Alle gemeenten hebben toegezegd om voor eind januari 2017 te voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Maar wat is dat: de BIG? Computable was te gast op het accountantskantoor RSM Wehrens Mennen De Vries in Eindhoven en kreeg uitleg van vier deskundigen uit het overheidsveld.
Stel je voor: je hebt een afspraak op het gemeentehuis om je paspoort op te halen. Op het kantoor blijkt dat je de afspraak moet verplaatsen. Er is geen dienstverlening mogelijk omdat het gehele ict-systeem is stilgelegd door ransomware. Een paar jaar geleden zou dit nog een denkbeeldig voorval zijn geweest. Inmiddels is het bittere realiteit. Afgelopen juni gebeurde dit bij de gemeente Amstelveen nadat een medewerker op een malafide link in een mail had geklikt.
Maar Amstelveen is niet de enige gemeente die werd getroffen door een cyberaanval en met ict-beveiligingsproblemen kampte. Steeds meer gemeenten worden hier slachtoffer van. Zo konden in dezelfde maand zo’n zeshonderd medewerkers van de drie Friese gemeenten Ooststellingwerf, Weststellingwerf en Opsterland zo’n drie uur niet werken door soortgelijke malware.
Zelfregulering
Vanwege het groeiend aantal cyberaanvallen, met roemruchte voorvallen als Diginotar en het Dorifel-virus, en daarmee samenhangende privacyinbreuken, groeide ook de behoefte onder gemeenten om de informatiebeveiliging op orde te krijgen. Niet dat er geen regelgeving bestond, maar die was een wirwar. Tot voor kort werden de gemeenten vanuit allerlei rijksinstanties en registers, waaronder de GBA en Suwi, allerlei regels opgelegd op het gebied van informatiebeveiliging. Ook kregen zij te maken met de Wet bescherming persoonsgegevens.
De Informatiebeveiligingsdienst voor gemeenten (IBD) – de gemeentelijke tegenhanger van het Nationaal Cyber Security Centrum (NCSC) – sprong hier op in en ontwikkelde de Baseline Informatiebeveiliging Gemeenten (BIG). De BIG is een zelfreguleringsinstrument en bestaat uit een set van beveiligingsmaatregelen, inclusief fysieke beveiliging, waarmee gemeenten op een vrij eenvoudige manier een basis beveiligingsniveau kunnen halen, zegt Arie Hartog, directeur van Key2control, een leverancier van software voor informatiebeveiligingsmanagement. Hij wijst erop dat de BIG een afgeleide is van de internationale informatiebeveiligingsnorm ISO 27001. ‘Net als in andere sectoren, zoals de zorg en de waterschappen, was er vraag naar een centrale norm met daarbij een aantal specifieke richtlijnen, in dit geval voor bepaalde gemeentesituaties.’
Gaby Koelman, projectleider bij het shared service center van de gemeente Doetinchem en in dit gesprek vertegenwoordiger van de beroepsorganisatie VIAG (Vereniging van coördinatoren I&A van Gemeenten), omarmt de BIG. ‘Deze ‘baseline’ biedt houvast, waardoor niet elke gemeente het wiel hoeft uit te vinden om haar informatiebeveiliging op orde te krijgen. De BIG is zeker interessant voor de kleinere gemeenten. Zij hebben vergelijkbare ict-beveiligingsvraagstukken als de grote gemeenten, maar missen de schaal en het budget om intensief met dit onderwerp om te gaan. De BIG geeft eenduidig aan langs welke weg de informatiebeveiliging kan worden geregeld. Het is een kwestie van afkijken.’
Bijkomend voordeel is dat de BIG ook een aantal eisen stelt aan de inkoop van producten en diensten en de selectie van een datacenter, bijvoorbeeld voor een cloudomgeving, vertelt Koelman. ‘Externe partijen weten waaraan zij moeten voldoen. Dat versterkt onze positie ten opzichte van leveranciers.’
Wat is de BIG?
