

i n f o R m at i e k e t e n s

18

samenwerking in ketens neemt een hoge vlucht. iCt-systemen worden op elkaar aangesloten om de dienstverlening te verbeteren. maar dat levert ook weer nieuwe problemen op. werken de organisaties wel samen? en hoe controleer je of alles goed gaat in zo’n keten? promovendus ype van wijk van de rijksuniversiteit groningen en ketenmanager mart driessen laten hun licht schijnen over informativeiligheid en ketensamenwerking.

Fo

to J

oh

an

Zw

art

pm speCial oktober 2013

– maar er zijn nooit gegevens van belastingbetalers uit de loonaangifteketen op straat beland. ‘The proof of the pudding is in the eating: in die zin was de infom-ratieveiligheid dus op orde. Bij de Belastingdienst wordt gewerkt met meerdere veiligheidsniveaus, en deze gegevens bevinden zich op het hoogste niveau. De veiligheid is bij de Belastingdienst intern be-legd, bij het UWV wordt meer met externe partners gewerkt. We laten de systemen geregeld onder vuur nemen door hackers die we daarvoor inhuren. Dat is wat ik erover kan zeggen,’ aldus Driessen.

gRoeienD begRip

Driessen heeft de ervaring dat naast al het werk van de techneuten soft skills het allerbelangrijkst zijn voor een vruchtbare ketensamenwerking. ‘Zorg dat men-sen met elkaar praten. Zo zitten we ook continu met softwareontwikkelaars en werkgevers enerzijds en met afnemers anderzijds om de tafel. Eigenlijk inte-resseert het werkgevers niet zo wat die overheid alle-maal van ze vraagt. Ze vinden het vervelend, er gaan administratieve lasten mee gepaard. Maar als ze het idee krijgen dat ze half Nederland ermee helpen, en ook hun eigen werknemers bij de aanvraag van toe-slagen en dergelijke, dan ontstaat er veelal begrip.’

In Driessens ervaring is het van groot belang dat de bestuurders van de organisaties daarin mee-gaan. ‘Dan kijk ik met name weer even naar de pe-riode waarin het verkeerd ging: toen was er geen wil om samen te werken. Maar in de tweewekelijkse vergaderingen van de hoogste bestuurders is dat omgeslagen. Inmiddels zit men er bijvoorbeeld mee als de ander op een vervelende manier in het nieuws komt. In het begin werd daarom gegniffeld.’

De samenwerking vergt ook op juridisch niveau veel. Vooral de Wet bescherming persoonsgege-vens – privacy dus – vraagt veel aandacht. Driessen: ‘Volgens de wet mag je gegevens niet zomaar overal voor gebruiken. We moeten dus goed uitzoeken en bijhouden voor welke doeleinden we gegevens inzetten. Soms mag informatie niet uitgewisseld worden. Zo zijn er gegevens van de Belastingdienst die het UWV graag wil hebben in verband met de bestrijding van uitkeringsfraude. Dat moet dan wel apart wettelijk worden geregeld.’

afschuDDen

'Wat veiligheid betreft hoeven we niet allemaal het hoogste niveau te hebben,' benadrukt Van Wijk. ‘Denk vooral goed na,’ zegt hij. ‘Een klassieker is het verhaal van de London Stock Exchange, die een sys-teem liet maken om de aandelenkoersen met meer dan een kwartier vertraging openbaar te maken. Er werd gigantisch in de beveiliging van de gegevens geïnvesteerd – onnodig, want het ging dus om in-formatie die op dat moment niet meer afgeschermd hoefde te worden.’ Anderzijds, zegt hij: ‘Ga ook niet zomaar gegevens in de cloud zetten, omdat je denkt “dat is modern”.’ Van Wijk adviseert: ‘Wees je bewust van de risico’s die met ketensamenwerking

gepaard gaan. Weet wat je wilt, weet wat je vraagt, als voorwaarde om te kunnen functioneren binnen de keten, en weet hoe risico’s en controles beheerst worden.’ Daarvoor zijn nieuwe managementtools nodig, zegt hij, die draaien om governance (het be-stuur) en assurance (kwaliteitsborging en verzeke-ring) van de keten. ‘De maatschappelijke belangen zijn te groot om te ontkennen en deze links te laten liggen. We moeten de tools van de vorige eeuw en het hokjesdeken van ons afschudden.’

Zijn grote organisaties misschien betrouw-baardere ketenpartners omdat ze hun veiligheid doorgaans beter op orde hebben? Kleine gemeen-ten waren bijvoorbeeld al vaak slachtoffer van hacks. ‘De Rabobank is ook met grote regelmaat aan de beurt,’ brengt Van Wijk tegen die theorie in. ‘Hoe groter, hoe spannender je soms ook weer bent voor aanvallers. Het Pentagon is geloof ik re-cordhouder met meer dan 250.000 hack-pogingen per uur.’ • Rs

19

De ouDe managementtools volDoen niet meeR

mart driessen

‘men zit ermee als de ander op

een vervelende manier in het

nieuws komt’

Fo

to i

ct

u

pm speCial oktober 2013

2220


Even de mail checken via de hotspot ‘VGSCongres’. Moet kunnen, dachten zo’n zeventig bezoekers van het jaarlijkse congres van de

Vereniging voor Gemeentesecretaris-sen (VGS) in september. ‘De deelnemers schrokken toen we ter plekke tijdens een live demonstratie lieten zien hoe gemak-kelijk het is persoonlijke gegevens te achterhalen,’ vertelt Maarten Schurink. ‘Die informatie werd via een onbevei-ligde wifi -verbinding verstuurd.’ De Utrechtse gemeentesecretaris hoopt dat de actie als eye-opener heeft gewerkt. Een grotere bewustwording van infor-matieveiligheid is volgens hem noodza-kelijk, op alle niveaus van de gemeente-lijke organisatie, benadrukt Schurink. ‘Daarom laten we ook onze medewerkers heel concreet zien wat er kan gebeuren als je onveilig met informatie omgaat.’

Kaj Siekman, chief information se-curity offi cer (CISO) bij de gemeente, bevestigt dat. Hij is in september gestart

met een bewustwordingsprogramma. De dagelijkse praktijk staat daarbij cen-traal. ‘De focus ligt niet zozeer op de apparaten zelf, maar op de vertaalslag naar de werksituatie. Het uitgangspunt vormt de dienstverlening die we de ge-bruikers aanbieden. Die moet veilig zijn,’ aldus Siekman. ‘Dat geldt bijvoor-

beeld voor de digitale werkplek die vanaf de tablet beschikbaar is.’ Gebruiksvrien-delijkheid is de leidraad. ‘Als maatrege-len niet makkelijk toe te passen zijn, gaan ambtenaren “eromheen werken” en ben je verder van huis,’ zegt Siekman. ‘De populariteit van bring your own de-vice maakt dat besef van informatievei-ligheid nóg belangrijker is geworden.’

De afgelopen maanden is Siekman druk bezig geweest met het maken van plannen en een risicoanalyse. ‘Het is niet nieuw, maar we maken nu een volgende stap in volwassenheid.’ Belangrijk on-derdeel is de implementatie van de Base-line Informatiebeveiliging Nederlandse Gemeenten (BIG). ‘We verwachten dat deze voor het eind van het jaar door het college van B&W wordt vastgesteld,’ zegt Siekman. ‘Vervolgens kunnen we jaarlijks aan de hand van de BIG laten zien wat de stand van zaken is. Zo kun-nen we een cyclus voor informatievei-ligheid op gang brengen. Dit maakt het mogelijk te sturen op informatiebevei-liging. Idealiter zou je moeten kunnen “plussen en minnen” waar het nodig is.’

