SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013 ZICHT OP VEILIG JOSÉ LAZEROMS RVB UWV HENK WESSELING TASKFORCE BID NCTV

Transcriptie

1 SPECIAL INFORMATIEVEILIGHEID OKTOBER 2013 ZICHT OP VEILIG DIGIVERKEER HENK WESSELING TASKFORCE BID DICK SCHOOF NCTV KEES JAN DE VET BESTUUR VNG JOSÉ LAZEROMS RVB UWV

2 editorial digibewust Wordt informatieveiligheid het nieuwe management buzz-woord? Gezien de urgentie die het thema de afgelopen jaren gekregen heeft, mag ik het hopen. Het Pobelka-Botnet, de DDoS-aanvallen, Lektober, het Dorifel-virus en DigiNotar hebben in elk geval ook de overheid flink doen opschrikken. Met de digitalisering van overheidsdiensten bleek een cyberincident al snel een risico voor de continuïteit van de overheidsdienstverlening. Informatiebeveiliging is de nieuwe bananenschil waar je als bestuurder heel gemakkelijk over uitglijdt als je niet oplet. Tijd dus om te zorgen dat bestuurders en overheidsmanagers meer kennis en besef wordt bijgebracht van informatieveiligheid, oordeelde de Onderzoeksraad voor Veiligheid na het DigiNotar-incident. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) kreeg van Binnenlandse Zaken de schone taak de missie te leiden. Belangrijk in het programma dat het afgelopen jaar vorm kreeg, is de boodschap dat informatiebeveiliging een onderwerp is voor de bestuurstafel en, zoals bestuurlijk hoofd Henk Wesseling en manager Douwe Leguit van de Taskforce BID in deze special benadrukken, niet langer aan de jongens van de ICT alleen kan worden overlaten. In dit magazine, dat in opdracht van de Taskforce BID werd gemaakt, laten we zien wat sturen op informatieveiligheid inhoudt en wat nodig is om het onderwerp goed verankerd te krijgen in de organisatie. Lees op pagina 6-7 hoe de verschillende overheidslagen de informatieveiligheid op orde proberen te krijgen door bijvoorbeeld afspraken te maken over minimumeisen die als basis moeten dienen voor een planning- en controlecyclus. Kijk wat samenwerking op kan leveren in een ICT-samenwerkingsverband zoals de Drechtsteden kennen (p ) en in de loonaangifteketen (p ), die tegenwoordig zelfs een eigen ketenmanager heeft. Ook de verhalen uit de praktijk beveel ik van harte aan, bijvoorbeeld van de gemeente Urk, die overstapte naar de cloud. Veel is op de rit gezet, maar de overheid is er nog niet. Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof beschrijft op pagina 9 hoe overheden op de rollercoaster van zich vermenigvuldigende cyber-risico s de toenemende versnelling van ontwikkelingen maar nauwelijks kunnen bijbenen. Schoof bespeurt dat een aantal overheidsorganisaties zich inmiddels ontwikkeld heeft van onbewust tot bewust. Het predikaat bekwaam in informatieveiligheid kan hij nog niet uitdelen. Wat is nodig voor een volgende stap? De Delftse hoogleraar Michel van Eeten verwacht veel van het organiseren van aansprakelijkheid. Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen, zegt hij. Of een afrekencultuur beter werkt dan de weg van zelfregulering die nu gekozen is, staat de komende tijd te bezien. Laten we eerst maar eens afwachten of informatieveiligheid voor voldoende buzz zorgt in de campagnes voor de gemeenteraadsverkiezingen. Chris van de Wetering Hoofdredacteur Specials deze special is een uitgave van sdu uitgevers redactieadres Postbus 20025, 2500 EA Den Haag Tel redactie@pm.nl drukkerij Senefelder Misset, Doetinchem Verschijning Deze PM-Special verschijnt eenmalig als bijlage bij ingovernment, PM Public Mission, SC, VNG Magazine en het Waterschap, in een oplage van exemplaren Hoofdredacteur Chris van de Wetering Medewerkers aan deze special Pieter van den Brand, Rutger van den Dikkenberg, Ana Karadarevic, Yvonne Kroese (illustraties), Ed Lute, Arenda Oomen (fotografie), Richard Sandee, Fred Teunissen, Maurits van den Toorn en Rianne Waterval Vormgeving Jan Heijnen - uitgever Roel Langelaar salesmanager Asha Narain Deze special is mede mogelijk gemaakt door de Taskforce Bestuur en Informatieveiligheid Dienstverlening, welke in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt en als programma is ondergebracht bij ICTU. Niets uit deze uitgave mag worden overgenomen in welke vorm dan ook zonder schriftelijke toestemming van de uitgever. De uitgever kan op generlei wijze aansprakelijk worden gesteld voor eventueel geleden schade door foutieve vermelding in het blad Sdu Uitgevers 2 PM SPECIALoktober 2013

3 of bericht voor belasting dienst bericht voor uwv bericht voor belasting dienst bericht voor uwv inhoud 6 overheden op weg naar informatieveiligheid Hoe Nieuwegein DigiNotar-incident wist te managen; wat hebben de diverse overheden al op de rit gekregen? 8 ratrace tegen bedreigingen De visie van Henk Wesseling, Dick Schoof, Michel van Eeten en Kees Jan de Vet op de digitale weerbaarheid van de overheid koppelvlakformulier schatkist ministerie van financiën kamer van koophandel nieuwe inschrijving mutatie belastingdienst belastingdienst aangifte data Correctie? centrale ontvangersadministratie intensief toezicht voorcontrole aangifte data Correctie? genereren beschikking aanslag of beschikking met evt. boete aangifte data Correctie? loket belastingsdienst koppelvlak ontvangen bufferen adresseren distribueren polisadministratie verzekerings bericht koppelvlakformulier Unit uwv loket uwv signaal signaal bijzondere premie taken heffingsadministratie werkgeversadministratie handelsregister of U bent inhoudingsplichtige, dus... herstelverzoek voorcontrole aanmaken correctieverplichting correctie verplichting werknemersgegevens loo gege claim cv, vof eenmanszaak bv, nv of anders 80 miljard loonaangifte* inclusief data correctie per werknemer loondata verplicht correctiebericht correctie loondata gevraagd of spontaan werkgever/inhoudingsplichtige per tijdvak (maand of vier weken) werknemer/verzekerde 14 'omslag in denken is nodig' DG Gert Jan Buitendijk vindt dat de digitalisering niet ten koste mag gaan van de betrouwbaarheid van publieke dienstverlening 16 Facts & figures Loonaangifteketen toont complexe opgave 4 taskforce zet in op bestuurlijke awareness Douwe Leguit van de Taskforce BID over de missie 12 goede hacker komt makkelijk binnen Hans Goedhart bepleit eigen verantwoordelijkheid 13 Herbestem en voor de digitale snelweg! Sociale Verzekeringsbank bezorgd over financiering 18 Ketensamenwerking vergt soft skills Nieuwe managementtools voor loonaangifteketen en verder: 20 uit de praktijk van de gemeente utrecht 21 Column Henri lenferink 24 Column erik gerritsen 25 uit de praktijk van de belastingdienst 26 ict-samenwerkingsverbanden doorgelicht 28 Vijf security mythes ontraadseld 30 interview Kingdirecteur tof thissen 31 uit de praktijk van de gemeente urk 32 up to date 22 gevraagd: ibewuste ambtenaar Maarten Hillenaar werkt aan het rijksdigibewustzijn PM SPECIAL oktober

