Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Transcriptie

1 Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018

2 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente Delft in goede/veilige handen? Breed onderzoek naar informatiebeveiliging: zowel naar (technische) feiten als naar de interne cultuur (beleving) Sluit het vastgestelde informatiebeveiligingsbeleid aan op de uitdagingen waar de gemeente voor staat en wordt het beleid ook daadwerkelijk in de praktijk gebracht? Het onderzoek als 0-meting

3

4 DEELVRAGEN 1. Beschikt de gemeente over een informatiebeveiligingsbeleid dat aansluit bij de uitdagingen waar de organisatie voor staat en voldoet dat aan landelijke normen zoals genoemd in BIG en ENSIA? En hoe is de informatiebeveiliging binnen de gemeente georganiseerd? 2. Worden op systematische manier de beveiligingsrisico s in beeld gebracht en beoordeeld? Zijn daar beheersmaatregelen op getroffen en vindt er regelmatig controle en evaluatie plaats? 3. Is er sprake van bewustzijn binnen de ambtelijke organisatie ten aanzien van het omgaan met persoonsgegevens en andere gevoelige informatie? 4. Is het mogelijk oneigenlijk toegang te krijgen, zowel intern als extern, tot informatiesystemen die persoonsgegevens of andere gevoelige informatie bevatten? 5. In hoeverre is de gemeente Delft AVG proof?

5 BELANGRIJKSTE BEVINDINGEN [ 1 ] Het informatiebeveiligingsbeleid biedt ruimte voor interpretatie. Bij de uitvoering van het IB-beleid wordt gebruiksgemak vaak vooropgesteld. Beide leiden tot keuzes die het beleid soms ondermijnen. Enkele geconstateerde beveiligingsrisico s zijn inmiddels opgelost. Toenemende complexiteit van IT en regelgeving vergt aandacht voor beschikbaarheid van passende capaciteit.

6 BELANGRIJKSTE BEVINDINGEN [ 2 ] Keuzes en menselijk gedrag kunnen leiden tot beveiligingsrisico s. Informatieveiligheid wordt veelal gezien als voornamelijk de verantwoordelijkheid van IT. De mens als zwakke schakel.

7 AANBEVELINGEN AAN DE RAAD 1. Zie erop toe dat het college conform de wettelijke voorschriften en toepasselijke normen invulling geeft aan het IB-beleid. 2. Spreek met het college af dat zij de raad actief informeert als zich bestuurlijk risicovolle gebeurtenissen of calamiteiten op IB-gebied voordoen. 3. Laat u gericht voorlichten inzake de risico s van phishing activiteiten. Zorg dat u deze activiteiten herkent en weet wat u moet doen.

8 AANBEVELINGEN AAN HET COLLEGE [ 1 ] Informatiebeveiligingsbeleid 4. Draag duidelijk uit dat informatiebeveiliging een gezamenlijke verantwoordelijkheid is, van de gehele organisatie. Draag duidelijk uit dat informatiebeveiliging tevens een individuele verantwoordelijkheid van elke leidinggevende en medewerker is in de uitoefening van zijn of haar functie. 5. Scherp het IB-beleid en eventuele uitvoeringsrichtlijnen aan om ongewenste interpretatie van het IB-beleid te voorkomen en om ongewenste handelingen met gevoelige (persoons)gegevens tegen te gaan, bijvoorbeeld voor de volgende onderwerpen: het vanuit huis of elders extern werken in de basisregistratie; het open, tenzij -principe voor de toegang tot de directory-structuur; het vrijelijk kunnen gebruiken van Universal Serial Bus (USB) poorten; het oneigenlijke gebruik van het Burger Service Nummer (BSN); het meesturen van gevoelige informatie in bijlagen bij ; de fysieke toegang tot ruimtes met vertrouwelijke informatie; het samenwerken aan (beleids)documenten buiten de gemeentelijke IT-infrastructuur om.

9 AANBEVELINGEN AAN HET COLLEGE [ 2 ] 6. Formuleer richtsnoeren voor medewerkers inzake de omgang met en het aanspreken van onbekenden op de werkvloer. 7. Zorg voor voldoende middelen en capaciteit om IB ook in de toekomst te kunnen blijven realiseren. Beveiligingsrisico s 8. Plan het regelmatig plaatsvinden van externe en interne pentesten. 9. Zorg dat leidinggevenden medewerkers consequent en consistent begeleiden bij en bewustmaken op het gebied van informatiebeveiliging.

10 AANBEVELINGEN AAN HET COLLEGE [ 3 ] Bewustzijn 10. Zorg dat er zo min mogelijk interpretatieverschil is tussen het, door het college vastgestelde, IB-beleid en de uitvoering daarvan. Als interpretatie van het IB-beleid toch keuzevrijheid laat ten aanzien van de uitvoering van het IB-beleid, evalueer en zo nodig corrigeer keuzes als deze het IB-beleid niet blijken te ondersteunen. Oneigenlijke toegang 11. Train medewerkers in het herkennen van phishing s en andere pogingen tot het verkrijgen van oneigenlijke toegang tot de werkvloer en de systemen van de gemeente. Onderzoek regelmatig de uitvoering van informatiebeveiliging in de praktijk, bijvoorbeeld door phishing mail acties en door mystery guests in te zetten.