De gemeente Utrecht hanteert in lijn

van de baseline drie veiligheidsniveaus – basis, middel en hoog – en heeft daarbij keuze uit 133 maatregelen, legt Siekman uit. ‘De maatregelen zijn toegespitst op het soort informatie. Denk bijvoorbeeld aan het versleuteld versturen van infor-matie als deze uiterst privacygevoelig is.’ Het doel van de CISO is ‘om het zo eenvoudig mogelijk te houden’. Onlangs hield hij nog een presentatie voor de vijftien informatiemanagers van de ge-meente. Siekman: ‘Iedere medewerker zou moeten begrijpen welke maatregel

je bij welke informatie moet toepassen.’'De DigiNotar-kwestie heeft de zaken

op scherp gezet,' aldus Schurink. ‘Infor-matieveiligheid stond al op de agenda, maar we hebben een tandje bijgezet. We zijn alerter op wat er kán gebeuren. Er is nu meer concernsturing.’ Daarnaast werkt de Informatiebeveiligingsdienst voor gemeenten (IBD) nauwer samen met het Nationaal Cyber Security Cen-trum. ‘We hebben concretere afspraken gemaakt over onderlinge bijstand en hulp,’ aldus de gemeentesecretaris. Ook de overgang naar het nieuwe stadskan-toor – gepland voor het najaar van 2014 – speelt hierbij een rol. ‘We zijn in oktober begonnen met de eerste stappen naar een nieuwe ICT-infrastructuur in het kader van de verhuizing naar deze locatie. Bij de uitrol hiervan willen we ook een slag slaan op het gebied van beveiliging,’ zegt Schurink. Wederom staat bewustwording hierbij centraal. Schurink: ‘We moeten de naïviteit voorbij. Je kunt de beste fi rewalls hebben, maar met de huidige middelen van communicatie zijn er steeds meer achterdeurtjes waardoor het systeem van de gemeente kan worden bereikt.’ • RW


Hoe breng je als gemeente je informatieveiligheid op orde? Bewuste medewerkers zijn de sleutel tot succes, aldus de Utrechtse gemeentesecretaris Maarten Schurink en chief information security offi cer Kaj Siekman. ‘We moeten de naïviteit voorbij.’

DRIE VEILIGHEIDSNIVEAUS EN 133 MAATREGELEN

‘NA DIGINOTAR HEBBEN WE EEN TANDJE BIJGEZET’

MET DE HUIDIGE MIDDELEN VAN COMMUNICATIE

ZIJN ER STEEDS MEER ACHTERDEURTJES

Fo

to A

ren

da O

om

en

Maarten Schurink (links) en Kaj Siekman

PM SPECIAL oktober 2013 21

c o l u m n

Wat zijn de gevolgen als er wordt ingebroken in systemen op de meldkamer? Wat als 112 lang-durig onbereikbaar is omdat de telefooncentrale wordt

verstoord? En als het Landelijk Crisismanagement-systeem LCMS niet meer werkt, omdat het internet ontoegankelijk is door een cyberaanval? Het zijn si-tuaties die rampzalige gevolgen kunnen hebben in de veiligheidsregio.

De veiligheidsregio’s bundelen hun krachten. Brandweer, politie, geneeskundige diensten en de gemeenten werken samen aan het verbeteren van de rampenbestrijding en crisisbeheersing in iedere re-gio, waarbij ook belangrijke partners worden betrok-ken. Hierbij maken veiligheidsregio’s in toenemende mate gebruik van landelijke ICT-voorzieningen. Die worden deels in de cloud aangeboden en maken flexibel gebruik mogelijk, waarbij het beheer effici-ent en kosteneffectief kan worden uitgevoerd. Deze centralisatie van voorzieningen bergt ook gevaar in zich. Een goed geplaatste cyberaanval kan meteen gevolgen hebben voor de dienstverlening in alle vei-ligheidsregio’s. Daarnaast kunnen de gevolgen van al dan niet bewust misbruik van toegangsgegevens groot zijn.

Een veiligheidsregio is voor haar dagelijkse bedrijfsvoering steeds meer afhankelijk van voor-zieningen als elektriciteit of vaste en mobiele tele-fonie. Maar voor goede uitoefening van haar taken is tegenwoordig ook vereist dat ondersteunende ICT-systemen zoals het geïntegreerd meldkamer-systeem GMS en LCMS, goed blijven functioneren.

Nu hoort het tot de kerntaak van een veiligheids-regio om voorbereid te zijn op onvoorzienbare en soms onwaarschijnlijke incidenten. Juist tijdens cri-ses waar allerlei functies kunnen uitvallen, moeten veiligheidsregio’s als crisisorganisatie kunnen blijven doorfunctioneren. In navolging van de rijksoverheid zijn de veiligheidsregio’s daarom zogenaamde conti-nuïteitsplannen aan het opstellen. De veiligheidsre-gio’s Twente en Zuid-Limburg nemen hierin enthou-siast het voortouw. De plannen beschrijven hoe kan worden voorzien in de continuering van de bedrijfs-voering wanneer een veiligheidsregio te maken krijgt met uitval van elektriciteit of ICT. In deze plannen dient echter ook nadrukkelijk aandacht te worden be-steed aan cyber security of informatieveiligheid.

Doordat veiligheidsregio’s veelal gebruik maken van di-gitale informatie uit andere organisaties is het onderwerp informatiebeveiliging bij uit-stek een netwerkvraagstuk. De aanpak hiervan kunnen we als veiligheidsregio’s dan ook het beste gezamenlijk uitvoeren, zodat met andere (landelijke) partijen ook gezamenlijk af-spraken kunnen worden ge-maakt. Laten we daarbij van elkaar leren bij het voorkomen en bestrijden van cyberinci-denten.

Door goede technische maatregelen te treffen, kun-nen DDoS-aanvallen worden afgeslagen en kunnen ervaren hackers niet binnendringen in de systemen van de veilig-heidsregio’s. Dit heeft echter nauwelijks effect als het beveiligingsbewustzijn in de veiligheidsregio’s zelf te laag is. Het beveiligen van informatie tegen aanvallen van buitenaf dient dan ook gelijke tred te houden met de informatiebe-veiliging binnen de veiligheidsregio zelf.

Slordig omgaan met inlognamen en wachtwoor-den, verspreiden van informatie via privémail of USB-sticks, printen van gevoelige documenten op onbeheerde printers. Het zijn enkele voorbeelden uit de dagelijkse praktijk die duiden op onvoldoende bewustzijn van het werken met gevoelige informatie.

De veiligheidsregio’s dienen kortom – in ge-zamenlijkheid – adequate maatregelen te treffen, waarbij naast het invoeren van technische maatrege-len vooral ook aandacht nodig is voor het verhogen van het bewustzijn van de betrokken medewerkers inzake informatieveiligheid. Ik nodig mijn collega-bestuurders in de veiligheidsregio’s uit om deze handschoen op te pakken en hiermee aan de slag te gaan. Informatieveiligheid moet een zaak van ieder-een binnen de veiligheidsregio worden.

Henri Lenferink is burgemeester van Leiden en portefeuille-houder informatievoorziening in het Veiligheidsberaad.

vEILIghEIdSrEgIo'S

bundELEn

hun krAChtEn

een cyberaanval kan meteen gevolgen hebben in alle veiligheidsregio’s

menselijke factor is het grootste veiligheidsrisico

Fo

to h

ielc

o k

uip

er

Burgemeester Henri Lenferink

Er is altijd veel commotie als een werknemer een USB-stick met vertrouwelijke gegevens laat slingeren. Vandaag de dag wordt een

groot aantal apparaten naast elkaar ge-bruikt: laptop, smartphone, tablet en pc. Zo’n tablet is in feite een grote USB-stick. Ook even de vakantiefoto’s van de zakelijke Blackberry downloaden op de thuiscomputer is niet zonder risico’s als diezelfde computer een poort naar in-ternet en verouderde software heeft. En er zijn steeds meer ambtenaren die voor hun werk eigen apparatuur gebruiken (in jargon: Bring Your Own Device, BYOD). Met de huidige bedreigingen die via in-ternet op de loer liggen, is dat riskant.

Het is van belang ambtenaren erop te wijzen dat ze verantwoord omgaan met de middelen die ze tot hun be-schikking krijgen en dat ze zich bewust

moeten zijn van de gevaren die in de online wereld op de loer liggen, meent rijks-CIO Maarten Hillenaar. Voor de gebruikers van eigen apparaten mogen die eisen zelfs iets hoger liggen. Om een voorbeeld te noemen: ‘Bij phishing zie je dat er altijd wel medewerkers zijn die tóch op zo’n mailtje ingaan, doorklikken en zo kwaadaardige software (malware) binnen halen. Bij onze eigen rijks-ma-naged devices is zoiets veel lastiger, want

die malware wordt direct geweigerd. We zijn niet tegen het gebruik van eigen ap-paratuur en we zijn voor thuiswerken, maar medewerkers moeten goed weten wat ze doen, wanneer ze bijvoorbeeld een app of andere software installeren.’