4 OTaskforce zet in op bewustwording bij alle overheidslagen update InfOrmatIeVeIlIgheId VereIst OVerheIdsbrede aanpak Door incidenten als De recente DDos-aanvallen is De noodzaak evident Begin dit jaar heeft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de Taskforce BID opgezet om het onderwerp informatieveiligheid op de agenda te krijgen bij bestuurders en topmanagers van overheidsorganisaties. Informatieveiligheid gaat niet om technische beveiligingsmaatregelen alleen. De maatschappelijke en politieke risico's vragen om een bredere oriëntatie. Informatieveiligheid wil zeggen dat organisaties informatie op de juiste manier opslaan, verwerken, beheren en gebruiken, maar vooral ook kijken naar de noodzakelijke (organisatorische) randvoorwaarden om in brede zin de continuïteit van de organisatie en haar diensten te waarborgen. Dat is niet iets om er even bij te doen, het is een wezenlijk onderdeel dat het primaire proces van een organisatie direct raakt. Om te bereiken dat dit overheidsbreed wordt opgepakt, werkt de Taskforce BID nauw samen met de koepels van waterschappen, provincies, gemeenten, rijksoverheid en zbo s. Daarnaast is er een directe link met de partijen die een actieve rol hebben op dit thema zoals het Nationaal Cyber Security Centrum (NCSC), de Informatiebeveiligheidsdienst voor Het is niet de vraag of, maar wanneer iemand gehackt gaat worden. Je moet weten wat je dan gaat doen, stelt Douwe leguit, manager van de taskforce Bestuur en informatieveiligheid Dienstverlening (BiD). alle risico s afvangen kan niet. Het moet wel duidelijk zijn dat je je verantwoordelijkheid hebt genomen. De burger kan geen andere overheid kiezen. gemeenten (IBD) en het Centrum Informatiebeveiliging en Privacybescherming (CIP). De Taskforce BID is opgezet als een interbestuurlijk programma met mensen uit de diverse overheidslagen. We inventariseren samen met een interbestuurlijke werkgroep waar alle belanghebbenden in zitten, wat er op het gebied van informatieveiligheid nog ontbreekt en wat er toegevoegd moet worden, vertelt Douwe Leguit, manager van de Taskforce BID. Is bekend wat de belangen en risico s zijn? Is altijd duidelijk wie waarvoor verantwoordelijk is? Hoe kunnen we de kwaliteit verbeteren zonder direct de reruk te verhogen? Het doel is uiteindelijk een sluitende en gedragen aanpak, waarbij we voorzien in de noodzakelijke onderzoeken, opleidingen en handreikingen. Omdat er sprake is van zelfregulering ligt de uitvoering vervolgens bij de organisaties zelf. Verankeren Hoewel er al veel organisaties zijn die zich met informatieveiligheid bezighouden, zoals het NCSC waar Leguit Douwe Leguit eerder werkzaam was, is toch gekozen voor een aparte taskforce. Hij legt uit waarom: In de eerste plaats staan wij bewust los van het reguliere werk om het noodzakelijke momentum te kunnen benutten. Vanuit het reguliere werk is het in de praktijk veel lastiger om een dergelijk dossier vlot te trekken. In de tweede plaats zijn er inderdaad veel par- foto arenda Oomen 4

