KN22 | W.09 Uitbreiding informatiebeveiligingsmaatregelen

Lasten

Baten

Een taak van de gemeente is om gemeentelijke systemen en informatie te beveiligen. Dit gebeurt op basis van het strategisch gemeentelijk informatiebeveiligingsbeleid 2019-2022 en door de directie vastgesteld beleid op deelgebieden. Via het jaarplan informatiebeveiliging en privacy worden geconstateerde tekortkomingen aangepakt.

We zien een aantal ontwikkelingen die op dit moment de meeste aandacht nodig hebben:

1. Het aantal incidenten op het gebied van informatiebeveiliging is aan het toenemen. Een aantal spraakmakende incidenten hebben het nieuws gehaald zoals de hack bij de gemeente Lochem (2019), Universiteit van Maastricht (2019) en de gemeente Hof van Twente (2020).
   Hierdoor is op advies van de VNG een resolutie aangenomen waar de gemeenten zich committeren aan een aantal acties om zich beter te wapenen tegen deze dreigingen. De gemeente moet onder andere zorgen voor het volgens een standaard incidenten registeren en delen met de Informatiebeveiligingsdienst, zich (beter) voorbereiden op cyberincidenten, (grootschalig) oefenen met cyberincidenten en structureel voldoende budget vrijmaken voor blijvende weerbaarheid tegen digitale dreigingen. Een ander aspect van het bestrijden van cyberdreiging is het voorkomen ervan. Daarom moet er meer worden geïnvesteerd op two-factor-authenticatie en logging en monitoring, zie punt 2 hierna.
2. Het belang van het goed monitoren van het gebruik van informatie is toegenomen. De eisen rond logging en monitoring bestaan al langer maar verdienen nu structurelere inbedding in de werkzaamheden van de organisatie. De Autoriteit Persoonsgegevens heeft boetes uitgedeeld bij onder andere een ziekenhuis (HAGA) waarbij deze organisatie de autorisatie van het personeel in systemen wel op orde had maar geen controles uitvoerde op het gebruik van de systemen. De directie heeft in 2019 opdracht gegeven voor het uitvoeren van een verbetertraject Logging en Monitoring en stelde in december 2019 een beleid vast. Uit de ervaringen opgedaan uit dit verbetertraject is duidelijk dat er meer capaciteit en geld nodig is om op een goede manier te voldoen aan de eisen rond logging en monitoring.

Indien deze middelen niet beschikbaar worden gesteld duurt het langer om meer maatregelen om gemeentelijke systemen en informatie te beveiligen. Dit is met bestaand budget nauwelijks mogelijk. Het is tevens niet mogelijk om het gewenste beveiligingsniveau te behalen met als gevolg dat de kans op een informatiebeveiligingsincident toeneemt met een datalek, reputatieschade, verminderede of geen toegang tot informatie of systemen als gevolg

Algemene verordening gegevensbescherming (AVG)

Resolutie 'Digitale Veiligheid: kerntaak voor gemeenten' d.d. 12 februari 2021

CSTR en TICT gaan de middelen inzetten om de gemeentelijke systemen en informatie beter te beveiligen. Dit gebeurt aan de hand van:

1. Het uitbreiden van uren van de medewerker informatiebeveiliging. Deze medewerker richt zich op het implementeren van informatiebeveiligingsmaatregelen.
2. Het uitbreiden van informatiebeveiligingsmaatregelen:
   • Verhogen van het aantal security tests (zogenaamde penetratietesten);
   • De inzet van meer technische maatregelen (o.a. two-factor authenticatie, logging, certificaten, etc.);
   • Extern advies ter ondersteuning van de invoering van informatiebeveiligingsmaatregelen;
   • Opstellen en actualiseren van digitale incidentbestrijdingsplannen;
   • Periodiek oefenen van cyber incidenten.