Handvat

Het ICT-beleid van de rijksoverheid heeft volgens de CIO Rijk veel aandacht voor ‘iBewustzijn’. In de eind 2011 door de ministerraad vastgestelde i-strategie is een van de zeven thema’s gewijd aan informatiebeveiliging. ‘We kijken in-derdaad vooral naar de techniek, maar

het digibewustzijn wordt niet vergeten. In de i-strategie stellen we nadrukkelijk dat een ambtenaar zich meer dan ooit bewust moet zijn van de risico’s van het gebruik van digitale middelen. Wij zet-ten de techniek zo goed mogelijk in om apparaten en gegevens te beveiligen, maar we verwachten tegelijkertijd dat iedereen ook verstand heeft van een vei-lig gebruik daarvan.’

In de Baseline Informatiebeveiliging Rijk (BIR), het eind vorig jaar opgestelde uni-

Volop initiatieVen om Veiligheidsbewustzijn te Vergroten

GevraaGd: iBewuste amBtenaar

‘iBewustzijn mag

in elk functieprofiel’

F o c u s

22

techniek alleen is onvoldoende. in de online wereld waarin gebruikers 24/7 toegang tot gegevens hebben, lopen systemen permanent risico. Veel incidenten zijn toe te schrijven aan menselijke fouten. Bewustzijn van informatieveiligheid bij gebruikers is dan ook onmisbaar. rijks-cio maarten Hillenaar en josé lazeroms, lid van de raad van Bestuur van het uwV, beschrijven hoe zij ‘iBewuste’ medewerkers creëren.

Fo

to u

wv

josé lazeroms

pm special oktober 2013

forme normenkader voor alle rijksdien-sten, komen we het woord ‘bewustzijn’ slechts tweemaal tegen. ‘Misschien had dat iets vaker gemogen, maar vreemd is het niet,’ zegt Hillenaar. ‘De BIR is meer technisch ingestoken. We hebben de na-tionale en internationale normen voor informatiebeveiliging, waaronder de ISO 27001, vertaald naar de rijksdienst. Volgend jaar vinden er audits plaats, dat is belangrijk om de voortgang te peilen.’

Handvat

Hillenaar constateert dat de rijksambte-naar zich steeds bewuster wordt van het belang van informatieveiligheid. ‘We doen daar veel aan. Op het DigiVent in november, dat we samen met de Task-force BID organiseren, staat iBewust gedrag breed op het programma. We hebben een e-learning module ontwik-keld waarmee medewerkers zich kun-nen trainen in iBewust worden: van het beveiligen van de flexwerkplek en het opslaan van gegevens op mobiele ap-paraten tot het zich bewust worden van digitale dreigingen als phishing en mal-ware. Dat gaat juist over gedrag en niet over technologie.’

Van Hillenaar mag de eis van iBe-wustzijn in het functieprofiel van iedere ambtenaar staan. ‘Bij het afleggen van de eed belooft een ambtenaar verantwoord met papieren gegevens om te zullen gaan. Ik vind dat voor die belofte van-daag de dag automatisch de doorverta-ling geldt naar de digitale wereld.’

uwv

Bij het UWV is het mobiele werken nog geen gemeengoed, bewust vanwege de veiligheid. José Lazeroms, lid van de Raad van Bestuur met digitalisering in haar portefeuille, laat de kekke tablet met klein formaat toetsenbord op haar tafel zien, maar die draait mee in een proef in een superbeveiligde omgeving die alleen apps van de eigen UWV-store toelaat. ‘Tot nu toe hebben onze mede-werkers alleen op kantoor toegang tot de backoffice-systemen met de klantgege-vens. Ook worden er geen dossiers mee naar huis genomen,’ vertelt ze.

Dat weerhoudt de uitkeringsinstan-tie er niet van om in recordtempo van in-ternet haar hoofdcommunicatiekanaal te maken. Zo schrijft ruim negentig pro-cent van de WW’ers zich digitaal in. Het vervolg van de dienstverlening is even-eens volledig gedigitaliseerd. ‘Ondanks

de toename van het aantal klanten als gevolg van de crisis neemt het telefoon-verkeer relatief gezien af. Bellers willen vooral weten waar hun uitkering blijft. De status daarvan kunnen ze voortaan op onze site met hun DigiD bijhouden.’ Het snel doorontwikkelen naar online

dienstverlening wordt overigens inge-geven door de Haagse bezuinigingsdrift van 500 miljoen euro op het UWV-bud-get. In 2015 moet het aantal vestigingen van het UWV Werkbedrijf zijn terugge-snoeid naar dertig. ‘Daarmee wordt het aantal face-to-face contacten aanzienlijk beperkt,’ zegt Lazeroms.

wasstraat

Cyberveiligheid is daarmee van het al-lerhoogste belang voor het UWV. Over de technische beveiliging kan Lazeroms niet te veel uitweiden. Wel spreekt ze trots over de ‘wasstraat’ die DDoS-aan-vallen wegfiltert die vanaf besmette pc’s met een overkill aan dataverkeer com-puternetwerken lam kunnen leggen. ‘Bij leveranciers dringen we aan op veilige software. Het komt nog wel eens voor dat nieuwe versies toch weer al eerder aan licht gebrachte lekken bevatten. Dat kan dus niet.’

De aandacht voor veiligheid heeft een impuls gekregen met de oprichting van het Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. Met de drie collega-uitvoeringsorgani-saties DUO, Belastingdienst en SVB en een reeks partners uit overheidsland worden kennis en ervaringen uitgewis-seld. ‘Het kennisniveau van informatie-

veiligheid wisselt sterk. We kunnen veel van elkaar leren.’

Een van die lessen vormen de posi-tieve verhalen die Lazeroms hoorde over het awareness-programma van CIP-deel-nemer RDW. ‘We willen dit voorbeeld volgen wanneer we nog eind van dit

jaar een eigen bewustzijnsprogramma starten. Je kunt wel van allerlei ICT-be-veiliging inbouwen, maar veiligheid zit toch vooral in het gedrag van mensen zelf.’ Volgens Lazeroms is de gemiddelde UWV-medewerker zich onvoldoende bewust van de gevaren van internet. ‘Ik ben daar niet tevreden over.’ Het UWV organiseerde in het najaar van 2011 al een awareness-programma. Voor deze keer dringt Lazeroms erop aan dat het ICT-bedrijf samen met de servicegerichte af-delingen een goed programma opstelt. ‘Ik hoef het management niet te vertel-len hoe belangrijk het is dat klantgege-vens veilig zijn, dat is zonneklaar.

De medewerker die in aanraking komt met de klant, wordt echter in de verleiding gebracht om daar anders mee om te gaan. Er wordt regelmatig gecom-municeerd per e-mail. Daarin schuilt een risico, denk aan gevoelige gegevens als medische informatie. Maar ik kan moeilijk het e-mailverkeer afsluiten. Bij online dienstverlening hoort dat je het de klant zo makkelijk mogelijk maakt. Onze medewerkers zijn dienstgericht. Alleen het evenwicht tussen dienstbaar-heid en veiligheid is wankel.’ Als het aan Lazeroms ligt, gaan alle 19 duizend me-dewerkers van het UWV het awareness-programma volgen. • PvdB

‘Het eVenwicHt tussen dienstBaarHeid

en VeiligHeid is wankel’

23

GevraaGd: iBewuste amBtenaar

Fo

to B

ZK

rijks-Cio maarten hillenaar

pm special oktober 2013


c o l u m n

Bureau Jeugdzorg Amsterdam heeft als missie de veiligheid van kinderen te ga-randeren. ‘Ieder kind blijvend veilig’ is dan ook onze leus. Maar hoe veilig is het kind als het kinddossier niet veilig is?

Dit is een vraag waar bestuurders zich druk over moeten maken. De jeugdzorg werkt immers met zeer vertrouwelijke gegevens over de situatie binnen gezinnen. Gelukkig geeft de wetgeving dui-delijke kaders aan met wie we informatie over de gezinnen mogen delen en hoe dat dan in zijn werk gaat. Maar hoe gaan we om met de dossiers bij de transitie Jeugdzorg, de lopende overheveling van de hele jeugdzorg naar gemeenten, waarbij gelijktijdig een inhoudelijke vernieuwing moet plaatsvinden? En wat betekent samenwerking in de keten straks voor de toegang tot vertrouwelijke informatie over gezinnen?

Binnen de transitie Jeugdzorg is de informa-tiehuishouding nog een onontgonnen gebied. Er wordt gesproken van de overdracht van jeugdzorg-dossiers naar de gemeenten. Maar welke gegevens bedoelen we hiermee? Gaat het om het complete dossier met alle gevoelige informatie? Gaat het om zowel de afgesloten dossiers als de lopende dos-siers? Er ligt nog geen plan hoe dit proces op een veilige wijze kan gaan plaatsvinden, terwijl het in 2015 vol-tooid moet zijn – en dat is al zeer snel!

Daarbij is er nog geen beveiligde portal waar gegevens over gezinnen op een veilige wijze gedeeld kunnen worden tussen de organisaties die samenwerken voor het gezin. De organisaties zijn weliswaar ketenpartners van elkaar, maar ze wer-ken nog allemaal in hun eigen systeem en bewaren ieder voor zich de gegevens over het gezin. Het de-len van kennis en gegevens gebeurt gelukkig wel via een beveiligd netwerk, maar één portal voor profes-sionals en voor cliënten maakt het voor de cliënten en de professionals een stuk overzichtelijker.

Sinds dit jaar bouwen de Bureaus Jeugdzorg ge-zamenlijk aan een nieuw informatiesysteem voor de jeugdzorgprofessional. In de planning is ook een portal voor cliënten opgenomen. Onze wens is

dat gemeenten en ketenpartners zich aansluiten bij dit systeem, waardoor gegevens over de gezin-nen slechts eenmalig opgeslagen worden en boven-dien veilig gedeeld kunnen worden. Prettig voor de cliënt en kostenbesparend voor de maatschappij!

Door kennis te delen kunnen we betere zorg bieden. De gemeente kent de gezinnen als er sprake is van contacten met de sociale dienst, overlast op straat of leerplichtproblemen. Een gezinsmanager

van Bureau Jeugdzorg kent het gezin van binnenuit en weet waar de problemen liggen, en maakt met het gezin een plan van aanpak. Dit plan en bijbehorende vertrou-welijke, privacyge-

voelige gegevens worden in de systemen van Bureau Jeugdzorg opgeslagen. Natuurlijk zorgt Bureau Jeugdzorg goed voor deze gegevens. De regels van de Archiefwet gelden ook voor Bureau Jeugdzorg. En met fysieke beveiliging en afgeschermde syste-men zijn de gegevens veilig bij Bureau Jeugdzorg.

Zorg voor de veiligheid van kinderen betekent dus ook zorgen voor de veiligheid van de gegevens van de kinderen… Dat is een thema waar bestuur-ders van gemeenten en de jeugdzorg zich meer mee moeten bezighouden, nu en in de toekomst.

Erik Gerritsen is bestuurder van Bureau Jeugdzorg Agglomeratie Amsterdam.

erik Gerritsen

Kind én Kinddossier blijvend veilig

ZORG VOOR KINDEREN BETEKENT

DUS OOK ZORGEN VOOR DE

VEILIGhEID VAN hUN GEGEVENS

Erik Gerritsen

22 25


Betrouwbare gegevens zijn voor de Belastingdienst van het hoogste belang. De or-ganisatie investeert al jaren zwaar in informatiebevei-

liging. De dienst was een van de foun-ding fathers van DigiD en is nu weer nauw betrokken bij de ontwikkeling van het stelsel rond de elektronische identiteitskaart eID. Security experts van de uitvoeringsorganisatie zitten 24-7 patronen te analyseren, de top 150 van de Belastingdienst werd geschoold en getraind in sturen op informatievei-ligheid en sinds enige tijd is er ook een Security Operations Center (SOC), een soort interne brandweer die uitrukt bij bedreigingen van de informatiesyste-men. ‘We moeten wel, onze activiteiten zijn volkomen afhankelijk van de infor-matievoorziening en de veiligheid daar-van. Je kunt nou eenmaal geen belas-tingaangifte controleren zonder goede gegevens,’ reageert algemeen directeur Hans Blokpoel van de Belastingdienst. Het zijn volgens Blokpoel niet de hack-incidenten die het enige en groot-ste risico voor de informatieveiligheid vormen. ‘Daarnaast zijn er nog honderd andere risico’s waar je rekening mee moet houden en die misschien nog wel een grotere dreiging vormen,’ waar-schuwt hij. Neem het risico voor de con-tinuïteit van de gegevensstromen door een wetswijziging. 'Dat heeft een enor-me impact op de informatiestromen en werkprocessen, die je allemaal opnieuw moet inregelen,’ aldus Blokpoel. Soft-ware-leveranciers voor administraties van belastingplichtigen moeten mis-schien hun pakketten aanpassen, die ook nog getest moeten worden en beke-ken op onderlinge consistentie, vertelt hij. ‘Daarin zit een enorm risico, maar je kunt natuurlijk niet zeggen dat er geen wetswijzigingen meer mogen komen. Je kunt je er wel goed op voorbereiden.’Het is een misvatting te denken dat in-formatiebeveiliging betekent ‘je goed

voorbereiden op hackers’, aldus Blok-poel. ‘Natuurlijk, je moet je organisatie beveiligen tegen externe dreigingen: dankzij de extra fi ltercapaciteit die we hebben ingezet, hebben we er misschien een half uurtje uitgelegen door de DDoS-aanvallen deze zomer.’

VAKMANSCHAP

Alertheid op informatieveiligheid was bij de Belastingdienst altijd al onderdeel van de kernprocessen. Blokpoel: ‘Ook met papier is de vaststelling van de au-thenticiteit van een document in een ad-ministratie iets wat veel expertise vergt. En als wij informatie van een belasting-plichtige hadden in een fysiek dossier, moest je je zorgen maken over het kwijt-raken van dat dossier bij bijvoorbeeld brand of verlies. Zo konden gegevens verloren gaan, of dreigde de privacy van belastingplichtigen geschaad te wor-den. In het digitale tijdperk gaat het om dezelfde zorgen maar zijn er hackers en DDoS-aanvallen, back-ups die verlo-ren kunnen raken, het uitvallen van de stroom of een fout in een programma. De bedreigingen zijn anders, maar de taak is eigenlijk hetzelfde gebleven.’ De Belastingdienst heeft te maken met grote gegevensstromen en een complexe logistiek. ‘Zonder correcte gegevens we-ten we bijvoorbeeld niet wat er omgaat in de Rotterdamse haven of Schiphol,’ legt Blokpoel uit. ‘Onze organisatie is volkomen afhankelijk van massale gege-vensstromen en het bedrijfsleven is weer afhankelijk van ons. Vandaar dat een zorgvuldige omgang met informatie on-

derdeel van het vakmanschap moet zijn.’ Was informatieveiligheid bij de Belas-tingdienst voorheen vooral het werk van experts, nu is het volgens Blokpoel tot in de haarvaten van de organisatie doorge-drongen. Informatieveiligheid gaat vol-gens hem vooral om ‘vooruitdenken’ en ‘voorkomen’. Blokpoel: ‘Als we iets moe-ten gaan herstellen, zijn we eigenlijk te laat. Je moet de calamiteit vóór proberen te zijn.’ Dat iedereen nu bijvoorbeeld met een smartphone loopt, hadden we vijftien jaar geleden niet kunnen voor-zien, benadrukt Blokpoel. ‘Je moet je blijven aanpassen aan nieuwe risico’s, technieken en toepassingen om opge-wassen te zijn tegen de ratrace tussen beveiligers en bedreigingen. Zoiets kun je niet alleen aan de experts overlaten, maar het vraagt ook voortdurende be-trokkenheid van bestuurders.’ • CvdW


Hackers zijn niet de grootste bedreiging voor de informatieveiligheid van een overheidsorganisatie, je hebt nog honderd andere risico’s te managen, zegt Hans Blokpoel, algemeen directeur van de Belastingdienst. Zijn organisatie zet al jaren zwaar in op informatiebeveiliging. ‘Dankzij goede voorbereidingen lagen we er misschien een half uurtje uit door DDoS-aanvallen.’

VOORUITDENKEN ZIT BIJ BELASTINGDIENST IN DE KERNPROCESSEN

‘HACKERS ZIJN NIET HET GROOTSTE RISICO’

Fo

to M

inis

teri

e v

an

Fin

an

cië

n

Hans Blokpoel

De Drechtsteden is een samenwer-kingsverband van de gemeenten Dordrecht, Zwijndrecht, Sliedrecht, Papendrecht, Alblasserdam en Hen-drik-Ido-Ambacht. Samen hebben

ze 267 duizend inwoners. Op een scala aan beleid-sterreinen trekken de zes gemeenten samen op, van bedrijventerreinen, woningbouw en infrastructuur tot het beschermen van het milieu. In totaal wer-ken zo’n 3300 medewerkers samen aan de regio. De bedrijfsvoering is in een shared-service centrum ondergebracht, wat jaarlijks een besparing ople-vert. De integratie van ICT-systemen stelde de deel-nemers in staat oude apparatuur en applicaties en ook beveiligingslekken te elimineren. Hun bedrijfs-processen stemden ze op elkaar af en nieuwe initi-atieven, zoals de Gemeentelijke basisadministratie persoonsgegegevens (GBA), pakten ze regionaal op. Gewerkt wordt aan verdere consolidatie van ICT-systemen, zoals de GBA’s van de zes gemeenten, wat naast kostenbesparing tevens de dienstverlening vanuit één Drechtstedelijk Klant Contact Centrum mogelijk maakt. Doordat gemeenten nu op elkaar terug kunnen vallen, is ook de continuïteit van de diensten beter geborgd.

De samenwerking is op de Gemeenschappelijke Regeling Drechtsteden (GRD) gebaseerd. In de be-treffende tekst wordt het onderwerp automatisering expliciet genoemd. ‘De beveiliging van de systemen, de “harde” ICT, kunnen we dan ook prima vanuit het samenwerkingsverband aansturen,’ legt chief information officer (CIO) Ronald Mons uit. ‘Zoiets is ook technisch relatief makkelijk te realiseren, van de identiteits- en toegangscontrole tot de computers en firewalls.’ De informatiebeveiliging, niet expliciet beschreven in de tekst van de GRD, laat zich minder gemakkelijk organiseren. Wettelijk gezien zijn de

deelnemende gemeenten zelf voor de beveiliging van hun gegevens verantwoordelijk. De ICT-syste-men die gegevens bevatten, zoals de GBA en de BAG (Basisregistraties adressen en gebouwen), zijn met veiligheidsregels en -procedures omlijnd, waar de gemeenten elk apart regelmatig op worden geaudit. ‘Met deze wettelijke beperkingen worden we continu geconfronteerd. Met onze samenwerking lopen we tegen de grenzen van het Huis van Thorbecke aan, wat ons tevens verhindert een onderwerp als infor-matiebeveiliging goed te beleggen. Consolidatie van de GBA’s in één database is bijvoorbeeld wettelijk niet mogelijk en als we de backoffices zouden sa-menvoegen en de processen en systemen van de zes gemeenten zouden uniformeren, dan nog ondergaat elke gemeente apart een audit.’

Mons ziet wel bij gemeenten steeds meer het inzicht ontstaan dat de regie over informatieveilig-heid beter op het niveau van het samenwerkings-verband kan liggen. ‘De rol van ICT wordt steeds groter. De belangrijkste vernieuwing verwachten we met ICT te bereiken. Daarmee wordt ook de noodzaak om gegevens te beveiligen door de deel-nemende gemeenten breed onderkend. Zo hebben we ondanks de bezuinigingen ruimte gekregen voor een security-officer, die het onderwerp infor-matiebeveiliging alvast gaat invullen en regie gaat voeren op dit thema, ook al blijft de formele verant-woordelijkheid op lokaal niveau.’ De inhoud moet leidend zijn, niet de hiërarchie, meent Mons. ‘Van belang is dat we hier knopen door kunnen hakken. Afspraken over de “harde” ICT kunnen we afdwin-gen, maar formeel hebben we niets te zeggen over de wijze waarop gemeenten met hun gegevens om-gaan, dus ook niet over de beveiliging ervan. We zetten nu voorzichtige stappen dat te veranderen. Tot die tijd kunnen we gemeenten niets verplich-ten, maar wel verleiden. We zagen bijvoorbeeld dat sommige gemeenten hun digitale vergaderstukken opsloegen met Dropbox. Dat is gemakkelijk, maar druist in tegen de privacywetgeving, die verbiedt datanetwerken te gebruiken die niet onder Neder-landse jurisdictie vallen. We bieden deze gemeen-ten daarom als proef een vergader-app aan die met-een alle bestuurlijke stukken voor de betreffende

InformatIeveIlIgheId bInnen ICt-samenwerkIngsverbanden

De inhouD moet leiDenD zijn, niet De hiërarchie

F o c u s

26

Hoe regel je een onderwerp als informatieveiligheid binnen een gemeenschappelijke beheerorganisatie, als de eigenaren daar zelf voor verantwoordelijk zijn? Directeur Michelle Fransen van GBO Provincies en CIO Ronald Mons van de Drechtsteden schetsen hun dilemma’s en hun oplossingen. ‘We kunnen niets verplichten, wel verleiden.’


vergadering beschikbaar stelt, maar ze wel in ons eigen systeem laat staan. Zelfs de grote criticasters zijn op de app overgegaan.’

Provincies

Op het IPO-kantoor in Den Haag beschrijft direc-teur Michelle Fransen van GBO Provincies (de ge-meenschappelijke beheerorganisatie) eenzelfde spanningsveld. De organisatie (12,5 fte) verzorgt sinds 2008 een groot aantal kernapplicaties voor de twaalf provincies, met name op het gebied van geo-informatie. Zoals het Landelijk Grondwater Register dat integraal voor zowel provincies als waterschappen de vergunningverlening van water-heffingen bevat. In totaal gaat het om een tiental keteninformatiesystemen, wat wil zeggen dat ze niet alleen door provincies, maar ook door rijks-overheid, waterschappen en gemeenten worden gebruikt. De functioneel beheerders van deze ap-plicaties werken op detacheringsbasis voor GBO Provincies, naast hun reguliere werk voor de pro-vincie waar ze in dienst zijn. Negentig procent van de applicaties die GBO Provincies in beheer heeft, worden door alle provincies gebruikt. Ook bij deze systemen spelen wettelijke aspecten mee. ‘Bij de dienst e-formulieren, waarmee burgers en bedrij-ven provinciale vergunningen aanvragen, moeten we bijvoorbeeld met de Wet bescherming persoons-gegevens rekening houden,’ zegt Fransen.

‘De provincies zijn autonoom. Wat ook wil zeg-gen dat ze zelf het niveau van beveiligingsmaatre-gelen bepalen en zelf verantwoordelijk zijn voor de informatiebeveiliging. Wat bovendien meespeelt,’ aldus Fransen, ‘is dat de provincies elk een verschil-lend niveau van volwassenheid kennen als het om ICT gaat. De ene provincie is verder dan de andere, wat met name samenhangt met de beschikbaarheid van middelen en mankracht.’ Fransen hoopt in 2014 een monitoringfunctie in te kunnen richten, wan-

neer GBO Provincies in één grote uitvoeringsorga-nisatie opgaat.

Het ‘verleiderschap’ van GBO Provincies ligt volgens Fransen in het gereedschap van de A&K-analyse, oftewel de Afhankelijkheids- en Kwetsbaar-heidsanalyse. Fransen: ‘Voordat we een applicatie in beheer nemen, stellen we een aantal acceptatiecrite-

ria op. Gebruikers willen vaak een applicatie die 24/7 in de lucht is. Met de A&K-analyse brengen we een advies uit over wat het beveiligingsniveau van zo’n applicatie zou moeten zijn. Zo’n advies wordt altijd overgenomen. Provincies laten zich graag adviseren over de beveiligingseisen. Wij zijn op dat vlak des-kundig, de beleidsafdelingen bij de provincie logi-scherwijs niet. Het is niet hun core business.’