5 Veld In kaart aivd Algemene Inlichtingen- en veiligheidsdienst acm Autoriteit Consument en Markt at Agentschap Telecom Cbp College Bescherming Persoonsgegevens CIp Centrum Informatiebeveiliging en Privacybescherming Csr Cyber Security Raad defcert Computer Emergency Response Team van het ministerie van Defensie ecp Platform voor de Informatie Samenleving tijen betrokken bij het onderwerp; die hebben elk een verschillende en eigenstandige verantwoordelijkheid. Omdat we voor alle overheidslagen werken, hebben we als Taskforce BID enige distantie en daarmee een neutralere rol. Dit biedt ons de positie om als intermediair op te kunnen treden en zo de noodzakelijke verbinding te realiseren tussen de verschillende organisaties. De Taskforce BID kan en zal geen zaken dwingend opleggen, het streven is om in nauwe samenwerking alle overheidsorganisaties tot verplichtende zelfregulering te brengen. Je kunt wel van alles opleggen, maar uit de affaire DigiNotar hebben we geleerd dat normen en audits alleen niet voldoende zijn om de veiligheid te waarborgen, verklaart Leguit de werkwijze. Het gaat er juist om dat het bestuur, het management en de medewerkers van een organisatie hun verantwoordelijkheid nemen. Dat bereik je het beste door zelfregulering. Daar zetten wij dan ook vol op in en de gesprekken daarover lopen binnen alle overheidslagen. Dit proces kan ertoe leiden dat we aan het eind van het traject, in samenspraak met de koepelorganisaties, bepaalde zaken wél dwingend willen opleggen. Momenteel verkent minister Plasterk welke wet- en regelgeving mogelijk ondersteunend kan zijn en welke wetgeving ingezet zou moeten worden als het via de Taskforce BID niet lukt om informatieveiligheid te verankeren. Dat laatste is de essentie. Informatieveiligheid is namelijk meer dan alleen techniek, het onderwerp moet niet beperkt blijven tot de jongens van de ICT-afdeling. Het gaat veeleer om de structuur en de verantwoordelijkheidsverdeling binnen organisaties. Wij proberen juist weg te sturen van de techniek en duidelijk te maken dat het bij informatieveiligheid ook gaat om de organisatorische vraagstukken, aldus Leguit. Het management en de medewerkers moeten gaan beseffen dat het thema encs Ibd ncsc nctv nfi pvib thtc European Network for Cyber Security Informatiebeveiligingsdienst voor gemeenten Nationaal Cyber Security Centrum Nationaal Coördinator Terrorismebestrijding en Veiligheid Nederlands Forensisch Instituut Platform voor Informatiebeveiligers Team High Tech Crime van de Nationale Recherche in de hele organisatie een plaats moet hebben. Bovendien werken overheidsorganisaties steeds meer in ketens en netwerken met elkaar samen. Dat betekent dat je er niet alleen voor moet zorgen dat je eigen tuintje op orde is, maar je je realiseert dat ook de tuin van de buurman van belang is, omdat wat daar gebeurt gevolgen voor jou kan hebben. Informatiesystemen overschrijden immers vaak organisatiegrenzen en organisaties zijn daarmee afhankelijk van elkaar. Meer veiligheid en meer waarborgen klinkt alsof er allerlei belemmeringen worden opgeworpen. Het tegendeel is juist waar, stelt Leguit. Een goede informatieveiligheid kan meer flexibiliteit en meer mogelijkheden bieden om de vruchten van de digitalisering te plukken. Als je je zaakjes goed hebt gere, heb je bijvoorbeeld meer mogelijkheden tot flexibel werken, wat ten goede komt aan de kwaliteit van de dienstverlening. En als je dit als organisatie nu structureel oppakt, voorkom je problemen bij de grote veranderingen waar de overheid voor staat, zoals de decentralisaties. De Taskforce BID heeft twee jaar de tijd om in samenwerking met de koepels van gemeenten, provincies, waterschappen, rijksoverheid en zbo s te komen tot verplichtende zelfregulering per overheidslaag. Dat gebeurt door bestuurders te leren verantwoordelijkheid voor het onderwerp te nemen en door met handreikingen te komen: welke stuurvragen moet je stellen, hoe richt je je control in, hoe met de audits om te gaan, enzovoort. Om de werklast te beperken wordt gekeken of het concept van single information single audit (SISA) het systeem dat de rijksoverheid hanteert voor de verantwoording van specifieke uitkeringen hierbij ook mogelijk is. Dit zou de informatieverstrekking aanzienlijk beperken. De Taskforce BID richt zich op de verschillende overheidsorganisaties van de rijksoverheid, gemeenten, provincies en waterschappen en de zbo s. Daarbij wordt update vooral ingezet op de olievlekwerking: het ondersteunen van de voortrekkers, zodat deze hun ervaringen kunnen delen en de overige organisaties mee kunnen nemen in hun kielzog. Leguit: Door incidenten als de recente DDoS-aanvallen is de noodzaak evident en hebben we de wind mee. Daardoor kunnen we nú dit dossier oppakken, maar we moeten zorgen dat de aandacht ervoor blijft bestaan als de wind weer gaat liggen. Het is zaak dat het onderwerp een vaste plek krijgt aan de bestuurstafel en in de jaarlijkse cyclus van een organisatie. Daarmee wordt het business as usual en eigenlijk is dat onze voornaamste doelstelling. mvdt nieuwe regels De Europese privacyverordening zal op korte termijn omvangrijke privacyregelgeving met zich mee brengen. Van belang is met name de meldplicht datalekken die hieruit voortkomt. Deze meldplicht komt overeen met de reeds in Nederland bij wet voorgestelde meldplicht. De Europese privacyverordening zal waarschijnlijk voor de verkiezingen van het Europees Parlement in mei 2014 worden aangenomen en treedt dan twee jaar later in werking. De Nederlandse meldplicht zal vermoedelijk al iets eerder van kracht zijn. Medio 2013 is er een Nederlands wetsvoorstel voor een meldplicht cyberincidenten gedaan. Volgens die wet moeten vitale sectoren melding maken van ICT-inbreuken aan het Nationaal Cyber Security Centrum. Ook de Europese Netwerk en Informatie Beveiliging (NIB) Richtlijn komt met meldplicht met betrekking tot ICT-incidenten. Deze meldplicht wijkt af van de Nederlandse. Over de NIB Richtlijn wordt momenteel nog onderhandeld. Volgens de aanhangige Nederlandse wetgeving moeten ICT-inbreuken waarbij ook persoonsgegevens zijn gecompromitteerd in de toekomst gemeld worden aan zowel het NCSC als het CBP. Wanneer er sprake is van een ICT-inbreuk bij een certificaatdienstverlener van gekwalificeerde certificaten (certificaten die rechtsigheid aanduiden) moet die dienstverlener volgens aankomende wetgeving melding van de inbreuk maken aan de Autoriteit Consument en Markt, het NCSC en het CBP alls daarbij tevens persoonsgegevens gecompromitteerd worden. PM special oktober

6 GKoepels pakken het onderwerp informatieveiligheid op o verheden op w e G InformatIeveIlIGheId Is ook een kwestie van GedraG Hoe pakken de verschillende overheidslagen het onderwerp informatieveiligheid op? Vijf bestuurders en topambtenaren schetsen hoe hun koepels én hun eigen organisatie omgaan met informatieveiligheid. Iedereen denkt bij informatieveiligheid dat het alleen maar over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat, ook bij de provincies. Denk eens aan op afstand bediende bruggen en verkeerslichten, aan sluizen en tunnels. Dat zit allemaal tjokvol ICT, als daar iets verkeerd mee gaat staat het verkeer in de halve provincie vast, stelt Gea van Craaikamp, algemeen directeur en provinciesecretaris van de provincie Noord-Holland. Gea van Craaikamp Ric de Rooij De provincies hebben met minister Plasterk afspraken gemaakt over maatregelen op het gebied van informatieveiligheid. Daar gaan we uiteraard aan voldoen, maar de provincies zijn zelfstandig democratisch gelegitimeerde organisaties, geen uitvoeringskantoor van het Rijk. Zelfregulering betekent dan ook dat iedereen het in zijn eigen tempo en op zijn eigen manier doet. Dat wil niet zeggen dat we twaalf keer alles opnieuw gaan bedenken, we overleggen in IPO-verband over één standaard en één rapportagemodel. Van Craaikamp waarschuwt dat aandacht voor de techniek alleen onvoldoende is. Voor een goede informatieveiligheid zijn hard controls nodig, maar minstens zo belangrijk is het gedrag van de medewerkers, hoe gaan ze met de stukken om en met sociale media. Ze moeten zich ervan bewust zijn dat de provincie weliswaar een transparante organisatie is, maar dat bepaalde informatie vertrouwelijk is en dat niet iedereen altijd goede bedoelingen heeft. Als je dit aspect niet op orde hebt, kun je systemen beveiligen zoveel je wilt, maar dan is er desondanks geen sprake van informatieveiligheid. Informatieveiligheid kwam bij het Rijk ruim voor DigiNotar al in beeld. Incidenten rond vermiste USB-sticks die Defensie in 2007 in verlegenheid brachten, voedden de sense of urgency. We zagen ook dat de departementale websites flink werden aangevallen, waardoor we ons bewust werden van onze kwetsbaarheid, zegt psg Ric de Rooij van SZW. Hij is voorzitter van de Subcommissie Informatiebeveiliging en Privacy (SIB) van de Interdepartementale Commissie Chief Information Officers (ICCIO). Daarin zitten de elf CIO s van de departementen, die onder leiding van de rijks-cio Maarten Hillenaar de informatievoorziening en het ICT-beleid van de rijksdienst coördineren en afstemmen. Twee ontwikkelingen kwamen eigenlijk samen, waardoor het Rijk slagkracht kon ontwikkelen, vertelt De Rooij. De awareness groeide, maar vanwege de bezuinigingen moesten we ook meer samen gaan doen. Het Rijk kreeg gemeenschappelijke ICT-organisaties en stelde een rijksbrede i-strategie op. In 2012 kwam het ICCIO met de Baseline Informatiebeveiliging Rijksdienst (BIR), een instrument waarmee gemeten kan worden of de organisatie in control is op het gebied van informatiebeveiliging. Wat zou helpen om meters te maken, aldus De Rooij, is de komst van een overheids-cio; een functionaris die dedicated binnen de overheid, inclusief de zbo s, informatietechnologische ontwikkelingen, waaronder informatieveiligheid, propageert. Een soort deltacommissaris die boven de partijen staat, ook boven de rijks-cio. Een overheids-cio zou beter kunnen inspelen op kwetsbaarheden. Door de onderlinge verbondenheid in ketens is een overheidsonderdeel nu zo sterk als de zwakste schakel. Het UWV kan zijn zaken nog zo op orde hebben, maar blijft afhankelijk van de beleidspartner die dat niet heeft. De overheids-cio zou volgens De Rooij veel kun- 6 PM SPECIAL oktober 2013

