Nijmegen werkt aan alerte veiligheidscultuur

Nijmegen kijkt hoe ze risico’s vermijden, maar ook hoe ze ermee om kunnen gaan als er wat aan de hand is. | Beeld: Shutterstock

Van gijzeling van gegevens, geen toegang meer krijgen tot de systemen, tot fraude. Het zijn risico’s, die naar voren komen uit de Nijmeegse Dreigingsanalyse. De analyse werd gemaakt door Esther Zijlstra, CISO van de gemeente Nijmegen, en haar collega Katja Breckwoldt, op basis van het recente Dreigingsbeeld Informatiebeveiliging Nederlandse gemeenten van de Informatiebeveiligingsdienst (IBD), andere overheidsbronnen, zoals het NCTV, en een eigen inventarisatie in de organisatie. “Wat de interne afdelingen zien als grootste risico’s hebben we geprobeerd overeen te laten komen in vergelijking met andere overheidsbronnen. Wat zijn verschillen, wat zijn de overeenkomsten? We zien veel overeenkomsten. Alleen de gevaren in ketens, die de IBD signaleert als risico, zien we hier intern nog niet. Het gaat dan om de vraag: ‘Hoe is de informatiebeveiliging en privacy geregeld in samenwerkingsverbanden, bijvoorbeeld bij leveranciers?’ Daar moeten we dus nog wat bewuster over worden. ”

Optimaal beveiligen

Waarom heeft Nijmegen deze analyse gedaan? “We willen vooroplopen in het veilig houden van onze omgeving. Dat is onze ambitie”, legt gemeentesecretaris Astrid van de Klift uit. “Inbrekers hou je niet tegen uit je woning, maar als je die zo goed mogelijk beveiligt, meer dan je buren, heb je een grotere kans dat ze je huis met rust laten. Dat is onze missie: onszelf zo goed mogelijk wapenen tegen risico’s. Dat is het enige wat je kunt doen, jezelf zo optimaal mogelijk beveiligen. Zowel vanuit de technische hoek, als vanuit gedrag.”

Risico’s als fraude en gijzeling van gegevens liggen voor alle gemeenten op de loer.

De Nijmeegse dreigingsanalyse laat niet echt specifieke risico’s zien voor de gemeente, gaat Van de Klift verder. “Risico’s als fraude en gijzeling van gegevens liggen voor alle gemeenten op de loer. Die gelden dus ook voor ons. Ik vind het heel mooi dat we ze in deze dreigingsanalyse hebben opgenomen om het bewustzijn in onze organisatie te doen toenemen. Het zijn eigenlijk dingen die je best wel weet, maar waar je in de waan van de dag niet altijd bij stilstaat, wanneer je met je primaire processen bezig bent. Het is goed dat Esther en haar team ons regelmatig voorhouden dat we ons van hier meer bewust van moeten zijn. Dat heeft geleid tot de afspraak dat we met elkaar bedrijfscontinuïteitsplannen gaan maken. We kijken niet alleen hoe we risico’s vermijden, maar ook hoe we ermee omgaan als er wat aan de hand zou zijn. We hebben natuurlijk te maken met hele kwetsbare processen die door moeten.”

Bedrijfscontinuïteitplannen

Dat is de volgende stap die de gemeente nu heeft uitgezet. Zijlstra: “We gaan nu verder door de afdelingen te vragen bedrijfscontinuïteitsplannen te maken. Daarin maken ze inschattingen van wat zo’n risico betekent voor hun proces en wat de afdeling dan eventueel nog moet doen om ervoor te zorgen dat ze kunnen doordraaien.” Van de Klift gaat verder: “Het is fijn om dat aan de voorkant te regelen en niet alleen wanneer er een probleem zich voordoet. We zijn daar heel bewust met elkaar mee bezig.”

“De e-mail is het meest kwetsbare medium.”

Volgens de gemeentesecretaris is het grootste risico de klantgerichtheid, waarin de gemeente jarenlang heeft geïnvesteerd. “Dat verhoudt zich niet altijd even goed met die veiligheidskant die we willen inbouwen. Dat zie je bij afdelingen die heel erg dicht bij de klanten staan, zoals bijstandsverlening en Wmo. Die zijn heel erg ingericht om klantgericht inwoners te benaderen. Dat maakt het daar extra lastig om allerlei veiligheidsmaatregelen in te bouwen om dat proces ook echt veilig te maken. Daar voeren we gesprekken op managementniveau over.”

