Enige tijd geleden vond er bij de gemeente Almelo een datalek plaats. Maar liefst 20 gigabyte aan data werd via malware gestolen. Inmiddels is gebleken dat daar persoonsgegevens tussen zitten van Almelose burgers, maar ook van een aantal andere gemeentes. Almelo riskeert nu een boete wegens het lekken van privacygevoelige informatie, en kreeg bovendien felle kritiek van de zustergemeentes. Lopen meer gemeentes dit soort grote risico’s?
Er is al veel geschreven over de nieuwe Wet bescherming persoonsgegevens (Wbp) en de gevolgen voor organisaties. Datalekken moeten om te beginnen altijd gemeld worden aan de Autoriteit Persoonsgegevens, die vervolgens zal beoordelen of het sprake is geweest van nalatigheid bij de beveiliging. Zo ja, dan kan er een boete of een andere sanctie opgelegd worden. In het geval van de gemeente Almelo valt te constateren dat het allemaal beter had gemoeten. 20 gigabyte is een hoeveelheid data, die in een goed beveiligde omgeving niet zomaar ongemerkt gestolen kan worden. Juist door de decentralisatie van het sociale domein wordt de gegevensuitwisseling omvangrijker en gevoeliger. En hebben we hier ook geen generiek probleem bij een groter aantal Nederlandse gemeenten te pakken?
Shared service center
Almelo verschilt niet veel van andere gemeenten in Nederland. De it-dienstverlening van een gemeente wordt vaak geleverd vanuit een shared service center (ssc), waar vandaan ook andere gemeenten bediend worden. Dat is efficiënter dan de it zelf regelen, maar het zorgt er wel voor dat een groot deel van de uitvoering van werkzaamheden elders komt te liggen. De interne security-kennis die overblijft, is daardoor vaak erg beperkt. En dit terwijl de uiteindelijke verantwoordelijkheid voor informatieveiligheid niet uitbesteed kan worden. Daar komt bij dat medewerkers vaak de zwakste schakel in de beveiligingsketen zijn. Dat is overigens niet uniek voor gemeenten, maar het leidt er dus wel toe dat er datalekken kunnen ontstaan, zoals bij de gemeente Almelo.
Uit een onderzoek in samenwerking met SecureLabs is inmiddels gebleken dat het datalek ontstond door het gebruik van een browser plug-in op een computeraccount van een medewerker, die vanaf 2 mei tot 9 september actief was. Verder werd ook bekend gemaakt dat er vermoedelijk persoonlijke gegevens van zo’n 282 inwoners van de gemeenten Wierden, Tubbergen, Dinkelland en Twenterand zijn gelekt. De gemeente Almelo werkt voor deze gemeenten in het kader van de Participatiewet. De gelekte gegevens bestaan uit het Burgerservicenummer (BSN), al dan niet in combinatie met naam, geboortedatum of kenteken. Er is uiteraard een zeker risico op misbruik van deze gegevens.
De vraag is nu of de gemeentelijke it-infrastructuur een adequaat niveau van beveiliging bood, aangezien het lek werd veroorzaakt door een ambtenaar. Dit heeft alles te maken met de controle die een organisatie heeft over zijn eigen kantoorautomatisering, en welke vrijheden medewerkers hebben om bijvoorbeeld eigen software, of in dit geval een plug-in, te installeren.
Naar mijn mening kan beveiliging voor een groot deel geborgd worden door de bekende certificeringen op dit gebied, zoals ISO 27001:2013 (in gemeenteland het Basisniveau Informatiebeveiliging Gemeenten). Daarmee worden de juiste processen en systemen vastgelegd voor de bescherming van privacygevoelige data. Maar voor doelbewuste hackers ben je dan nog niet veilig. Die zullen langs allerlei creatieve wegen en technieken proberen om toch op het netwerk in te breken. De gemiddelde gebruiker is dan helaas vaak de makkelijkste ingang.
Penetratietests en controle
Om die reden benadruk ik in mijn werk bij klanten ook altijd het belang van reguliere penetratietests en phishing-tests om ook dit soort risico’s proactief in kaart te brengen. Hoe veilig gaan gebruikers om met hun logingegevens? Klikken zij zomaar op allerlei risicovolle links? Installeren zij allerlei niet toegestane software? En hoe makkelijk zijn ze onder valse voorwendselen over de telefoon te bewegen om een hacker toegang te geven tot hun systeem?
Daarnaast is er ook behoefte aan security-oplossingen die iets verder gaan dan enkel het controleren van login-gegevens. Een web-application firewall (waf) kan hierbij helpen, maar ook het netwerkverkeer zou gemonitord moeten worden met bijvoorbeeld Intrusion Detection System (IDS). Dan kan er niet meer ongezien gigabytes aan data via het internet weggesluisd worden.
Eigen verantwoordelijkheid
Security blijft zeker bij kleinere gemeentes een risico dat deels het gevolg is van een kostentechnische overweging. Ik hoop dat het datalek van Almelo leidt tot meer aandacht voor dit probleem. Door it uit te besteden naar een shared service center kun je mogelijk deels voldoen aan de regelgeving op het gebied van security, maar het blijft altijd de verantwoordelijkheid van de gemeente zelf. Daarnaast zal periodieke toetsing vanuit de betreffende gemeente moeten plaatshebben.
Er is meer security-kennis op locatie nodig, maar ook moet er budget vrijgemaakt worden om de security regelmatig te testen. Medewerkers moeten bovendien goed en regelmatig voorgelicht worden over het veilig omgaan met de gemeentelijke it-systemen en de privacygevoelige data waar ze mee werken. Alleen dan kun je een optimale beveiliging garanderen.