7 o verheden op weg nen besparen als hij zich net als de rijks-cio bezig zou kunnen houden met aanbodsturing, zodat overheden meer samen optrekken bij de aanschaf van IT-systemen. Het UWV heeft vorig jaar samen met andere leden van de Manifestgroep het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgezet. Het doel van dit kenniscentrum is het weerbaarheids-, herstel- en leervermogen van zelfstandige bestuursorganen te versterken door expertise te bundelen. Waarom zou iedereen zelf het wiel gaan uitvinden? stelt algemeen directeur van de RDW Johan Hakkenberg, die ook voorzitter van de Manifestgroep is. Informatieveiligheid begint met bepalen wie de eigenaar van een systeem is, stelt Gert Maneschijn, corporate security officer bij de RDW. Er zijn vier vaste stappen bij de invoering van een nieuw ICT-systeem. We beginnen met te bepalen wie er de eigenaar van is: wie is aanspreekbaar, wie moet er wakker van liggen als het misgaat? De tweede stap is classificeren hoe DigiNotar was een bruuske wake-up call. In Nieuwegein kwam de Nota informatiebeveiliging daarna prompt op de bestuursagenda en door DigiNotar en Lektober gingen gemeenten hun kennis bundelen. Er kwam een gemeentelijk kenniscentrum voor informatieveiligheid, de Informatiebeveiligingsdienst voor gemeenten (IBD). Nu de urgentie zo voelbaar was, werd er op de algemene ledenvergadering van de VNG ook vrij gemakkelijk ingestemd met de financiering van de IBD uit het Gemeentefonds, zegt Backhuijs. Nu kan bij incidenten gemakkelijk opgeschaald worden. Als een gemeente een incident meldt, worden andere gemeenten ingeseind; de IBD kan ook hulp bieden bij oplossing van het probleem. Anticiperen op veiligheidsrisico s is echt iets voor de waterschappen, daarom zijn ze ooit ontstaan, vertelt Hans Oosters, dijkgraaf van het Hoogheemraadschap Schieland en Krimpenerwaard en sinds kort bestuurslid van de Unie van Waterschappen met informatieveiligheid in zijn portefeuille. Johan Hakkenberg Frans Backhuijs Hans Oosters bedrijfskritisch het systeem is, en dus hoe betrouwbaar het moet functioneren. Een derde stap is kijken of de baseline voor alle ICT-systemen voldoende is of dat er extra maatregelen nodig zijn. De vierde stap is een extra risicoanalyse voor kritische systemen: wat zijn de risico s, hoe groot is de kans dat het misgaat, hoe erg is het als het misgaat? Hakkenberg vult aan: Eigenlijk is er nog een stap voor je begint: inventariseren wat je al aan systemen in huis hebt, want dat levert soms verrassende resultaten op. En ook een opruimkalender is van belang, wat je niet meer gebruikt moet je ook echt verwijderen. Sinds begin dit jaar heeft de RDW het ISO certificaat voor informatiebeveiliging. Maneschijn is er trots op: Er zijn nog maar een paar overheidsorganisaties die dit hebben. Het bevestigt dat we bewust met informatieveiligheid omgaan. Frans Backhuijs is voorzitter van de subcommissie Gemeentelijke Dienstverlening en Informatiebeleid van de VNG en burgemeester van Nieuwegein, een van de gemeenten die getroffen werd door de problemen van DigiNotar twee jaar geleden. Nagenoeg al onze producten hadden DigiNotar-certificaten. Enkele diensten waren zelfs weken niet online beschikbaar, vertelt Backhuijs. De veiligheidscertificaten van bijna alle zestig online diensten moesten worden vervangen. Gelukkig was digitale dienstverlening nog niet zo ingeburgerd; we hadden de balies nog. De automatisering heeft bij de waterschappen al een enorme vlucht genomen, denk aan gemalen en afvalwaterzuiveringen die volledig op afstand worden bestuurd door middel van ICTtoepassingen. Vanwege dat belang heeft de Unie van Waterschappen onderzoek laten doen naar omgang van de Waterschappen met informatieveiligheid. Het bleek dat dit overal een issue was, en we konden zien wat er al aan maatregelen was genomen. Op basis van de uitkomsten van dat onderzoek hebben we een programmaplan gemaakt waarmee we invulling geven aan de verplichtende zelfregulering. Oosters vindt die zelfregulering van groot belang: Organisaties zijn alerter als ze het zelf moeten doen, dat is veel effectiever dan wetgeving vanuit het Rijk. Er is al een baseline die nu wordt geïmplementeerd en elk waterschap stelt op basis van het programmaplan een eigen plan op voor het aanpakken van informatieveiligheid. Het wordt onderdeel van de planning- en controlcyclus en er komen elk jaar audits. Dat gaat met een getrapt systeem dat steeds strenger wordt: over twee jaar komt er een peer review door collega-waterschappen en het jaar daarna volgt er een externe audit. Oosters benadrukt aan het eind van het gesprek nogmaals het belang van informatieveiligheid, maar voegt er een oproep aan toe: Laat het geen belemmering worden om door te gaan met automatisering. mvdt en Cvdw PM SPECIAL oktober