11 AANBEVELINGEN AAN HET COLLEGE [ 4 ] 12. Creëer een eenduidig Identity and Acces Managementsysteem. 13. Maak een eenduidig en herkenbaar toegangssystemen voor gasten op de werkvloer. 14. Formuleer richtsnoeren met betrekking tot de beveiliging van gevoelige (persoons)gegevens die opgevraagd, verwerkt (en in sommige gevallen gedeeld) worden door de 100%-deelnemingen. Formuleer hierin hoe toezicht en controle worden uitgeoefend.

12 AANBEVELINGEN AAN HET COLLEGE [ 5 ] Voldoet de gemeente aan de AVG? 15. Beleg zo spoedig als mogelijk de functies FG en CISO bij verschillende personen. 16. Formuleer richtsnoeren hoe de FG moet handelen in geval van een belangenconflict gedurende de periode dat de FG ook de functie van CISO vervult.

13 VRAGEN?

14 DEELCONCLUSIES [ 1 ] Informatiebeveiligingsbeleid 1. De gemeente Delft beschikt over een informatiebeveiligingsbeleid (IB-beleid) dat aansluit bij de uitdaging waar de organisatie voor staat en dat voldoet aan de landelijke normen, zoals vastgelegd in de Baseline Informatiebeveiliging Gemeenten (BIG). 2. Het management en de medewerkers leggen de verantwoordelijkheid voor naleving van het IB-beleid snel bij de IT-afdeling neer en hebben de eigen verantwoordelijkheid niet altijd scherp voor ogen. 3. De uitvoering van werkzaamheden in de dagelijkse praktijk toont aan dat er ruimte is voor interpretatie van het door het college vastgestelde IB-beleid. Hierdoor maken management en medewerkers soms keuzes die niet alleen anders zijn dan beoogd maar ook ongewenst zijn. 4. Door toenemende complexiteit van I(C)T en regelgeving neemt de werkdruk op de IT-afdeling sterk toe.

15 DEELCONCLUSIES [ 2 ] Beveiligingsrisico s 5. De beveiligingsrisico s worden op hoofdlijnen systematisch door de Chief Information Security Officer (CISO), IT-auditor en IT-afdeling in beeld gebracht en beoordeeld. Tijdens het onderzoek zijn echter op diverse detailaspecten serieuze beveiligingsrisico s ontdekt, die kunnen leiden tot misbruik door onbevoegde partijen. 6. Voor medewerkers is het niet altijd duidelijk of een persoon zich bevoegd of onbevoegd op de werkvloer bevindt en hoe zij daarmee moeten omgaan. Onbevoegde aanwezigheid op de werkvloer kan leiden tot IB-incidenten.

16 DEELCONCLUSIES [ 3 ] Bewustzijn 7. Medewerkers hebben behoefte aan meer begeleiding vanuit het management om de informatiebeveiliging in hun werkomgeving te vergroten. Beschikbare kennis wordt niet optimaal benut. 8. Onder verwijzing naar deelconclusie 3, leidt de interpretatieruimte die het vastgestelde IB-beleid biedt tot het regelmatig kiezen voor gemak van werken. Het management blijkt zich onvoldoende bewust dat zij het IB-beleid zo met bepaalde keuzes feitelijk ondergraaft. Dit kan leiden tot verlies van (de betrouwbaarheid van) data.

17 DEELCONCLUSIES [ 4 ] Oneigenlijke toegang 9. Het bleek meervoudig mogelijk, zowel van buitenaf als van binnenuit, om door middel van ( ethisch ) hacken oneigenlijk toegang te krijgen tot applicaties die ook gevoelige (persoons)gegevens bevatten. De geconstateerde gebreken zijn direct door de IT-organisatie op adequate wijze opgelost. 10. Ongeveer een kwart van de medewerkers en gemeenteraadsleden blijkt gevoelig voor phishing mails en mystery guest acties. 11. Er is geen eenduidig overkoepelend systeem voor het administreren en beheren van de toegangscontrole van de gebruikers op applicaties en systemen (Identity and Access Management).

18 DEELCONCLUSIES [ 5 ] Voldoet de gemeente aan de AVG? 12. Op 25 mei 2018 was de gemeente voldoende AVG-proof. Maatregelen waren uitgevoerd, dan wel in voorbereiding of uitvoering. 13. Het is onduidelijk of en, in dat geval, hoe de gemeente Delft toeziet op de manier waarop haar 100%-deelnemingen gebruikmaken van persoonsgegevens die afkomstig zijn van de gemeente. 14. De Functionaris Gegevensbescherming (FG) vervult tevens de functie van CISO. Het uitoefenen van beide functies kan voor de FG leiden tot een belangenconflict.