De provincies kennen hun eigen Interprovinci-ale Baseline Informatiebeveiliging, een dynamisch document dat sinds 2010 de normen stelt voor een adequate beveiliging van gegevens. De informa-tiebeveiligers bij de twaalf provincies, verenigd in het Centraal Informatiebeveiligingsoverleg (CIBO), richten zich op het bijhouden van dit normenkader. GBO Provincies neemt deel aan dit overleg. De pro-vincies zorgen voor het toewijzen van capaciteit en middelen die het CIBO nodig heeft om de baseline actueel te houden. ‘Onze twee security-officers zien toe op de implementatie van de maatregelen die de baseline suggereert,’ vertelt Fransen. Ook helpen ze bij het oplossen van veiligheidsincidenten. Fransen beschijft het CIBO als een levendig gezelschap. ‘De baseline voor informatiebeveiliging wordt breed on-dersteund. Het is beslist geen papieren tijger.’ • PvdB

27

De inhouD moet leiDenD zijn, niet De hiërarchie

Fo

to r

ob

Kam

min

ga

‘WE kunnEn nIEtS vERPLICHtEn,

WEL vERLEIDEn’


henk mirck, de regionale portefeuillehouder ICt, staat voor de datastorage van de drechtsteden

‘INFORMATIEVEILIGHEID IS

VOORAL EEN KWESTIE VAN

TECHNIEK’

Bij het waterschap draait veel om tech-niek, toch is het handelen van mensen het grootste risico, weet Sennema van Waterschap Aa en Maas. ‘Mensen maken fouten, uit onderzoek blijkt dat sommi-gen zonder blikken of blozen inloggege-vens weggeven. Informatiebeveiliging vereist een cultuurverandering, niet slechts het invoeren van techniek.’

Burgemeester Weerwind van Velsen noemt informatieveiligheid ‘ook een kwestie van cultuur’. Directie, bestuur en ambtenaren: we zijn allemaal ver-antwoordelijk voor een veilige omgang met informatie, vertelt hij. ‘Als een wil-lekeurige medewerker thuis inlogt op de e-mail van de gemeente en zijn pc niet goed beveiligt, heeft de hele organisatie een potentieel probleem.’

Gemeentesecretaris Irma Woesten-berg van Den Bosch beaamt dit. ‘Je moet sloten op de spreekwoordelijke deuren van je organisatie plaatsen. Zoals je thuis risico’s loopt als je de deur niet op slot doet of de sleutels weggeeft, zo heb je ook een probleem met de ICT-beveiliging als mensen zich niet aan de regels houden. De zwakste schakel in informatiebeveili-ging is de mens, doorgaans als gevolg van onwetendheid en achteloosheid.’

‘HET IS EEN PROBLEEM

VAN DE ICT-AFDELING’

‘De ICT-afdeling speelt een belangrijke rol, maar je kunt anderen niet ontslaan van hun verantwoordelijkheden,’ vindt burgemeester Weerwind van Velsen.

ICT-ers zijn niet eindverantwoordelijk, het bestuur is dat. We moeten allemaal fatsoenlijk omgaan met gegevens, om-dat burgers daarop moeten kunnen vertrouwen,’ zegt hij. Piet Sennema van Waterschap Aa en Maas is het daar-mee eens. ‘Als er ergens een incident is met de beveiliging van een website of e-mail, bel ik de ICT-afdeling met de vraag of dit bij ons ook kan gebeuren. De directie is eindverantwoordelijk, de ICT-afdeling ondersteunt ons,’ stelt hij. ‘De drive om dit goed te regelen moet van de bestuurders komen en vervolgens moet het algemeen bestuur of de gemeenteraad erop toezien dat we het goed doen.’ Rijksbeveiligings-ambtenaar Van Petersen wijst erop dat de ICT-afdeling net zo min eindverant-woordelijk is als de CIO. ‘De ICT-afde-ling wordt geacht diensten te leveren die voldoen aan de kwaliteits- en vei-ligheidseisen die door de klant zijn ge-steld. Rijksbreed pakken shared service organisaties (sso’s) dit steeds professi-oneler op. Zo willen we toewerken naar systemen waarmee de sso’s aan hun klantorganisaties aantonen dat ze vol-doen aan de informatiebeveiligingsei-sen die voor hun diensten gelden zoals accreditatie- en certifi ceringssystemen voor ICT-diensten.’

‘DE CIO MOET DE

ORGANISATIE VAN DE

GEVAREN BEWUST MAKEN’

‘We hebben onlangs bij het waterschap afgesproken dat we iemand in de directie voor informatieveiligheid eindverant-woordelijk maken. Maar feitelijk deelt iedereen in de organisatie de verantwoor-delijkheid voor dit onderwerp,’ vertelt Sennema. ‘Driehonderd van de vierhon-derd werknemers loggen regelmatig thuis in op het systeem, dus je bent er niet met alleen een plannetje en een audit.’ ‘Het gaat de hele organisatie aan,’ voegt Woes-tenberg toe. ‘Informatieveiligheid gaat ook over medewerkers. Je moet spelregels hebben; mensen moeten wachtwoorden niet laten rondslingeren en anderen niet laten meekijken bij het inloggen. Het al-gemeen management moet ervan door-drongen zijn dat veiligheid belangrijk is voor de interne bedrijfsvoering en voor de omgang met vertrouwelijke gegevens van burgers. Het algemeen management moet zich ook bemoeien met de keuzes die je over veiligheid moet maken en dat niet alleen overlaten aan de CIO en tech-neuten. Vervolgens moeten ze ook zorgen voor bewustwording bij werknemers.’

‘Het Rijk werkt al jaren met het uit-gangspunt dat het lijnmanagement

‘NIETS DOEN AAN BEVEILIGING KOST

ALTIJD MEER’Vooroordelen zitten soms in de weg om informatieveiligheid echt op orde te krijgen. Directeur Piet Sennema van Waterschap Aa en Maas, burgemeester Franc Weerwind van Velsen, gemeentesecretaris Irma Woestenberg van ’s-Hertogenbosch en rijksbeveiligingsambtenaar Arnoud van Petersen helpen vijf mythes de wereld uit.

F O C U S

28

2

3

1

VIJF MYTHES OVER INFORMATIEVEILIGHEID


verantwoordelijk is voor de beveiliging van de eigen informatie, processen en systemen,’ vertelt Van Petersen. ‘De SG is uiteindelijk eindverantwoordelijk voor informatiebeveiliging binnen het eigen departement. De lijn kan echter niet zelfstandig invulling geven aan de verantwoordelijkheid voor informatie-beveiliging. Het lijnmanagement dient hiervoor ondersteund te worden door partijen die kennis van zaken hebben en hun ook gericht advies kunnen geven, zodat zij optimaal invulling kunnen ge-ven aan hun verantwoordelijkheid.’

‘SECURITYMAATREGELEN

CONSUMEREN AL SNEL

DE HELFT VAN HET ICT-

BUDGET’

‘Da’s echt onzin,’ reageert Woestenberg. ‘In ’s-Hertogenbosch geven we 10 tot 15 procent van ons technische budget uit aan beveiliging van ICT-systemen. De imagoschade voor de overheid als ge-volg van Lektober vorig jaar is niet in geld uit te drukken. Bovendien kost te weinig beveiliging je ook geld als het misgaat. Wij hebben vorig jaar zomer te maken gehad met een DDoS-aanval. Om half zes ’s avonds vond de aanval plaats waarna we zo snel mogelijk alle systemen hebben uitgezet. De volgende ochtend was het probleem verholpen.

Het heeft ons bewezen dat investeren in veiligheid en een calamiteitenplan zin heeft.’ Weerwind: ‘Er moet een even-wicht zijn tussen de beveiliging van gegevens en de transparantie die een overheidsorganisatie nastreeft. Een te stringente beveiliging zorgt voor een onwerkbare situatie voor de medewer-kers. De fi nanciële investering voor in-formatiebeveiliging is afhankelijk van het beveiligingsniveau, maar de helft van het ICT-budget is een veel te hoge schatting.’ Dat vindt ook Van Petersen. ‘Internationaal wordt aangenomen dat een professionele ICT-organisatie onge-veer 10 procent van het budget zou moe-ten besteden aan beveiliging. Voor het Rijk heb ik hier geen goede cijfers over, maar bij de enkele sso waar ik dit wel van weet, ligt het rond de 7 procent. Ik ver-wacht dat het percentage de komende jaren zal stijgen richting die ‘norm’ van 10 procent om alle dreigingen goed het hoofd te kunnen bieden.’