8 Vier Visies op de toekomst Van onze informatieveiligheid Digitale weerbaarheid vergt brede Samenwerking De overheid digitaliseert en informatieketens worden complexer. Data en applicaties verhuizen in hoog tempo naar de cloud en verlaten dan soms hun oude, vertrouwde behuizingen. Mobile devices werden in korte tijd alomtegenwoordig en vormen nu evenzovele toegangspoorten tot achterliggende systemen en gevoelige data. Door al deze ontwikkelingen neemt onze digitale kwetsbaarheid toe. Hoe zorgt de overheid ervoor dat ze het hoge tempo van de ontwikkelingen bijhoudt en op het gebied van informatieveiligheid niet met de onderwerpen van gisteren, maar met die van vandaag en de toekomst bezig is? Wat vraagt dit van bestuurders, maar ook van burgers en bedrijfsleven? Anders gezegd: hoe zorgen we er gezamenlijk voor dat de bad guys niet aan het langste eind gaan trekken? Vier zwaargewichten uit de wereld van de cybersecurity buigen zich over deze en aanverwante vragen. 8 PM SPECIAL oktober 2013

9 beeld Yvonne kroese Kan hij een vergezicht schilderen, een beeld van wat er de komende vijf tot tien jaar allemaal op ons af gaat komen op het gebied van cybercrime en cyberspionage? Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid, waagt zich niet aan voorspellingen. Hij trekt met zijn linkerhand een lijn door de lucht, die ter hoogte van zijn gezicht stopt: Hier komen we vandaan en hier zijn we nu. We kunnen die lijn lineair doortrekken en daar ons toekomstbeeld op baseren, maar als één ding zeker is, dan is het wel dat de werkelijkheid zich zo niet zal gedragen. Als je naar de afgelopen periode kijkt, is wel duidelijk dat de weerbaarheid van de overheid en van de vitale infrastructuur weliswaar is toegenomen, maar dat de activiteiten aan de illegale kant en dan zowel de cyberspionage als de cybercriminaliteit naar verhouding nog meer zijn toegenomen. De eindbalans is dus negatief. Het is geen hele grote min, maar toch echt wel een minnetje. Daarom hamer ik zo op awareness, op maatregelen en op het nemen van de eigen verantwoordelijkheid door betrokkenen. Schuif die niet op elkaar af. Het gaat om het welbegrepen eigenbelang van organisaties. Want als je nu nog niet begonnen bent maatregelen te treffen, dan ben je extra kwetsbaar in de toekomst. Dat komt omdat de ontwikkelingen zo razendsnel gaan en blijven versnellen. Daarom is de nationale cybersecurity-strategie geen kwestie van de verre toekomst, maar van het hier en nu. Om dezelfde reden is het ontoereikend om alleen te repareren wat er in het verleden fout is gegaan, want ook dan ga je voorbij aan de vereisten van dit moment en loop je het risico dat je morgen achter de feiten aanloopt. Het is nu juist tijd om samen te investeren in smart security. Qua cyber-awareness zijn er aanzienlijke verschillen tussen de landelijke overheid en de vitale sectoren enerzijds, en de gemeenten anderzijds. De eersten hebben inmiddels wat betreft het besef van de risico s de beweging van onbewust naar bewust wel gemaakt en bevinden zich nu in de overgangsfase van bewust naar bekwaam. Maar veel gemeenten zijn daar nog een eind van verwijderd. Er moet echt een tandje bij. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) en de pas opgerichte Informatiebeveiligingsdienst voor gemeenten (IBD) gaan hier een belangrijke rol vervullen. Vanuit het Nationale Cyber Security Centrum ondersteunen we de IBD door informatie te delen. Al deze activiteiten moeten ertoe leiden dat de awareness flink toeneemt. Dat is absoluut punt één. Bestuurders moeten doordrongen zijn van de risico s die ze lopen, met name in de vertrouwensrelatie met de burgers. Vervolgens gaat het erom dat je jezelf op cruciale onderdelen effectief beschermt Dick Schoof (nctv): DE CybErSECurIty- StrAtEgIE IS geen kwestie VAn DE VErrE toekomst, MAAr gericht op HEt HIEr En nu door forse dammen op te werpen tegen digitale dreigingen. Dat begint met kleine routines, zoals het op tijd aanbrengen van veiligheidsupdates van besturingssoftware. Toch sta ik soms versteld van rapportages waaruit blijkt dat dit onvoldoende gebeurt. En verder moet je zorgen dat je aanvallen als die plaatsvinden beheersbaar houdt en zorgt voor een passende respons. Je moet niet denken dat je ermee weg komt als je dit soort maatregelen niet treft. De burger verlangt van je dat je dit doet. Bovendien zitten er social economic benefits aan cybersecurity, want de burger zal makkelijker en sneller met je communiceren als de omgeving waarin dat gebeurt veilig is. Een belangrijk deel van de oplossingen moet door wederzijdse participatie van overheden, burgers en bedrijven tot stand komen. Je kunt deze participatie, het gebruikmaken van elkaars kennis en daarmee je weerbaarheid versterken door een responsible disclosure policy bekend te maken op je website. Hackers kunnen dan kwetsbaarheden aan je melden, zonder dat ze al te bang hoeven te zijn zich aan strafvervolging bloot te stellen omdat je aangeeft geen aangifte te doen. Keerzijde is wel dat de melder en jij er pas mee in de openbaarheid treden als de kwetsbaarheid is verholpen. Wij kregen al in de week nadat we deze policy op onze eigen website bekendmaakten een aantal waardevolle meldingen. Banken en veel andere grote ondernemingen hebben zo n policy inmiddels al. De komende anderhalve maand volgt ook het Rijk. En ik zou graag alle overheidsorganisaties in navolging van een aantal koplopers willen oproepen om hetzelfde te doen. De Taskforce BID is nu ruim een half jaar actief. Samen met het hoofd van de taskforce, Henk Wesseling, blikken we terug, bekijken we de huidige stand van zaken en kijken we vooruit. We stapten begin dit jaar in een sterk gedifferentieerd veld. Op enkele uitzonderingen na bleek dat de meeste organisaties nog weinig weten van sturing op informatieveiligheid. Maar het stadium vis ie Foto welmer keesmaat PM SPECIAL oktober