Een ander punt van aandacht is dus het bewustzijn van de kwetsbaarheid bij leveranciers. Zijlstra: “We zijn, net als andere gemeenten, afhankelijk van leveranciers omdat we delen van onze processen bij hen hebben neergelegd. Als zij uitvallen, vallen wij ook uit. Wanneer zij gehackt zijn, of documenten versturen waarin virussen zitten, kan dat een gevolg hebben voor onze processen. Of nog erger, burgers kunnen ook besmet raken door op een link te klikken. Omdat je in een keten zit geef je dat soort ellende ook aan elkaar door. Dat maakt je kwetsbaar. Als je processen uitvallen is je klantgerichtheid weg.”

Een voorbeeld is de e-mail, noemt Van de Klift: “Dat is het meest kwetsbare medium. Als je eens zou uitrekenen hoeveel besmette mails we binnenkrijgen als gemeente, dan is dat schrikbarend hoog. Gelukkig worden de meeste er aan de voorkant al uitgefilterd. Maar alertheid blijft geboden.”

Alerte cultuur

De risico’s zijn een vast agendapunt bij het managementteamoverleg geworden. Uit een onderzoek van de provincie Gelderland naar de kwetsbaarbaarheid van gemeenten, het project Troje, waarbij onder meer een mystery guest langskwam, bleek dat er nog wel wat te verbeteren valt in hoe de Nijmeegse medewerkers omgaan met die veiligheid. “Dat nemen we heel serieus”, stelt Van de Klift. “We willen een alerte cultuur stimuleren. Een van de voorbeelden is dat we nog niet zo lang geleden toegangspoortjes hebben geïnstalleerd waar je alleen door kan met een druppel/pas. We zien dat mensen vanuit die klantvriendelijkheid toch mensen meenemen door die poortjes. Daar besteden we veel aandacht aan. We zijn een grote organisatie met meer dan 2300 medewerkers. We kennen gewoon niet al onze collega’s. Hoe krijg je dit bij zoveel mensen tussen de oren? Het gaat over bewustwording, daar helpt onze dreigingsanalyse ook bij.”

Gemeenten die advies willen om een eigen analyse te maken kunnen aankloppen in Nijmegen.

Zijlstra hoopt dan ook vaker zo’n analyse te maken om de ambtenaren in Nijmegen scherp te houden. “De buitenwereld verandert zo snel, dus je moet dit af en toe herzien, het liefst om de twee of drie jaar. Bij een volgende dreigingsanalyse verwacht ik meer informatie uit de eigen organisatie te kunnen gebruiken, omdat de bewustwording onder de collega’s toeneemt. Los van een dreigingsanalyse, die zorgt voor bewustwording, is het ook noodzakelijk om op individueel niveau mensen bij de les te houden en bewust te maken van de risico’s die eigenlijk elke dag op de loer liggen.”

Aankloppen bij Nijmegen

Gemeentesecretaris Astrid van der Klift

Gemeenten die meer willen weten of advies willen om een eigen analyse te maken kunnen altijd aankloppen in Nijmegen, stelt Van de Klift. “In heel Nederland zijn we met elkaar bezig om te kijken hoe we ons tegen dreigingen kunnen wapenen. We hebben elkaar hard nodig om lessen die we trekken uit dingen die wel of niet goed gaan met elkaar te delen. We zijn er in ieder geval actief mee bezig in de hele organisatie.”

Over de IBD

De Informatiebeveiligingsdienst (IBD) van de VNG ondersteunt gemeenten bij:
– De inrichting van Informatiebeveiliging & Privacy
– Incidenten
– Kennisdeling

De IBD heeft een uitgebreid aanbod aan producten en diensten op het vlak van informatiebeveiliging en gegevensbescherming, inclusief een zeer uitgebreid aanbod op het vlak van Bedrijfscontinuïteitsmanagement: (BCM). CISO’s, FG’s en PO’s van gemeenten maken hier veel gebruik van.
De IBD kan ook de gemeentesecretaris en de burgemeester van advies voorzien. Zowel op het vlak van preventie als bij incidenten.
Info@ibdgemeenten.nl

Source

Platform Informatie Technologie en Recht

Nijmegen werkt aan alerte veiligheidscultuur

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis