Informatiebeveiliging: breng je organisatie en techniek in balans

Online Ronde Tafel gemeenten

Solvinity en Quarant brachten woensdagochtend 13 oktober I&A-verantwoordelijken van gemeenten en experts online bijeen voor de Ronde Tafel ‘Informatiebeveiliging: breng je organisatie en techniek in balans’. Net als een half jaar geleden, tijdens de Ronde Tafel over het gemeentelijk I&A-beleid in het post-coronatijdperk, was het een geanimeerde bijeenkomst over een actueel en urgent onderwerp. Er is vrijwel dagelijks nieuws over gehackte bedrijven en systemen, en ransomwareaanvallen. Het technische aspect is interessant: hoe houd je de poort gesloten? Maar, zou Jaap de Jonge van gemeente Hof van Twente bij zijn presentatie zeggen: “Techniek is makkelijk.” De factoren mens en organisatie zijn veel weerbarstiger. Een goede balans tussen deze drie componenten is essentieel voor het informatiebeveiligingsbeleid.

Volwassenheid informatiebeveiliging

Uit het vooronderzoek onder de deelnemers aan de Ronde Tafel kwam naar voren dat de helft aangeeft op volwassenheidsniveau 3 (op een schaal van 5) te zitten van de Baseline informatiebeveiliging Overheid (BIO), het door de BIO geadviseerde minimum. De andere helft zit op 1 en 2. Uitdagingen zitten volgens de deelnemers in het regie houden over uitbestede diensten, het beschermen tegen en monitoren van malware en online bedreigingen, en het garanderen van de bedrijfscontinuïteit (back-ups, redundante systemen). Hoe ga je de toenemende cyberdreiging tegen? Ruim een kwart wil dat doen door het interne beveiligingsteam uit te breiden. 40% doet een beroep op externe specialisten. De reden om hulp in te roepen is vooral de zorg om de bedrijfscontinuïteit. Gevraagd naar in hoeverre medewerkers betrokken worden bij de informatiebescherming, geven de meesten aan dat dat beperkt blijft tot cursussen en e-learnings. Bij 70% maakt informatieveiligheid geen deel uit van de functioneringscyclus.

Casus Hof van Twente

Jaap de Jonge, Gemeente Hof van Twente

Maak niet de fouten die wij gemaakt hebben.

Vervolgens nam beleidsmedewerker informatievoorziening Jaap de Jonge van gemeente Hof van Twente het virtuele podium. Jaap besprak de casus van Hof van Twente en gaf een bijzondere inkijk uit eerste hand in de hack en het herstel bij de gemeente. Niet alleen in wat er technisch fout ging, maar ook wat het in bredere context teweeg bracht. “Maak niet de fouten die wij gemaakt hebben”, was vooral zijn boodschap.

Principieel besluit: niet betalen

De oorzaak van de hack was kortweg een combinatie van een FTP-server die van buitenaf bereikbaar was en een admin-account met een te simpel wachtwoord. Verder bleek er geen DMZ (demilitarized zone – een ‘niemandsland’ als barrière) te zijn en was de IT-omgeving nauwelijks gesegmenteerd, waardoor de hackers – eenmaal binnen – vrijwel overal bij konden. Alle on-premises systemen (applicatie-, database- en fileservers) plus virtuele desktops waren gewist en de online back-up (de enige) was versleuteld. Na onderzoek bleek overigens dat de hackers anderhalve maand eerder al binnen waren gekomen.

Aanbevelingen

Na de eerste ‘volledige ontreddering’ werd het systeem weer opnieuw opgebouwd. De gemeente nam een principieel besluit om de hackers niet te betalen. Een vraag van een deelnemer was of dit geen mooie aanleiding was om meteen het applicatielandschap volledig te vernieuwen. Jaap gaf aan dat de chaos en ontreddering te groot waren om de organisatie ook nog te belasten met de invoering van nieuwe applicaties.

Een aantal aanbevelingen van Jaap de Jonge:

• vertrouwen is goed, controle is beter
• werk onder IT-architectuur
• wees een lerende organisatie
• zorg voor voldoende mandaat van de technische IB-verantwoordelijke
• accepteer als kleinere gemeente dat de kosten voor informatiebeveiliging relatief hoog zijn
• houd er rekening mee dat outsourcing en SaaS kwetsbaarheid in de ‘eigen’ informatie en kennis oplost, maar ook nieuwe uitdagingen oplevert
• moet informatiebeveiliging niet een zaak van landelijk belang worden? Defensie regel je immers ook niet per gemeente.

De case van Hof van Twente en het verhaal van Jaap de Jonge lieten met name zien hoe groot het belang van informatieveiligheid is en illustreerden dat het niet alleen een kwestie van technologie is
maar ook (of misschien wel juist) een organisatorische uitdaging. Gaat het mis, dan is de impact enorm. De schade van Hof van Twente ligt tussen de 3 en 4 miljoen euro out-of-pocket kosten en nu,
bijna een jaar later, merkt de gemeente nog de gevolgen.

Adviezen en ‘lessons learned’

Na het verhaal van Hof van Twente brak het moment aan om vooruit te kijken: wat kunnen gemeenten nú doen om hun informatiebeveiliging naar een hoger plan te tillen? In een aantal korte deelpresentaties vanuit Solvinity en Quarant werd dit belicht vanuit drie verschillende hoeken die hierop van invloed zijn: techniek, mens en organisatie. Izak-Jan van den Nieuwendijk, cloud securityexpert bij Solvinity, ging in op de belangrijkste technische maatregelen en hoe security in een public cloud eruit kan zien. Wim Hoekstra (Partner bij Quarant) en Rob van Ewijck (Business Manager bij Solvinity) deelden hun visie op de organisatorische en menselijke aspecten van informatieveiligheid. Hierna ging de groep uiteen in break-outrooms. Dit gaf hen de kans om in een kleiner comité met experts en collega-gemeenten verder te discussiëren en ervaringen te delen.

De belangrijkste inzichten in de drie kernthema’s:

1. Techniek

Met technische maatregelen kun je de kans op én de impact van een hack dramatisch verkleinen. Maak van je IT-omgeving een politiestaat, waarbij ‘zero trust’ het uitgangspunt is. Verder is het van belang om de omgeving te segmenteren en de segmentovergangen te ‘hardenen’ (Security by Design). Zorg voor adequate beveiliging van alle toegang (multifactorauthenticatie), strenge monitoring van (verdachte) systeemactiviteit en meer back-ups op meer plekken en meer media (3-2-1). Minimaliseer risico’s en verhoog de kwaliteit door zoveel mogelijk te automatiseren.

2. Mens

Rob van Ewijck, Business manager Solvinity

Informatiebeveiliging is van iedereen. Security awareness is nodig op drie niveaus.

De mens is nog vaak de zwakste schakel. Zorg dus voor bewustzijn in je organisatie en maak security onderdeel van de taakomschrijving. Rob: “Informatiebeveiliging is van iedereen. Security awareness is dus nodig op drie niveaus: niet alleen bij de eindgebruikers, maar ook bij het bestuur en de IT-afdeling.” Zorg dat het bestuur een voorbeeldrol inneemt en het belang van security uitdraagt naar de organisatie. Laat daarnaast de IT-afdeling security opnemen in al zijn processen en oefen incidenten. Denk daarbij ook aan een communicatie- en actieplan mocht het toch mis gaan: wanneer stress een rol speelt, kan een helder plan om op terug te vallen je reddingsboei zijn. Investeer tot slot over de gehele linie in kennis, implementatie, digitale vaardigheden en training. In dat licht biedt Solvinity een praktische en gratis thuiswerkmodule aan: Security-Awareness-as-a-Service.

3. Organisatie

Jaap de Jonge: “De inhoudelijke kennis van en aandacht voor IT-veiligheid waren te gering op bestuurs- en managementniveau. Verder was er een familiecultuur in onze organisatie, en onvoldoende oog voor de risico’s die we lopen.” Wim Hoekstra onderstreepte dan ook het belang van draagvlak en kennis op bestuursniveau. Verder is het van belang om de volwassenheid van de governance te toetsen; zijn alle verantwoordelijkheden wel belegd? Kijk daarom in P&O-sfeer naar je kwetsbaarheid: hoeveel mensen hebben ergens verstand van? Dat kan van binnenuit lastig zijn. Het kan daarom helpen je organisatie eens door externe specialisten te laten bekijken.

De tijd van vrijblijvendheid is voorbij

Een lastige kwestie voor gemeenten blijft het organisatievraagstuk: waar beleg je informatiebeveiliging en risicomanagement? Bovendien is het behalve technisch of organisatorisch ook nog vaak een financiële kwestie. Niet overal is budget voor. En bij bestuurders lijkt nog steeds onvoldoende gevoel van urgentie te zijn, ondanks de toename van het aantal incidenten. En is dat gevoel van urgentie er wel, dan denkt nog steeds een groot deel, getuige het vooronderzoek bij deze Ronde Tafel, dat de nieuwe uitdagingen op te lossen zijn door intern het team uit te breiden. Met de krapte in de huidige arbeidsmarkt lijkt dat vrijwel onmogelijk. Voor de meeste gemeenten is het bovendien in kennisniveau en technische kwaliteit niet meer bij te benen. Het inschakelen van externe specialisten en doorpakken richting de cloud – zie ook het verhaal van Hof van Twente over de specifieke kwetsbaarheid van de on-premises omgeving en applicaties – lijken dan voor de hand liggende opties.

Informatiebeveiliging moet in het DNA van de hele organisatie komen:

• Bestuur – stel de juiste en voldoende middelen ter beschikking en geef security een plek op strategisch niveau aan de bestuurstafel.
• IT-organisatie – richt je processen, sourcingstrategie & techniek in.
• Medewerkers – investeer in next level kennis en vaardigheden, maak security onderdeel van de taakomschrijving.
• Extern – werk intensiever samen en maak (meer) gebruik van kennis en ervaring op de markt, van zowel partners als collega-gemeenten.

De tijd van vrijblijvendheid als het gaat om informatieveiligheid is absoluut voorbij. Dat is al jaren de boodschap van Solvinity en Quarant, en de case van Hof van Twente onderschrijft dat nog maar eens op zeer expliciete wijze.