De BIG is ontwikkeld door de Informatiebeveiligingsdienst voor gemeenten (IBD), in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Hierbij is de Baseline Informatiebeveiliging Rijksdienst (BIR), eveneens een variant van de ISO 27001-norm, als basis genomen en is een vertaalslag gemaakt naar een richtlijn voor de gemeentelijke markt. De BIG bestaat uit drie onderdelen: een strategische en een tactische baseline voor verschillende afdelingen/functies binnen een gemeente en een groep operationele producten. Meer informatie is te vinden op www.ibdgemeenten.nl.
Stok achter de deur
Peter Westerveld, directeur van ict-beveiligingsadviseur Sincerus, vindt de BIG eveneens een bruikbare praktijkstandaard voor informatiebeveiliging. Maar dat wil in zijn ogen nog niet zeggen dat wanneer een gemeente na een BIG-audit voldoet aan de centrale richtlijn, zij ook de boel op orde heeft. ‘Het gaat om een minimale borging van de informatiebeveiliging in brede zin, inclusief organisatiemaatregelen. Het probleem is dat er daarna geen check meer is of een gemeente zich wel blijft houden aan de BIG. Ik onderscheid dan ook twee soorten gemeenten: zij die een stempel van een auditor willen halen en zij die de BIG zien als een stap naar een volwassen informatiehuishouding binnen de gemeente.’
Arie Hartog erkent dat er geen wettelijke verplichtingen bestaan, maar hij benadrukt dat de gemeenten zich bij de Vereniging Nederlandse Gemeenten (VNG) achter de resolutie hebben geschaard om voor 1 januari 2017 te voldoen aan de BIG. ‘Een gemeente komt er niet meer mee weg als zij ineens zegt ‘ach, die BIG, daar hebben wij niets mee te maken’.
Een stok achter de deur is bovendien de Meldplicht Datalekken die op 1 januari 2016 ingaat, zegt Sergej Katus, partner van Privacy Management Partners. De plicht houdt in dat bedrijven en overheden direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) – vanaf 2016 omgedoopt tot Autoriteit Persoonsgegevens – zodra zij een ernstig datalek hebben. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het wetsvoorstel is bedoeld als aanscherping van de Wet bescherming persoonsgegevens (Wbp), met oog op de toenemende cybercriminaliteit en privacyinbreuken. ‘Gemeenten moeten kunnen aantonen dat ze bij een ernstig datalek niets te verwijten valt. Dat bijvoorbeeld hun softwareversies bij de tijd zijn en dat ze zich aan de BIG hebben gehouden. Anders volgt er een boete die kan oplopen tot maximaal 810.000 euro.’
Informatiebeveiliging draait dan inderdaad meer om het behalen van een certificaat, onderstreept Hartog. ‘Voldoen aan de regels is één, daarna is er ook een bewustzijn van zowel het management als de werknemers nodig. Informatiebeveiliging moet als thema gaan leven binnen de organisatie. Dit vraagt vaak om een cultuuromslag.’ Bij de gemeente Doetinchem is het goed geregeld met de betrokkenheid, merkt projectleider Koelman. Zij vertelt dat er regelmatig testen plaatsvinden om medewerkers op de werkvloer bewust te maken van de ernst van informatiebeveiliging, zoals het rondsturen van test-phishingmails om te wijzen op het potentiële gevaar van clicken op links. ‘Ik moet eerlijk bekennen dat ik er ook een keer ben ingetrapt’, zegt ze lachend.
Cultuuromslag
Sergej Katus steltt dat het de wettelijke taak van het college is om een visie op gebied van privacy informatiebeveiliging te hanterenen en uit te dragen onder de werknemers. Het college is ook het verantwoordelijk aanspreekpunt wanneer beide niet op orde zijn. ‘Alleen gemeenten moeten nog wel gaan inzien dat dit een cultuuromslag vergt waar veel mee te scoren valt. Wanneer je netjes omgaat met de data van je inwoners, creëer je niet alleen een veilige gemeentelijke organisatie, maar ook tevreden inwoners die zich betrokken voelen.’
Een te academische benadering, noemt Hartog deze aanbeveling van Katus: ‘We proberen al twintig jaar het bestuur te overtuigen dat het goed regelen van informatie- en privacybeveiliging investeringen vergt. Dat heeft tot weinig geleid. Ik denk dat we eens van onderop moeten beginnen. Het zijn juist de ambtenaren die het meest betrokken zijn en hun werk goed willen doen. Geef hen de tools en de verantwoordelijkheid om hun werkzaamheden aan te laten sluiten op de gestelde beveiligingseisen.’
