Onlangs is het eerste Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten gepresenteerd met risico’s en prioriteiten voor informatieveiligheid. Hoe zorgen kleine gemeenten als Bergen, Uitgeest, Castricum en Heiloo ervoor dat zorgvuldig met persoonsgegevens wordt omgegaan en de privacy van inwoners gewaarborgd blijft?

Vraag aan de burgemeester van Heiloo met welke incidenten rondom informatieveiligheid de gemeente de afgelopen jaren te maken heeft gehad, en hij heeft meteen een lijstje paraat. Zo was er een groot datalek van persoonsgegevens bij een aanbestedingsproces (‘dat ging helemaal verkeerd’), verloor een leverancier een laptop met daarop vermoedelijk gegevens van inwoners en is een van de collegeleden zijn iPad kwijtgeraakt onderweg naar het stadskantoor. Heiloo staat hierin niet alleen, integendeel. De visitatiecommissie Informatieveiligheid van de VNG stelt in haar eindverslag Durven leren dat het onderwerp ‘vrijwel iedere week terugkomt op de voorpagina’s van de kranten’. ‘Dit soort incidenten is heel vervelend en kan verstrekkende gevolgen hebben, maar we leren er wel van’, zegt Hans Romeyn, burgemeester van Heiloo en binnen de BUCH – de ambtelijke organisatie van Bergen, Uitgeest, Castricum en Heiloo – bestuurlijk verantwoordelijk voor informatieveiligheid en privacy.

Startsein
26 oktober 2016 was het informele startsein voor de vier gemeenten om samen sturing en invulling te geven aan informatieveiligheid. Die dag kwam de visitatiecommissie op bezoek, die onder leiding van burgemeester Frans Backhuijs van Nieuwegein de afgelopen twee jaar langs 120 gemeenten is geweest om te zien hoe het met de informatieveiligheid is gesteld. Sinds dat moment is informatieveiligheid in de Noord-Hollandse gemeenten een van de topprioriteiten. De aanbevelingen van Backhuijs zijn in BUCH-verband opgepakt. Een van de voordelen om dat met vier gemeenten samen te doen, is dat er een fulltime Chief Information Security Officer (CISO) aangesteld kon worden, terwijl dat eerder een deeltaak van een medewerker was. De lijnen tussen Romeyn, Guy Heemskerk (algemeen directeur van de BUCH en gemeentesecretaris van Heiloo) en CISO Youri Lammerts van Bueren zijn kort. ‘We hebben eens in de drie weken overleg’, zegt Romeyn. ‘Maar mijn nummer zit bij Youri onder de speed dial-knop. Als het nodig is, belt hij me direct.’

Maak de CISO belangrijk en laat hem of haar de agenda bepalen, zo luidt een van de adviezen van de Informatiebeveiligingsdienst (IBD) van de VNG in het onlangs verschenen Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten (zie kader). Daar hebben de BUCH-gemeenten naar geluisterd. ‘Onze CISO is heel goed in het verbinden van het strategisch en het operationeel niveau’, zegt Heemskerk, die binnen de Buch-directie verantwoordelijk is voor informatieveiligheid. Hij zit als het ware boven in de stuurhut van een groot schip, kijkt om zich heen en ziet wat er op ons afkomt. Maar als er iets gebeurt, is hij zo beneden in de machinekamer om het lek te dichten.’

Het bezoek van Backhuijs leverde in Heiloo nauwelijks verrassende inzichten op, maar wel het besef dat er structureel aandacht voor informatieveiligheid moet zijn. Heemskerk: ‘Dat we goede risicoanalyses moeten maken en prioriteiten benoemen zonder als een kip zonder kop met de waan van de dag bezig te zijn.’ De BUCH-organisatie stelde een jaarplan voor 2017 op waarvoor extra geld nodig was. ‘De gemeenteraden stonden in eerste instantie niet te springen om in de eigen organisatie te investeren. Zij geven het geld liever aan een sportvereniging’, zegt Romeyn. ‘De raadsleden vroegen zich ook af of we wel zo’n groot risico lopen en of dit niet in het standaard-ICT-budget zit.’ Bijkomend voordeel voor de Noord-Hollandse gemeenten is dat de ICT-systemen vanwege de ambtelijke fusie opnieuw worden ingericht. Heemskerk: ‘We houden alle applicaties die door de vier gemeenten worden gebruikt tegen het licht. Van de 3000 zijn er straks nog 600 over. Tegelijkertijd kunnen we extra aandacht besteden aan de veiligheid van alle kwetsbare data die we gebruiken.’

Hacker
Een van de risico’s die het dreigingsbeeld van de IBD laat zien, is dat mensen nu eenmaal fouten maken. Daarom moet er fors geïnvesteerd worden in bewustwording, zo luidt het advies. In de BUCH-organisatie hebben ze daar verschillende manieren voor. Voor alle medewerkers is een e-learningprogramma beschikbaar en er worden lezingen georganiseerd. Maar de bestuurders en ambtenaren worden ook op de proef gesteld.  Zo stuurde een hacker een tijdje geleden een e-mail naar 250 medewerkers van de BUCH. Daarmee werd het inlogscherm van het thuiswerken nagebootst. Ambtenaren werd gevraagd het wachtwoord en het token om vanuit huis in te loggen in te voeren. ‘Binnen no time zat deze ethische hacker op ons netwerk’, vertelt Romeyn. ‘We wisten dat dit zou gebeuren en waren benieuwd hoe de organisatie hiermee om zou gaan.’

Crisis 
De CISO hield zich bewust afzijdig en nam zijn telefoon niet op. ‘Het was wel even crisis, er was echt paniek onder de medewerkers’, aldus Romeyn. ‘De IT-jongens waren er heel druk mee. Vanwege de ambtelijke samenwerking waren zij net bezig met een cruciaal onderdeel om de ICT beter op elkaar af te stemmen. En dan overkwam hun zoiets, dat was een enorme tegenvaller.’

++++++++++++++++++++++++++++

Incidenten melden graag! 

De Informatiebeveiligingsdienst (IBD), een collectieve dienst door en voor alle gemeenten die in 2013 is opgericht, heeft dit jaar voor het eerst het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten gepubliceerd. Het is een aanvulling op het Nationaal Cybersecuritybeeld (CSBN) van het Nationaal Cyber Security Centrum (NCSC), dat zich op de rijksoverheid en de zogeheten vitale sectoren richt. De IBD brengt met het dreigingsbeeld de risico’s en prioriteiten voor gemeenten in kaart. Eind 2018 komt de volgende editie uit.

Nausikaä Efstratiades, hoofd van de IBD, roept gemeenten op incidenten rondom informatieveiligheid te melden. ‘Ook al heb je onze hulp niet nodig, we kunnen de informatie goed gebruiken om een accuraat en actueel dreigingsbeeld bij te houden.’

Verschenen in VNG Magazine, 20 april 2018