‘ER IS GEEN BUSINESSCASE

TE MAKEN VOOR SECURITY’

Je kunt proberen dit te doen door de businesscase te baseren op je risicoana-lyse, oppert Van Petersen. ‘Dit begint bij het in kaart brengen en beoordelen van je beveiligingsrisico’s. Het liefst zou je dit zo kwantitatief mogelijk willen

doen, maar dat blijkt vaak best lastig. Dat betekent nog niet dat je geen busi-nesscase kunt maken voor bepaalde beveiligingsmaatregelen. Dat kan vaak prima. Je moet dan kijken naar het be-veiligingsrendement dat bepaalde maat-regelen oplevert. Ter illustratie: de inzet van antivirussoftware levert gemiddeld 50 procent minder virusbesmettingen op. Daardoor hoef ik als organisatie op jaarbasis bijvoorbeeld 1500 incidenten minder af te handelen waardoor ik vier fte 's minder hoef in te zetten. Daarmee zou ik als sso 400.000 euro per jaar min-der uit hoeven geven en bovendien heb ik ook minder storingen en mogelijke schade bij mijn afnemers.’

‘Elke organisatie kan in kaart bren-gen welke risico’s er zijn en welke wel of niet geaccepteerd kunnen worden,’ zegt Weerwind. Vervolgens richt je de beveili-ging daarop in en zoek je uit hoeveel dat kost. Weerwind: ‘Veiligheid kan je wel degelijk in geld vangen. Al moet ik wel waarschuwen: 100 procent veiligheid be-staat niet, dat kan niemand garanderen.’

‘Wij laten onze organisatie regelma-tig hacken om te zien waar het systeem kwetsbaar is,’ vertelt Sennema. ‘Een hack kost een paar duizend euro. Beveili-ging kost minder dan je denkt: ongeveer 5 tot 10 procent van het totale budget. Niets doen aan beveiliging kost altijd meer.’ • AK

F O C U S

29

4

5

beeld

Yvo

nn

e K

roe

se


Fo

to K

ING

Volgens Tof Thissen, algemeen directeur van het Kwaliteitsinstituut Nederlandse Gemeenten (KING), is het de komende jaren dé uitdaging voor de 408 Nederlandse gemeenten om als meest nabije overheid de mensen beter, eerder

en slimmer te helpen tegen minder kosten. Daarvoor dient de informatievoorziening goed op orde te zijn. ‘Burgers moeten weten waar ze terecht kunnen, gemeenten moeten weten bin-nen welke ketens ze functioneren en wat voor informatie ze op welk niveau kunnen ontsluiten. In hun eentje krijgen ze dat niet voor elkaar, dat moet in collectiviteit gebeuren.’

Deze zomer publiceerde KING in opdracht van de VNG de Verkenning Informatievoorziening Sociaal Domein. Daarin wordt gevraagd om een gezamenlijke aanpak voor de gegevensuitwis-seling tussen gemeenten en uitvoerders. KING pleit voor een ge-degen juridisch kader met ‘een helder afwegingskader over wat wel en niet is toegestaan ten behoeve van één gezin, één plan, één regisseur’. Thisssen: ‘Veell gemeenten zijn druk bezig met de

decentralisaties aan de voorkant, Neem bijvoorbeeld de 875.000 personen die door het Centrum Indicatiestelling Zorg geïndi-ceerd zijn, die komen nu bij de gemeente terecht. Dat moet je ook ondersteunen met een slimme informatievoorziening aan de achterkant. Het is zaak dat de juiste mensen bij de juiste in-formatie kunnen.’

Informatieveiligheid blijft altijd een zorgenkindje, aldus de verkenning. Hoe verklaart u dat? ‘Het is een thema dat iedereen aangaat, maar het blijft vaak zweven als er kosten aan verbonden zijn. Dit herken ik nog wel uit mijn tijd als wethouder voor sociale zaken in Roermond. De bedragen die de burgemeester destijds noemde voor de digi-talisering van de dienstverlening en ICT-beveiliging, vonden mijn collega’s en ik vaak hilarisch. Maar door de voortgaande

digitalisering van de overheid verdient informatiemanagement een prominen-tere plek op de agenda. Organisatorische en technische maatregelen zijn nodig om beschikbaarheid, vertrouwelijkheid en integriteit van informatie te waar-borgen. Nu gemeenten meer uitvoe-ringstaken krijgen, komen er nog meer gegevens uit verschillende domeinen bijeen. Dit maakt dat beveiliging meer dan ooit een integrale verantwoordelijk-heid is. Het moet een speerpunt zijn van de gemeentelijke organisatie.’

Zijn bestuurders en ambtenaren zich voldoende bewust van informatieveiligheid?‘Een gevoel van urgentie is noodzakelijk, de keten is zo sterk als de zwakste schakel. Ik zie dit besef groeien. De colleges van BenW krijgen er fors taken bij. Als deze informatievoorziening plat komt te liggen, heeft dat onherroepelijk consequenties voor de openbare orde en veiligheid. Vanuit de Informatiebe-veiligheidsdienst voor gemeenten (IBD) helpen we gemeenten bij het preventief en structureel opbouwen van bewustzijn op het terrein van informatiebeveiliging. De IBD biedt gerichte projectmatige ondersteuning en kan worden ingeschakeld bij incidenten en crisissituaties. Ook brengen we het thema actief onder de aandacht van burgemeesters, wethouders en gemeen-tesecretarissen. Met de gemeenteraadsverkiezingen op komst is het goed na te denken over de plek die informatieveiligheid zou moeten krijgen binnen de nieuwe collegeprogramma’s.’

Welke stappen zijn noodzakelijk?‘Professionals hebben toegang tot gegevens nodig, maar je moet er niet aan denken dat deze informatie in verkeerde handen valt. Daarom zijn er al een aantal afspraken gemaakt. Zo dient voor het einde van het jaar iedere gemeente een ICT-beveiligingsas-sessment voor DigiD af te ronden en aan te leveren bij Logius. We hebben het symbolische wc-raampje gedicht, maar er zijn nog tal van andere arrangementen nodig om de veiligheid van informatie te garanderen. Daarom kijken we continu wat ge-meenten nodig hebben en waar draagvlak voor is. Door aan de achterkant te werken aan een generieke aanpak, kunnen we ge-meenten ontzorgen. Ook de verkenning in het sociale domein werken we nu uit in samenspraak met een aantal gemeentelijke bestuurders. Dit voorstel zal besproken worden op de bijzondere algemene ledenvergadering van de VNG op 29 november.’ • RW

KING-dIrecteur tof thIsseN pleIt voor GezameNlIjKe aaNpaK door GemeeNteN

‘De juIste meNseN moeteN bIj De juIste

INfoRmatIe KuNNeN’

I N t e R v I e W

30

‘InformatIeveIlIgheId moet speerpunt

worden voor de organIsatIe'

wat betekent de decentralisatie van sociale taken voor de informatiehuishouding van gemeenten? meer dan ooit wordt beveiliging een integrale verantwoordelijkheid, zegt KIng-directeur tof thissen. ‘de keten is zo sterk als de zwakste schakel.’

KING-directeur tof thissen

pm speCIal oktober 2013

22 31


U rk stapt over op de cloud, omdat de con-tinuïteit van de ICT-dienstverlening steeds ingewikkelder en

kwetsbaarder wordt, vertelt Rien Bo-gerd, gemeentesecretaris van Urk. Voor een kleine gemeente – het voormalige visserseiland in de Noordoostpolder heeft nog geen twintigduizend inwo-ners en een kleine ambtelijke organisa-tie – wordt het steeds moeilijker om de ontwikkelingen bij te houden. Urk ging bij het bedrijfsleven te rade. ‘Gelet op de kwetsbaar-heid en de continuïteit van onze dienstverlening in de toekomst denken we een goede slag te slaan met applicaties en gegevens in de cloud,’ zegt Bogerd.