10 vis ie Foto arenda oomen SoMMIgE gevolgen VAn EEn DAtALEk zijn nu AL EEn VErzEkErbAAr risico dat mensen niet meer weten dat er überhaupt sprake is van informatieonveiligheid, zijn we inmiddels wel gepasseerd. Alleen hoe ermee om te gaan, moet op veel plaatsen nog wel vanaf het begin af aan worden opgebouwd. Om daar te komen volgen we twee lijnen: verplichtende zelfregulering en het gericht blijven op informatieveiligheid. Organisaties moeten informatieveiligheid leren te beschouwen als een vast onderdeel van de dagelijkse praktijk. Hiertoe creëren we gezamenlijk enkele handige en goede kaders en dient de rest per overheidslaag zelf ingevuld te worden. In alle domeinen van het Rijk tot de waterschappen en van provincies tot de gemeenten lopen nu al initiatieven om dit verder invulling te geven. Om te zorgen dat de huidige aandacht niet verslapt, is een systeembenadering belangrijk. Je borgt geen continuïteit door heel hard iets te roepen of door sec aan bewustzijn te werken. Daarom wordt er concreet aan de verankering in processen gewerkt, als ook aan het blijven leren van elkaar. Organisaties van de toekomst zijn wellicht van nature gespitst op informatiebeveiliging, maar op dit moment is het noodzakelijk dat juist de mensen die sturen en beslissen op hoofdlijnen begrijpen hoe informatieveiligheid technisch en sociaal werkt. Dat komt omdat de techniek en het bewustzijn over ons gedrag nog niet zodanig zijn doorontwikkeld dat je daar blind op kan vertrouwen. Je moet in staat zijn om het juiste onderscheid te maken naar risico s als gevolg van technische en gedragskeuzes. Dit kan je doen door de juiste stuurvragen te stellen. Anders laat je je alleen leiden door de deskundigen en die zijn het maar al te vaak onderling ook niet met elkaar eens. De fundamentele vragen over informatieveiligheid zijn voor het henk wesseling (taskforce bid): bedrijfsleven niet anders dan voor de overheid. WE gaan DIt onder Ook in het bedrijfsleven t dat hoe omvangrijker of gevoeliger de ControLE krijgen informatieverwerking is, hoe belangrijker de beveiliging is van die informatie. Bij basisregistraties als de GBA speelt informatieveiligheid al veel langer een centrale rol. Dat dit onderwerp nu maatschappijbreed speelt, bewijst eens te meer de ernst van de zaak. Het is niet de vraag of de eisen rondom informatieveiligheid belemmerend zijn voor sommige (politieke) dossiers. Integendeel, als je als overheidsbestuurder je informatieveiligheid niet voldoende op orde hebt, dan zal dat je belemmeren in de dienstverlening. De erfenis van deze taskforce moet zijn dat informatieveiligheid is geborgd in de organisatie van alle overheidspartijen. Naast inbedding van controle en coördinatie, plus voorzieningen zoals het opleidingsaanbod, willen we dat het overleg tussen de koepels en hun leersystemen de normaalste zaak van de wereld is. Dat wil niet zeggen dat de informatieveiligheid dan helemaal op orde is, maar het vormt wel een gedegen basis. Deze bewustwording én de concrete verankering moeten uiterlijk in het voorjaar van 2015 zichtbaar zijn bij de jaarrekening. Eigenlijk liever iets eerder en het proces moet in alle organisaties dan al veel eerder op gang gekomen zijn. We streven ernaar als Taskforce BID om eind 2014 door een vorm van monitoring een duidelijke indruk te kunnen geven over wat de voortgang is. Overigens formuleren sommige overheidslagen nu al ambities die hiermee overeenkomen of zelfs stelliger zijn. Ik ondersteun de ambitie van Digitaal 2017 van minister Plasterk volledig. Gezien de huidige ontwikkeling zou ik zeggen: het kan bijna niet anders. In de tussentijd gaat de informatisering onverdroten voort. Ook zal het besef dat je de informatieveiligheid vooraf gere moet hebben, heel snel toenemen. Er zullen zich zonder twijfel nog incidenten voordoen en af en toe zal een crimineel iets slims of onverwachts doen. Maar dit gaan we onder controle krijgen met de counterforce die nu ontwikkeld wordt, daar ben ik van overtuigd. Let wel, onder controle betekent een gerichte risicobeheersing; het zal, zoals in alle veiligheidskwesties, een strijd blijven van je risico s kennen, leren van incidenten en weer streven naar beheersen. Honderd procent veiligheid bestaat immers niet! De Delftse hoogleraar Governance van Cybersecurity Michel van Eeten pleit ervoor om cybercrime absoluut serieus te nemen, maar ook om er nuchter mee om te gaan. Maak hierin vooral rationele en proportionele keuzes. De komende jaren moeten we een antwoord vinden op de vraag: hoe ver ga je in het aanvaarden 10 PM SPECIAL oktober 2013