Peter Westerveld, directeur Sincerus, sluit zich aan bij Hartog. Hij vindt dat iedereen in de organisatie zich bewust moet zijn van de ernst van informatiebeveiliging, tot aan de mevrouw achter de balie aan toe. ‘Je kunt wel veel investeren in de techniek, maar als je mensen niet vertelt wat hun rol is en wat er van hen wordt verwacht, dan houden de medewerkers zich niet aan de gestelde eisen en heeft de investering weinig zin.’
Papieren tijger
De BIG helpt dus bij informatiebeveiliging. Maar wie is er binnen de gemeente verantwoordelijk om hiervoor beleid te maken? Volgens de rondetafeldeelnemers ligt deze verantwoordelijk in de praktijk bij de coördinator informatiebeveiliging, ook wel de ciso (chief information security officer) genoemd, soms vergezeld van een privacy officer. Die ciso zorgt voor een goed evenwicht tussen processen, mensen en techniek en controleert of de maatregelen uit de BIG worden gewaarborgd. Koelman: ‘Het hoeft voor mij niet per se een informatiemanager zijn. Het kan ook iemand van personeelszaken zijn of van burgerzaken, of de gemeentesecretaris.’ Westerveld sluit zich bij Koelman aan. ‘De ciso moet hoog in de organisatie zitten; het liefst iemand zonder ict-functie die voorbeeldgedrag toont door als niet-ict’er de regels na te leven. Zo’n ciso moet wel een mandaat krijgen van het gemeentebestuur; anders wordt het een papieren tijger.’
Hartog is het hier maar ten dele mee eens. Een ciso heeft inderdaad de organiserende rol met coördineren, faciliteren, betrokkenheid kweken en het bewaken van de kwaliteit van het proces, maar is niet de eindverantwoordelijke voor de informatiebeveiliging. ‘Dat is de lijnorganisatie: elke afdeling blijft verantwoordelijk voor zijn stuk informatiebeveiliging.’
Projectleider en VIAG-lid Koelman constateert dat veel gemeenten de reguliere ict-processen tegenwoordig goed hebben geregeld. Zij ervaart dat de meeste besturen inmiddels beseffen dat er structureel geld nodig is voor de aanschaf van ict-middelen. Toch menen de andere experts dat niet alle gemeenten voldoende budget vrijmaken voor informatiebeveiliging. Er zijn toch ook investeringen nodig in audits, risicoanalyses, informatiebeheersoftware, controletools, opleidingen en voorlichting. ‘Meestal betalen gemeenten dit via het lopende budget. Dat is doorgaans onvoldoende en een beperkende factor voor de structurele borging van informatiebeveiliging’, beweert Hartog.
Als voorbeeld hoe het wel moet, noemt hij de gemeente Velsen. Daar is wel budget vrijgemaakt voor de invulling van informatiebeveiliging en het benoemen van een ciso. ‘De governance werd ook gelijk op papier vastgelegd: wie is binnen de organisatie verantwoordelijk voor welke taak? Het loopt daar goed. Daar zat ook een burgemeester die affiniteit had met het onderwerp. Dat scheelt een slok op een borrel.’
Privacy
‘Gemeenten zijn al ruim vijftien jaar verplicht om aandacht aan informatiebeveiliging te besteden’, reageert Katus. ‘Echter, dit had voorheen geen prioriteit; de bestuurder had wel meer aan zijn hoofd dan dit vraagstuk. Nu, in de informatiemaatschappij, is de actualiteit van beveiliging fors toegenomen. Dit komt mede door nieuwe wet- en regelgeving, zoals de BIG en de Meldplicht Datalekken.’
