V4v 44 bezoekadres: Gemeente Delft 2611 BV Delft Telefoon 14015 · 2019-11-20 · Cubit Score tP...

Bestuur

Controlling

444 Vv Gemeente Delft

bezoekadres: Stationsplein 1 2611 BV Delft IBAN NL21 BNGH 0285 0017 87 t.n.v. gemeente Delft

Retouradres : Postbus 78, 2600 ME Delft

Aan de gemeenteraad

Behandeld door mw. H. Koenen [email protected] Internet www.delft.nl Telefoon 14015

VER7ONDEM 2 7 nu 749 Datum 19-11-2019 Ons kenmerk 4101403 Uw brief van

Onderwerp Halfjaarlijkse rapportage Q2/03 2019

Uw kenmerk

Bijlage 1

Geachte leden van de raad,

Bijgaand sturen wij u de halfjaarlijkse rapportage over de stand van informatiebeveiliging en privacybescherming. Deze rapportage wordt, zoals gebruikelijk, gepresenteerd door de CISO van de gemeente Delft in de vergadering van uw commissie op 27 november 2019. Hiermee geven wij invulling aan onze toezegging de raad periodiek te informeren over dit beleidsterrein.

Hoogachtend, Het College van Burgemeester en Wethouders van Delft,

, burgemeester Bijsterveldt-Viiegenthart

, secretaris

dr. M. Berger, l.s.

Rapportage 2019 Q2 / Q3 lnformatiebeveiliging & Privacybescherming

■■lndeling

• lntroductie nieuwe Functionaris Gegevensbescherming (per 1-10-2019) • Dreigingsbeeld • Belangrijkste risico's: DDOS-aanvallen en achterstand patchmanagement • lnformatiebeveiligingsbeleid: stand van zaken uitvoering agenda • Baseline lnformatiebeveiliging Overheid (BIO) • Monitoring data • Privacybeschermingsbeleid: stand van zaken uitvoering agenda • Data Protection Impact Assessments (DPIA's) en adviezen • Privacy en datagedreven werken • Bewustwording • Deelnemingen en Governance

2 tt Gemeente Delft

CISO en FG ■■

Wat doet de CISO? • Onafhankelijk adviseur • Die activeert, stimuleert en toezicht houdt op

de juiste toepassing van de kaders door de business

• Met het accent op beschikbaarheid en integriteit van systemen en gegevens

• En daardoor de continuïteit van de business van de gemeente, zeals in de levering van diensten

Wat doet de FG? • Onafhankelijk adviseur • Die activeert, stimuleert en toezicht houdt op

de juiste toepassing van de kaders door de business

• Met het accent op vertrouwelijkheid en integriteit van de gegevens waarvoor de gemeente verantwoordelijk is

• Gericht op het bestendigen van het vertrouwen dat burgers in hun gemeente hebben voor wat betreft de verwerking van hun gegevens

En bij conflict? De algemeen directeur (gemeentesecretaris) beslist op basis van beider argumenten.

3 ttt Gemeente Delft

Dreig i ngsbeeld Hoe monitoren we onze omgeving

Om zieht te krijgen op de bedreigingen van de informatieveiligheid van Delft, worden verschillende externe en interne monitors gebruikt:

■■

• Externe monitors zoals https://basisbeveiliging.nl. Deze monitor publiceert kaartjes (zie volgende sheet) waar gevonden risico's worden geduid met een kleur (rood=hoog).

• Pentesten en andere onderzoeken • Responsible disclosure • lncidenten analyse • Interne monitoring door SIEM, kwetsbaarhedenscan en spamanalyse (zie vorige

rapportage voor uitleg)

De lnformatiebeveiligingsdienst van de VNG monitort de trends in bedreigingen en stuurt zo nodig alerts naar de gemeenten. 4

Gemeente Delft

Dreigingsbeeld: externe monitors Op https://basisbeveiliqinq.nl wordt dagelijks gepubliceerd over gevonden risico's bij gemeenten, aangeduid in kleur (groen=laag, oranje=midden en rood=hoog).