11 Foto arenda oomen vis ie van onveiligheid? Op bepaalde terreinen in de maatschappij is deze vraag al beantwoord, zoals bij huisinbraken of verkeersongelukken. Daar zijn we gewend aan een bepaald niveau van onveiligheid en hebben we aanvullende michel van eeten mechanismen (tu Delft): verzonnen, zoals verzekeringen. bewust, MAAr niet Op deze en andere gebieden hebben we inmid- HyStErISCH dels een aardige balans gevonden. Qua cybercrime doorlopen we nu een soortgelijk traject. Zodra we beter wennen aan het af en toe uitvallen van een service als internetbankieren, zal een deel van het mysterie verdwijnen. We zullen er niet meer zo hysterisch op reageren. Daarnaast zal de samenleving haar gebruikelijke instrumentarium inzetten. De eerste verzekeringspolissen tegen cybercrime zijn inmiddels al op de markt. Sommige gevolgen van een datalek zijn nu al een verzekerbaar risico, al wagen verzekeraars zich vooralsnog niet aan het vergoeden van directe schade. Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risicogebied. De samenleving beschikt over een enorm adaptief vermogen. Dat heeft ons in het verleden grote diensten bewezen en dat zal het ook blijven doen. Dit aanpassingsvermogen is uiteraard wel gebaseerd op organisaties of instanties die het belangrijk vinden en er hun best voor doen. Hoe het er over vijf of tien jaar uit zal zien, valt onmogelijk te voorspellen. Bepaalde takken van cybercrime zullen blijven, maar ongetwijfeld ontstaan er weer nieuwe moeilijk te bestrijden vormen. Daar komen dan weer aanpassingen op, want uiteindelijk is alles te bestrijden. De grote vraag blijft: hoever wil je daarin gaan? Dit in algemene zin beantwoorden is onzinnig. Het optimale niveau van onveiligheid bepalen we van geval tot geval. Volgens mij heeft het omgaan met criminaliteit ook in belangrijke mate te maken met het organiseren van aansprakelijkheid. Het gebeurt te vaak dat de schade van cybercrime niet terechtkomt bij de partijen die een incident hadden kunnen voorkomen. Dit moet juridisch beter worden gere en ook de overheid kan hier bijsturen of een goede prikkel initiëren. Ik geloof niet zo in hysterische oproepen dat we alles dicht moeten timmeren. Volgens mij gaat goede informatiebeveiliging over bewustwording. Daarom is wat de Taskforce BID doet absoluut noodzakelijk. Overheden moeten worden gestimuleerd om bewust afwegingen te maken omtrent informatiebeveiliging, iets wat tot nog toe nauwelijks gebeurde. Dit bewustzijn groeit gelukkig, maar de echte crux is natuurlijk dat het bestuur in staat moet zijn om hierover zinnige beslissingen te nemen. Dat is een stuk moeilijker. Resultaten kunnen we pas over een aantal jaren beoordelen, maar het is evident dat het thema nu veel zichtbaarder is en veel serieuzer wordt genomen.' Het weekend van 8 en 9 oktober 2011, waarin bekend werd dat de websites van vijftig gemeenten gehackt waren, zal hem nog lang heugen. Het was vooraf aangekondigd door onderzoeksjournalist Brenno de Winter en het gebeurde met de beste, want waarschuwende intenties, maar toch. De door Lektober getroffen gemeenten werden compleet overvallen. Kees Jan de Vet, lid van de directieraad van de VNG, maakte het allemaal van zeer nabij mee. Wij als VNG werden eveneens overvallen. Bij de gemeenten leefde de verwachting dat wij het wel zouden coördineren en oplossen, maar daarvoor kees Jan De vet (vng): kennisdeling IS HEt CEntrALE InnoVAtIEtHEMA Voor DE komende jaren ontbrak de infrastructuur. We hadden geen 24-uurs beschikbaarheidsdienst voor dit soort gevallen. En dergelijke dingen gebeuren natuurlijk altijd in het weekend... Het ministerie van Justitie vroeg ons op een gegeven moment of we de getroffen websites niet tijdelijk op zwart konden zetten, maar dat lag uiteraard niet in onze macht. De 408 gemeenten hebben allemaal hun eigen softwareleveranciers en zeer uiteenlopende systemen voor het beheer van hun websites en wij hadden daar geen centraal overzicht over. Bovendien heeft de VNG geen mogelijkheid om gemeentelijke websites te sluiten. Foto arenda oomen PM SPECIAL oktober

12 vis ie Dit incident heeft geleid tot het besluit van onze leden om de Informatiebeveiligingsdienst voor gemeenten (IBD) op te richten. De IBD moet ervoor zorgen dat we in het vervolg wél een systematisch en proactief antwoord hebben op dit soort incidenten. De IBD is ondergebracht bij KING, het landelijke kwaliteitsinstituut dat gemeenten ondersteunt. Voor de opstart is twee miljoen euro uitgetrokken. De IBD is sinds 1 januari 2013 operationeel en is zeven dagen per week en 24 uur per dag bereikbaar. Dat betekent dat er nu een goede infrastructuur is om effectief te reageren op incidenten. Andere taken van de IBD zijn preventie en kennisdeling. Twee jaar geleden stond vooral de coördinatie sterk in de aandacht en dat is logisch vanuit wat er destijds speelde, maar ik vind het belangrijk dat we met de IBD nu beter gaan doordenken op het vlak van de kennisdeling. Dat zie ik als het centrale innovatiethema voor de komende jaren. Ik hoop dat binnen twee jaar ook andere overheden waterschappen en provincies deel zullen uitmaken van de IBD, juist ook vanuit het oogpunt van kennisdeling. Dit is essentieel omdat de ontwikkelingen razendsnel gaan en onvoorspelbaar zijn. De maatschappelijke omgeving is permanent in beweging. Nieuwe ontwikkelingen landen niet automatisch in overheidsprogramma s. Er zal dus altijd sprake zijn van tablets En SMArtPHonES zijn In openbare netwerken binnen DrIE SEConDEn te HACkEn nieuwe risico s. Drie jaar geleden waren er nog geen ipads, nu werkt heel bestuurlijk Nederland ermee. Onlangs was ik bij een demonstratie waaruit bleek dat tablets en smartphones in openbare netwerken, zoals in hotels, met de juiste apparatuur binnen drie seconden te hacken zijn. Dat is echt schrikken. Al deze nieuwe ontwikkelingen maken dat we permanent naar onze omgevingen moeten kijken, dat we moeten monitoren en detecteren en alert moeten reageren. Een belangrijk onderdeel van de systematische bewustwording van risico s is een betere vastlegging van de verantwoordelijkheid voor de informatieveiligheid in gemeenten. We gaan tijdens de najaarsvergadering aan onze 408 leden voorstellen dat in alle nieuwe colleges een portefeuillehouder voor informatieveiligheid komt. Je kunt dit een vorm van verplichtende zelfregulering noemen. Het zal ervoor zorgen dat dit thema bestuurlijk geborgd wordt in het hele land. Daarnaast zullen er op allerlei gebieden landelijke werkprogramma s moeten komen, zoals bijvoorbeeld een betere beveiliging van mobiele apps. ft en el ambtenaar moet zelf ook letten op vertrouwelijk StUk' Provinciesecretaris Hans goedhart van de provincie utrecht waarschuwt voor een al te luchthartige omgang met de systemen die toegang geven tot vertrouwelijke informatie. Een inspecteur die met een gevoelig dossier in de snackbar gaat zitten en het daar laat liggen of een medewerker die het wachtwoord van zijn computer op een Post-it aan zijn scherm heeft geplakt. Het is niet de technische kant van informatiebeveiliging die Hans goedhart, provinciesecretaris in utrecht, de meeste zorgen baart. Wel dat ambtenaren denken dat de veiligheid hans goedhart goed gere is en zich daardoor onvoldoende bewust zijn van hun eigen verantwoordelijkheid. We moeten weg zien te komen van de automatiseringstechnische benadering, maar het veel meer zoeken in de manier van omgaan met informatie, aldus de provinciesecretaris. De provincie heeft haar ICt goed beveiligd, zegt goedhart, maar dat voorkomt niet dat een goede hacker toch altijd binnenkomt als hij het lang genoeg probeert. je kunt het allemaal technisch op orde hebben, maar als iemand in de systemen gericht op zoek gaat naar specifieke informatie, dan is daar bijna niet tegen te beveiligen. verkeersmanagement Provincies lopen dezelfde beveiligingsrisico s als andere overheden, maar de informatie is verschillend. zo hebben de provincies weinig van doen met privégegevens van burgers, maar behoort de beveiliging van het verkeersmanagementsysteem wel tot hun taken. Dat neemt niet weg dat als er ergens een ICt-lek is, de provincie utrecht het systeem moet platgooien, waardoor het werk niet meer gedaan kan worden. Daarnaast kan er politiek-gevoelige informatie op straat komen te liggen, benadrukt goedhart. Dan gaat het niet om mensenlevens, maar zo n lek kan wel het politieke proces verstoren. uiteindelijk gaat het om hoe ambtenaren met het systeem omgaan, stelt goedhart. Het is belangrijk dat de mensen die met de systemen werken, beseffen dat ze belangrijke informatie in handen hebben. Informatieveiligheid is niet alleen het probleem van de ICt-staf, maar moet ook in de rest van de organisatie leven. rvdd 12 PM SPECIAL oktober 2013