Waar bestuurders moeite mee hebben is om vast te stellen wanneer er sprake is van een privacyprobleem, concludeert hij. ‘Dat komt ook doordat er meerdere vormen van privacy zijn. Er is geheime informatie, zoals het telefoon- en briefgeheim, huiselijke privacy, lichamelijke privacy en gegevensprivacy. De Wet bescherming persoonsgegevens is van toepassing op deze laatste vorm. Daarbij gaat het om de verwerking van persoonsgerelateerde data, zeg maar alles wat over iemand in een dossier staat opgeslagen. Gaat er iets mis met de verwerking en hebben personen hier last van? Dan spreken we van een privacyprobleem.’
Zo’n probleem zorgt voor een dubbele meldplicht, legt hij verder uit. Als een lek ook van toepassing is op personen, dan is het relevant om in het kader van de meldplicht naast het CBP ook deze burgers in te lichten. ‘Maar privacy betekent niet dat je niets van de ander mag weten. Het gaat erom dat een gemeente haar informatiehuishouding op orde heeft en kan laten zien dat er op een eerlijke en betrouwbare manier met informatie wordt omgegaan.’
Ict-beveiligingsadviseur Westerveld wil tot slot toch nog waarschuwen voor de schijnveiligheid die de nieuwe wet- en regelgeving kan oproepen. Zo valt het hem op dat cybercriminelen steeds meer onder de radar opereren. ‘Het duurt gemiddeld 229 dagen voor een lek wordt geconstateerd en er melding van wordt gemaakt. De technische hulpmiddelen reageren namelijk veelal nog reactief. Daarom raad ik organisaties aan actief te gaan monitoren en met slimme software afwijkende patronen op te sporen die op een aanval kunnen duiden.’
Daarnaast stelt hij vast dat de BIG vooral focust op de organisatie van informatiebeveiliging en minder op de uitvoering ervan. ‘Neem Suwinet, waar gemeenten in verbinding staan. Dat is nog steeds niet afdoende beveiligd. De Tweede Kamer stuurt er zelfs op aan om gemeenten, die de situatie laten betijen, af te sluiten. Dan kun je je ict-organisatie volgens de BIG prima in orde hebben, maar toch als gemeente een beveiligingsissue voor de kiezen krijgen. Naar dit soort uitvoeringsproblematiek zou de IBD nog eens moeten kijken.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 8, oktober 2015.
Deelnemers
Arie Hartog is directeur van Key2Control, een softwarebedrijf uit Maastricht voor interne beheersingsprocessen, waaronder informatiebeveiliging en privacybescherming. Het bedrijf biedt onder andere gemeenten ondersteuning bij de inrichting en borging van informatiebeveiliging.
Sergej Katus is partnerr van Privacy Management Partners uit Driebergen-Rijsenburg, een adviesbureau dat de private en publieke sector helpt bij privacyvraagstukken. Zo ondersteunt het bureau klanten bij het opstellen van een ‘privacy management control framework’.
Gaby Koelman werkt als projectleider bij het shared service centrum van de vier gemeenten Doetinchem, Doesburg, Aalten en Oude IJsselstreek en is in dit gesprek vertegenwoordiger van de beroepsorganisatie VIAG (Vereniging van coördinatoren I&A van Gemeenten).
Peter Westerveld is directeur van Sincercus uit Zwolle. Dit consultancybedrijf houdt zich bezig met informatiebeveiliging en digitale assessments. Het bureau werkt onder meer samen met gemeenten om de BIG te implementeren.
Dit is echt de grootste onzin die er is: Gemeenten beloven trouw aan BIG. Ze kunnen na 10 jaar nog niet eens 7 maatregelen van de ruim honderd toepassen om SUWINET een beetje veiliger te maken, er wordt maar aangemodderd. Ook met Diginotar worden er alleen punt oplossingen gedaan om maar te voldoen aan de audit. Een cultuur omslag, maar dan wel in de vorm van een tsunami, of boetes van minimaal 500 ton. Anders wordt er niet geluisterd en maar door gerommeld. Ik denk dat Arie Hartog in het artikel het nog bij het beste eind heeft, de projectleider is zoals het betaamt veel te optimistisch. Dus botte bijl erin en niet alleen een papieren tijger maken met de BIG, dit is trouwens Rijksbreed ook van toepassing. De verantwoording ligt duidelijk bij de directeuren en leidinggevenden, maar eindverantwoordelijk is de Gemeente Secretaris en Burgemeester.