■■Basisbeveiliaina.nl

,

•

·y 9SE15

;~l'Çj

rz a& -..,...r r' : , •. ¿- ~ . -~ ..,.l..

sas #f « y s $

-=7': '_} tr

SECURITY POSTURE SUMMARY FOR DELFT PREPARED ON OCT 25. 2019

OUR CURRENT SECURITY SCORE Network Soc unity

Social Engineering rt/,. ... . 10o NS Heath ¿gen, so-., ·.

delft.nl

Our Industry

lnfo11nal101'1 le.ikr . . . P<1tclung C,1dence • 60 . • . "

Hacke<Challe< \ .••• ••"• ••., •, , .

0

EodpolotSo<w;~

~. '•••· Cubit Score tP Reput ation

pplcatan Socunty

5 t Gemeente Delft

■■Pentesten

Bij een penetratietest (pentest) wordt onderzocht of en zo ja, hoe het mogelijk is om in te breken op geautomatiseerde systemen van de gemeente Delft. Een pentest is een gelegitimeerde hack.

Naast de verplichte pentest voor DiGiD is in de afgelopen periode een pentest gedaan op de Windows 10 VDl-omgeving (voor Delft en Rijswijk samen). Conclusie was dat de VDI-thuiswerkplek zeer solide is opgezet door Delft, maar dat de gebruikte software enige nog niet gepubliceerde kwetsbaarheden bevat. Met aanbevelingen van de pentester hoe deze kwetsbaarheden kunnen worden aangepakt.

6 tt Gemeente Delft

■■Responsible disclosure

In maart 2019 is Responsible Disclosure ingevoerd bij gemeente Delft.

In de periode tot 1 oktober 2019 zijn er 4 meldingen gedaan waarvan 3 echt een kwetsbaarheid betreffen, overigens niet in een kernsysteem. lnmiddels is er in oktober een 5° melding gedaan.

1 melding betreff het kunnen inbreken op een temperatuurregeling op afstand vaneen leverancier van gebouwenbeheer (loT,lnternet of Things).

Het geplande hackevenement is voorlopig geschrapt. Het kost te veel inspanning om deelnemers geïnteresseerd te krijgen.


lncidenten analyse DDOS-aanvallen vormen het zwaarste incident in de afgelopen periode.

■■

In 2018 zijn maatregelen getroffen om de impact van DDOS-aanvallen te beperken. Deze investering blijkt te helpen, maar tegelijkertijd kost het bij iedere aanval nog steeds veel capaciteit om de consequenties voor de organisatie beperkt te houden. De gevolgen van de aanvallen zijn nog niet merkbaar geweest in de dienstverlening.

DDOS-aanvallen vormen een groot risica vanuit het oogpunt van continuïteit. In eerste instantie wordt bekeken in hoeverre met organisatorische maatregelen de impact van DDOS-aanvallen kan worden beperkt. Macht dat niet lukken, dan wordt een voorstel gedaan hoe dit risico kan worden aangepakt.

8 tt Gemeente Delft

Interne monitoring Het belangrijkste risica dat uit de interne monitoring naar varen komt is de achterstand in patchmanagement. Door middel van patches repareren softwareleveranciers gevonden kwetsbaarheden in hun software. Als deze kwetsbaarheden niet worden gepatcht, dan kan misbruik gemaakt worden van de kwetsbaarheden. Ook de DRK heeft dit risico al genoemd in zijn rapport.

■■

Er is dit jaar extra geïnvesteerd in capaciteit voor patchmanagement, maar het blijkt niet genoeg te zijn om de achterstand in te halen. Oorzaken: er komen steeds vaker en meer patches, met name op kernsystemen als ORACLE en Microsoft die met veel applicaties verbonden zijn.

Er komt een voorstel hoe dit risico kan worden aangepakt, en wat de consequenties zijn als je het niet doet.

9 tt Gemeente Delft

lnformatiebeveiligingsbeleid stand van zaken

■■Agenda voor informatiebeveiliging en privacybescherming 2019

Planning 2019 01/03 Versterken technische informatiebeveiliging

Beveiligingsbeleid gemeentelijke kantoorgebouwen

Stand van zaken 1-10-2019 SOC en SIEM ingericht en werkend. Responsible disclosure gerealiseerd.

Gebouwbeleid uitgesteld naar Q4 wegens andere prioriteiten

Tactische toets voor IT-voorstellen Toets ontwikkeld en werkend

Verder implementeren BIG (richtlijnen)

ENSIA (horizontale en verticale verantwoording)

Richtlijn leveranciers afgerond, richtlijn USB-sticks is complexer dan verwacht, hoe om te gaan met Saas wordt een grater project in 2020 ENSIA conform planning afgerond met goedkeurende verklaring

10 tt Gemeente Delft

lnformatiebeveiligingsbeleid stand van zaken

■■Agenda voor informatiebeveiliging en privacybescherming 2019

Planning 2019 01/03 Mobile Device Management (MDM)

Heroverwegen Open mappen structuur

Heroverwegen Thuiswerken met gevoelige gegevens

Shadow-IT: werken buiten de IT-structuur om

Onderzoek Identity- en Accessmanagement

Stand van zaken 1-10-2019 Concept-aanpak gereed, POC uitgevoerd. Wacht op besluitvorming en uitrol.

datas dladl.aahl

Wordt verschoven naar 2020 wegens andere prioriteiten gezien de beschikbare capaciteit

Wordt verschoven naar 2020 wegens andere prioriteiten gezien de beschikbare capaciteit

Verkenning van het vraagstuk in Delft, inclusief probleem stelling en mogelijke aanpak, wordt in 2019 of begin 2020 afgerond. Relatie met implementatie MS Office 365. Verkenning van het vraagstuk voor Delft, inclusief probleemstelling en mogelijke aanpak, wordt in 2019 afgerond


BIO: Baseline lnformatiebeveiliging Overheid Er komt met ingang van 2020 een nieuw informatiebeveiligingskader voor alle overheden, de BIO: • BIO lijkt op zijn voorganger BIG, maar zet andere accenten. • Proceseigenaren zijn aan zet. • Er is een beperkte set verplichte maatregelen, verder dienen maatregelen vooral genomen te worden op basis van de verplichte risica-analyse (riskbased)

• Risicotoets op alle processen is verplicht. Deze wordt ingebed in het Delftse stelsel van risicomanagement.

• Classificatie van gegevens is vereist. Daarbij worden 3 basisbeveiligingsniveau's onderscheiden, op basis van vertrouwelijkheid: BBN 1, 2 en 3. Aan een basisbeveiligingsniveau is een pakket beveiligingsmaatregelen gekoppeld. Gemeenten gaan uit van BBN 2.

• De nota lnformatiebeveiligingsbeleid Delft wordt herzien op basis van de BIO.

■■

12 Gemeente Delft

Aanpak BIO ■■

• GAP-analyse ] • Overzicht processen/domeinen ] ~----~

• lnventariseren kritische processen Jan/mrt 2020

• Proceseigenaren betrekken i ]

• Baselinetoets uitvoeren kritische processen

Nov/dee 2019

April/mei 2020

• Verplichte maatregelen: welke zijn nog niet geimplementeerd?

• Toetsen processen aan risico criteria ·Top 5 maken

• lnrichten proces voor toets • Verzamelen bestaande risico

inventarisaties

• Beheersmaatregelen toetsen & optionele maatregelen doornemen Juni/aug 2020

~ Toetsing overige processen

13

l Jan 2021/Juni 2022

ttt Gemeente Delft

■■Wat zijn Kritische Processen

Criteria voor het bepalen van kritische processen zijn: • Leidt tot verstoring of uitval van het proces. • Heeft impact op het leven van de burger of de bedrijfsvoering van het bedrijf. • Zorgt voor vertraging bij het halen van onze ambities. • Verstoring of uitval van het proces stokt de dienstverlening van de organisatie. • Stokt de bedrijfsvoering van meer afdelingen of ketenpartners. • Levert de eigen organisatie imagoschade op. • Brengt een aanzienlijke kostenpost met zieh mee. • Levert schade op bij andere (samenwerkings-)partijen. • Heeft een wettelijke termijn waarbinnen het proces beschikbaar moet zijn. • Snelle doorlooptijd van het proces is belangrijk voor burger of bedrijf.


Monitoring registraties ■■

Om inzicht te krijgen in het dagelijks preces van informatiebeveiliging worden vers ch i I lende reg i strati es bijgehouden:

• lncidenten • Datalekken (intern geregistreerd en meldingen aan Autoriteit Persoonsgegevens)

• Verzoeken van betrokkenen om inzage in hun gegevens

Afgesproken is dat over deze registraties periodiek wordt gerapporteerd aan de raad.


lncidenten jan 2019- sept 2019 De incidenten laten een normaal patroon zien: vooral spam en phishing. Geen ransomware

■■

Meldingen informatiebeveiliging en datalekken jan-sept 2019

o ] Mn Fe Mt , , Mei

Type incident t ~ ■ Spam~~ ph.shone l&<m•ldt:391 .__ __ s•_l --+-' _396

4 362 ·r-,63 327

■_T_•lt_fo_noschph.sh_ln_&(&ffn_ tld) O O O -, -o--'---ï 1 O 1-- O--+-- -

·Advesvrren of huevroren 1[ ,",TI. li

2:.:: ',i/i/'/',ili rt t I

Jun _LJul Aus T ......__. 276 335 133

Okt Nov L

Dec

-l l l t ± E i


Datalekken 01-01-2019 tot 1-10-2019 ■■

Melding datalek

Bij AP ge melde dat ale kken

Jan Febr Maart April Mei Juni Juli Aug Sept

Conform AVG worden alle meldingen van datalekken intern geregistreerd. Voor het grootste deel betreffen ze persoonsgegevens die intern zichtbaar zijn voor meer medewerkers dan bedoeld.

Gemeld bij de Autoriteit Persoonsgegevens: • 2 x document met bijzondere

persoonsgegevens naar verkeerde ontvanger

• 1 direct doorsturen klacht met persoonsgegevens naar aannemer

• 1zwervend ID-document • 1niet werkend anonimi seer programma • 1onbevoegde inzage door onvoldoende

ingerichte autorisatie in een cliëntenadministratie


Verzoeken van betrokkenen om inzage gegevens 1 januari 2019 tot 1 oktober 2019

■■20 ----------------- 18 16 14 12 10 8 6 4 2 o

V, e a > ., o ., OD a ro

o .., .., Oll z E 2 d d e g Reeks1 ~ ~ e

., > U L ., Ei o

Oll 5 T e E ::, r0 a a .,

E E :,. o 2 "O a :¡:¡ 7 r0 ., -" ro .s:: ±2 V,

U Q. U a a

3 L e .s:: .s:: o e U e n ., a a- >

Inzage verzoeken 010119 - 300919

1 bezwaarschrift ingediend tegen de beschikking tot inzage in gegevens 1verzoek tot aanpassing van de verwerking

• 3 inwoners van Delft hebben in deze periode contact gezocht met de functionaris gegevens bescherming van de gemeente over mogelijke schending van de bescherming van hun persoons gegevens (1 klacht, 2 vragen)

18 t Gemeente Delft

Privacybeleid ■■

Agenda voor informatiebeveiliging en privacybescherming 2019

Planning 2019 Q1/Q3

Handreiking gebruik foto- en camerabeelden

Onderzoek verhouding wet Politiegegevens en AVG

Onderzoek BRP onder de AVG

Handreiking gebruik BSN

Convenant Veiligheidskamer herzien

Verdiepingsslag verwerkingsregister

Evaluatie procedure inzageverzoeken

Handreiking anonimiseren en pseudonimiseren 19

Stand van zaken 1-10-2019

In concept gereed, vergt een intensief communicatietraject met betrokken ambtenaren en bestuurders (de doelgroepen)

Gereed, wordt verwerkt in actualisering nota Privacybeleid Wordt verwerkt in actualisering nota Privacybeleid

Wordt in 2019 afgerond

Gereed

Stopgezet, tot de kamst van een nieuwe FG

In concept gereed, vervolgstappen richting uitvoering moeten nog genomen worden

Aanpak nu in BI-traject, handreiking naar 2020 tt

te Delft

DPIA's en adviezen: groei Toepassen OPIA in Delft nog in ontwikkeling De vraag naar Data Protection Impact Assessments en adviezen op privacygebied groeit. Werkwijze en basistoets voor OPIA is ontwikkeld. Uitgangspunt is een opdracht van een lijnmanager of programmeur. In de intake worden inhoud en reikwijdte en fasering van het onderzoek bepaald, en wordt bekeken welke specialismen nodig zijn in het team dat de OPIA gaat uitvoeren (technisch, juridisch, proceskennis). In deze ontwikkelingsfase wordt geëxperimenteerd om de aanpak te verfijnen.

■■

Wanneer een DPIA De AVG omschrijft in welke gevallen een OPIA verplicht is. Door de Autoriteit Persoonsgegevens (AP) is deze bepaling omgezet in criteria. Komend jaar zal getoetst worden wat dit betekent voor de onderzoeken bij de gemeente Delft. Op dit moment wordt gewerkt met een lijst van gewenste DPIA's ( 18 per 1-10-19). Soms op grand van wettelijk voorschrift en regionale of landelijke afspraken, soms omdat de betrokken manager een onderzoek nodig acht, bijvoorbeeld bij introductie van een nieuwe werkwijze of systeem. Gezien de beperkte beschikbare capaciteit, bepaalt de FG de prioriteit.


Onder handen Data Protection Impact Assessments ■■

• Uitvoering postverwerkingsproces gemeente Delft door Werkse!, is afgerond • lnformatiestromen tussen gemeente en Delft Support in het kader van ontvlechten en

invlechten Delft Support (uitbesteed aan externe auditor) • Vroegsignalering schuldhulpverlening door middel van meldpunt EMMA • Nieuwe software voor de scanauto's van Parkeren Delft • lnrichting datawarehouse voor datagedreven werken • SHAG-project, onderdeel "Zeg ja-team" (re-integratie Werk en lnkomen) • Verplichte GGZ • Outsourcing Kantoorautomatisering Werkse!


■■Onder handen adviestrajecten privacybescherming

• Ontvlechten en invlechten Delft Support, deelproject Privacy Het ontvlechten van de informatiehuishouding van de gemeente en Delft Support is een complex project. Gekozen is voor zelfstandige organisaties met eigen verantwoordelijkheden, en tegelijkertijd een enorme verwevenheid in werkprocessen en informatiestromen. Het aanbrengen van een privacy technisch verantwoorde scheiding hierin is een ingewikkelde opgave. Door de verzelfstandiging ontstaan bijvoorbeeld discussies rondom het toestaan van gebruik van BRP-gegevens door Delft Support, de verantwoordelijkheid voor aansluiting op landelijke systemen en de toegang van Delft Support-medewerkers tot gemeentelijke systemen. Eind 2019 worden de afspraken vastgelegd in de verwerkersovereenkomst tussen gemeente Delft en Delft Support.

• Privacybescherming in de ontwikkeling van datagedreven werken 22 Gemeente Delft

Privacy by Design en by Default ■■

Een belangrijk principe van de AVG is dat systemen en processen moeten worden ingericht op basis van de principes van gegevensbescherming. In de praktijk wordt de basis hiervoor gelegd door een OPIA. De aanbevelingen vanuit de OPIA zijn input voor de herinrichting.

Juist de start vaneen nieuwe ontwikkeling (procesen/of systeem) is een goed moment om ook een OPIA uit te voeren en deze gedurende de ontwikkeling te herhalen. Een voorbeeld van de toepassing van privacy by design is de manier waarop datagedreven werken (Bl) wordt ontwikkeld bij Delft.


Hoe willen we datagedreven werken met elkaar Intake o

■■Output

Financien

t ran.alb y e op

ptriton

l · "E= » pr

• ttroc te rtb yo r tt.ta tetti ai tr

i L t

• i. re

29 aprii 2019 Toekomstbeeld Bl Gemeente Delft

De BI-fabriek ■■

iiii n les1 ee

1. Vraaganalyse Scope Refinement Definition of Done

2. Functionele analyse Definities Business rules Watis er al Privacy

Toets op gebruik persoonsgegevens

3. Technische analyse W/aar staat de data Hoe te ontsluiten

4. Ophalen van data

6. Slimme dataset maken voor vraag

T oets op gebruik persoonsgegevens

6. Koppelen met Cognos (of anders)

7.presenteren I visualiseren van data


Toets op de bescherming van (persoons)gegevens Compliance: Voldoet de informatievoorziening aan de wet en regelgeving? Zoals de AVG

■■

Bl fabriek

Intake war"zg7%,· Control/ Privacy in

samenwerking met Bl

Controleren in de keten Wordt het proces

osvo9",,gg de data

tt Gemeente Delft

■■lnrichten Datawarehouse

ET ETL

; Gebruiker

% Gebrulker

; Gebrulker

27

Om tot een rapport te kamen worden de gegevens uit verschillende brennen verwerkt in een zogenaamd datawarehouse. De wijze waarop de gegevens worden opgehaald, verwerkt, gepubliceerd en bewaard wordt getoetst aan de principes van de AVG. Oat geldt ook voor de inrichting van het systeem. Vragen die daarbij aan de orde kamen zijn bijvoorbeeld in welke gevallen gegevens geanonimiseerd of gepseudonimiseerd verwerkt dienen worden, of de bewaartermijn van gegevens mag worden overschreden uit oogpunt van continuïteit van de datareeks, en zo meer.

it Gemeente Delft

Deelnemingen De 100% deelnemingen van de gemeente Delft hebben een bijzondere plek in het privacybeleid.

■■

Werkse! • Eigen FG • Eigen privacybeleid (binnen kaders gemeentelijk beleid)

• Periodiek overleg met gemeentelijke FG • Verwerkersovereenkomst in concept

Delft Support • Eigen FG (per 1-1-2020) • Periodiek overleg met gemeentelijke FG • Verwerkersovereenkomst in concept

Via de gemeente als gegevensverantwoordelijke:

• Afhandeling datalekken • lnzage in Persoonsgegevens • DPIA's

Parkeren Delft • Geen eigen FG • Ad hoc overleg met directeur en CISO • Verwerkersovereenkomst


Bewustwording

• Er is een basistraining 'Veilig werken met informatie' opgestart. Deze training is verplicht gesteld voor nieuwkomers in de organisatie.

• Er is een specifieke week over informatiebeveiliging georganiseerd in de maand van de informatie (september) met onder meer de security-game van de IBD, een crashcourse informatiebeveiliging en een goedbezochte lezing van Brenno de Winter.

• Voor het uitbreiden van de basistraining naar alle medewerkers en voor het bewustwordingsprogramma voor de managers is (nog) geen budget beschikbaar.

29

■■

)A,Zo \S HET NIET LEUK MEEz

ttt Gemeente Delft

Governance, organisatie en middelen ■■

Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1/Q3 Statuut voor CISO en FG vaststellen

Aanstellen nieuwe Functionaris Gegevensbescherming (FG) Met OR afspraken maken over personeelvolgsystemen

Stand van zaken 1-10- 2019 Statuut wordt in 2019 afgerond

Aangesteld per 1-10-2019

Eerste gesprek met OR is geweest. Afronden instemmingsprocedure verschuift naar 2020


V4v 44 bezoekadres: Gemeente Delft 2611 BV Delft Telefoon 14015 · 2019-11-20 · Cubit Score tP...

Documents

Transcript of V4v 44 bezoekadres: Gemeente Delft 2611 BV Delft Telefoon 14015 · 2019-11-20 · Cubit Score tP...