De gemeente Urk ging in zee met ICT-concern PinkRoccade Local Gover-nment. Dat bedrijf levert digitale appli-caties op verschillende overheidsterrei-nen, zoals onderwijs, sociale zaken en fi nanciën. De data worden nu overge-bracht van de eigen servers van Urk naar die van PinkRoccade in Aalsmeer en – in back-upvorm – naar Haarlem. Om wat voor gegevens het gaat? Bogerd: ‘Alle be-lastinggegevens bijvoorbeeld.’

De gemeente heeft de opslag van ap-plicaties en gegevens weliswaar volledig overgedragen aan PinkRoccade, maar blijft zelf eigenaar van de gegevens. Ze worden zowel fysiek als digitaal veili-ger bewaard dan voorheen op Urk, legt Bogerd uit. ‘Neem de back-ups die we deden. Die sloegen we op tape op, elders op Urk. Eén keer in de week ging iemand met die dingen onder de arm ernaartoe om het in de kluis te doen.’

Het complex in Aalsmeer kent strenge veiligheidseisen. ‘Als ik zelf in Aalsmeer aan de poort zou verschijnen, kom ik er niet in,’ zegt de gemeente-secretaris. Ook digitaal is het moeilijk om bij de gegevens te komen. Bogerd

legt uit dat er een dubbel digitaal schild omheen is gebouwd. Medewerkers van de gemeente moeten geautoriseerd zijn om langs zowel het eerste als het tweede schild te komen. Elke medewerker heeft een persoonlijke code waarmee direct

te herleiden is wat zijn rechten zijn. Ie-mand met toegangsrechten voor sociale zaken mag niet automatisch ook in de belastingdossiers.

Bogerd: ‘Je moet je eerst aanmelden bij het buitenhek, maar dan ben je alleen binnen en nog niet bij de gegevens. Dan stuit je op het volgende hek en moet je aantonen of je geautoriseerd bent om bij specifi eke gegevens te komen. Vervol-gens kom je bij de hekken voor sociale zekerheid, het kadaster, de belastingen enzovoort.’

BedrijfszekerOpslag in de cloud bij een publiek-pri-vate onderneming is volgens Bogerd de toekomst voor vooral de kleinere ge-meenten. ‘Er zijn ook ontwikkelingen dat kleine gemeenten samenwerken met grotere centrumgemeenten in de regio. Maar ook al zet je je data bij een centrumgemeente neer, dan blijft de kwetsbaarheid. Je zit in één omgeving en wordt daardoor afhankelijk. Door de applicaties in de cloud te zetten houd je zelf de regie en de verantwoordelijkheid, maar ben je bedrijfszekerder, minder kwetsbaar en als je moet uitwijken naar

de back-updata in Haarlem ook sneller geholpen. Dit wordt de toekomst.’

Het ministerie van Binnenlandse Zaken stelt strenge eisen aan de cloud-opslag van (burger)gegevens. Bogerd wijst op regels rond de Basisregistraties

adressen en gebouwen (BAG) en de Gemeentelijke Basisadminis-tratie personen (GBA). ‘Die gege-vens zijn volgens protocollen van de rijksoverheid opgesteld en wij voldoen daaraan.’

De continuïteit van de toe-gang tot de gegevens is zekerder door ze op te slaan bij PinkRoccade, zegt Bogerd. ‘Stel dat in Aalsmeer alles stagneert, dan schakelt het systeem over naar Haarlem. Wij merken dat niet; de continuïteit is verzekerd.’ De toegangseisen zijn wel strenger geworden, vindt hij. ‘Dat moet ook wel. Hier in huis kent de systeem-beheerder elke ambtenaar, daar niet. We hebben geconstateerd dat we nu zelf ook veel meer aan autorisaties moeten doen.’ • RvdD


De gemeente Urk stapt over naar de cloud. ‘Daar liggen de gegevens veiliger opgeslagen dan wanneer we het zelf zouden doen,’ zegt gemeentesecretaris Rien Bogerd.

URKSE DATA VERHUIZEN NAAR DE CLOUD

‘DE CLOUD WORDT DE TOEKOMST’

‘EEN DUBBEL DIGITAAL SCHILD

VERZEKERT DE VEILIGHEID’

Zelf stuur zetten op informatieveiligheid binnen uw gemeente? Dat kan!

Tijdens de workshop krijgt u niet alleen meer inzicht, maar ook praktische

handvatten hoe zelf nog eff ectiever sturing te geven aan informatieveiligheid.

Want…

Vertrouwen, het komt te voet en gaat te paard

In de digitale wereld waarin we ons bevinden, zijn er ook voor uw gemeente

dagelijks dreigingen op het vlak van informatieveiligheid. Wat gebeurt er

bijvoorbeeld als gevoelige informatie van uw gemeente op straat komt te liggen?

Of de digitale dienstverlening aan uw burgers niet meer mogelijk is? Naast

fi nanciële en technische gevolgen kunnen deze gebeurtenissen ook uw imago als

gemeente en als verantwoordelijke beïnvloeden. En zelfs leiden tot een verlies

aan vertrouwen bij uw burgers.

Wissel uw tegoedbon nu in

Interesse? Neem dan contact op met Giulietta Marani via 06 - 183 078 66 of

info@taskforcebid. Kijk voor meer informatie op www.taskforcebid.nl

Lever deze tegoedbon bij ons in en u kunt als gemeentesecretaris

kosteloos deelnemen aan één van de workshops tijdens de twee

trainingsdagen die de Taskforce BID organiseert op vrijdag 1 en

maandag 4 november a.s.

Bestuur & Informatieveiligheid Dienstverlening

U P T O DAT E

LEARN EN SHARE MET

DE TASKFORCE BIDINFORMATIEVEILIGHEID IS ESSENTIEEL!

De digitalisering van overheidsdiensten biedt kansen, maar

brengt ook maatschappelijke, politieke en organisatierisico’s

met zich mee. Weet u welke risico’s uw organisatie loopt?

Uw site en dienstverlening kunnen platliggen. Gevoelige ge-

gevens uit een vergunning of aanvraag kunnen op straat komen te liggen.

Heeft u erbij stilgestaan dat uw imago als bestuurder of topmanager scha-

de kan oplopen wanneer informatie binnen uw organisatie niet veilig is?

Dit leidt uiteindelijk ook tot verlies aan publiek vertrouwen. Het leeraanbod

van de Taskforce BID laat u het belang van informatieveiligheid voelen.

Daarnaast worden instrumenten aangereikt om te kunnen sturen op infor-

matieveiligheid in uw organisatie.

TEST UW KENNIS

met de online test om een beter beeld te krijgen van de ver-

schillende aspecten van informatieveiligheid. Hoe kunt u daar

als bestuurder of topmanager op sturen?

VERKEN UW ROL

in de confrontatieworkshop en ervaar het belang van een

actieve rol van bestuur en management bij een incident. U

leert de juiste stuurvragen te stellen.

BESCHERM UW PROCES

In de procesworkshop ondervindt u hoe u via red en blue

teaming kunt sturen op het aanscherpen van processen op

informatieveiligheid. Verdedigt u of valt u aan?

INSPIRATIE

HENK WESSELING/

TASKFORCE BID

BEKIJK DE FILM

MEER WETEN?

Neem contact op via

Taskforce BID

Wilhelmina van Pruisenweg 104

2595 AN Den Haag

T 06 46 87 91 32

E [email protected]

W www.taskforcebid.nl

ZELF STUREN OP

INFORMATIEVEILIGHEID?

DAT KAN!

De Taskforce Bestuur en Informatieveiligheid

Dienstverlening zet samen met

koepelorganisaties concrete acties uit binnen

elke overheidslaag. Daar is een uitgebreid pakket

aan instrumenten voor: workshops, stuurdagen,

learn & share-bijeenkomsten, zelftest en

simulatie. Bestuurders en topmanagers

krijgen concrete instrumenten aangereikt om

informatieveiligheid binnen de eigen organisatie

te waarborgen en te verankeren. Kijk op onze

website voor een uitgebreid overzicht.

WWW.TASKFORCEBID.NL/PRODUCTEN

BLIJF OP DE HOOGTE

van alle ins en outs rond informatieveiligheid en volg de

Taskforce BID via

www.twitter.com/TaskforceBID

Special Informatieveiligheid

Documents

Transcript of Special Informatieveiligheid