13 UIT DE PRAKTIJK DIGITALE SNELWEG VERDIENT TIJDELIJKE REALLOCATIE VAN MIDDELEN MOOIE AMBITIES, MAAR WIE GAAT HET BETALEN? De DDoS-aanvallen en de problemen met DigiD, die soms digitale diensten plat kunnen leggen, lieten nog eens pijnlijk voelen hoe afhankelijk de dienstverlening van de overheid is van ICT. De ambities van de ministers Plasterk en Blok, die tot nog grotere ICT-afhankelijkheid zullen leiden, baren de uitvoering dan ook een beetje zorgen. Bestuurder Ronald Barendse van de SVB, een van de grote uitvoerders, vindt dat de financiering van 'stelselvoorzieningen' als de DigiD-pas, het eid-stelsel, de authenticatie en de modernisering van de basisadministraties dan ook meer politieke aandacht verdient. In Nederland is het met de informatiebeveiliging best goed gesteld, zo heeft de afgelopen periode laten zien. DDoS-aanvallen wisten we afdoende te beantwoorden. Als dit echter de opmaat is naar de komende tien jaar, dan staat ons allen nog een behoorlijke uitdaging te wachten. De vraag is of we daarop zijn voorbereid. Immers de afgelopen periode heeft helder gemaakt hoe afhankelijk de dienstverlening van de overheid is geworden van de veiligheid van de informatievoorziening. CHAOS De belangen bij continuïteit van de dienstverlening zijn groot. De SVB (circa medewerkers) verstrekt jaarlijks voor 37 miljard euro aan uitkeringen aan mensen die volgens Barendse vaak elke maand op dat zitten te wachten. De dienstverlening is nu voor 70 procent digitaal, schat hij. Nu al zou de chaos compleet zijn als we bijvoorbeeld niet in staat zijn op tijd te betalen. Daarnaast zouden we zeker vier keer zoveel mensen nodig hebben om alle zaken handmatig in plaats van geautomatiseerd te moeten behandelen. We Het kabinet zet in de nota Digitaal 2017 in op volledige digitale dienstverlening in Een hele mooie ambitie, vindt Ronald Barendse, lid van de raad van bestuur van de Sociale Verzekeringsbank (SVB), maar hij mist de financiële paragraaf. Hoe gaan we de nationale voorzieningen bekostigen die zorgen dat digitale diensten straks ook veilig zijn? zouden burgers bijvoorbeeld weer zelf moeten vragen naar gegevens die we nu geautomatiseerd en beveiligd uitwisselen met de Belastingdienst en het UWV. Om maar niet te spreken van de maatschappelijke onrust die het te laat betalen van uitkeringen of kinderbijslag tot gevolg heeft. VERNETWERKING Qua informatiebeveiliging staan we aan het begin van een agressiever tijdperk van cyber criminaliteit, denkt Barendse, die binnen het SVB-bestuur de portefeuille ICT en informatieveiligheid voor zijn rekening neemt. Er staat ons ontzettend veel te wachten. De vernetwerking van gegevens tussen de verschillende onderdelen van de overheid heeft de burger veel gemak in dienstverlening gebracht. De beveiliging van deze gegevens en de uitwisseling met de burger is voor de overheid een groot goed. De SVB heeft samen met DUO, UWV en de 'WE ZOUDEN VIER KEER ZOVEEL MENSEN NODIG HEBBEN OM WEER ALLES HANDMATIG TE DOEN' Belastingdienst het expertisecentrum Centrum voor Informatiebeveiliging en Privacy (CIP) opgericht waarin zij hun krachten bundelen om externe dreigingen het hoofd te kunnen bieden. Ronald Barendse Aan de achterkant werken we keihard, maar er zijn ook politieke keuzes nodig, signaleert Barendse. Natuurlijk, hij begrijpt het politieke dilemma wel: in deze tijden van financiële krapte is investeren in informatieveiligheid ten opzichte van bezuinigingen in bijvoorbeeld de zorg niet gemakkelijk. 'Maar wellicht kunnen er tijdelijk middelen gerealloceerd worden,' oppert hij. Hij denkt daarbij aan reallocatie à la het Infrastructuurfonds voor wegen, verreweg het grootste fonds van het ministerie van Infrastructuur en Milieu. De digitale snelweg hoort tenslotte inmiddels ook tot onze vitale infrastructuur. CvdW 22 PM SPECIAL OKTOBER

14 inte r V i EW DG Gert-Jan BuitenDiJk Bepleit Beter samenspel BiJ ict-incidenten EEn omslag in denken is nodig De digitalisering van overheidsdiensten mag niet ten koste gaan van de continuïteit van de publieke dienstverlening, vindt Gert-Jan Buitendijk, Directeur-Generaal bestuur en koninkrijksrelaties van Binnenlandse Zaken. Het is zaak dat het openbaar bestuur investeert in informatieveiligheid om betrouwbare dienstverlening te kunnen blijven bieden. Wat heeft uw hoogste prioriteit inzake informatieveiligheid? Het DigiNotar-incident in de zomer van 2011 toont nog eens hoe indringend de invloed van informatie- en communicatietechnologie op de samenleving is geworden. De samenleving digitaliseert, maar slechts weinig mensen realiseren zich hoe belangrijk het slotje in de linkerhoek van de websites is. We vertrouwen er allemaal op dat overheidssites veilig zijn. Dit voorjaar waren er ook de nodige DDoS-aanvallen. Banken en enkele overheidsvoorzieningen waren daardoor dagenlang niet of nauwelijks voor gebruikers beschikbaar. Dat laat zien dat de grote afhankelijkheid van digitale informatievoorziening een goede informatiebeveiliging en bijbehorende noodprocedures hoogst belangrijk maakt. Gert-Jan Buitendijk De overheid legt al veel digitaal vast en communiceert veel digitaal met burgers en bedrijven. Met de doelstelling om in 2017 de dienstverlening van de overheid digitaal te laten verlopen gaat daar nog een schepje bovenop. Het openbaar bestuur moet investeren in informatieveiligheid om hoogwaardige dienstverlening te kunnen blijven bieden. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Er mag gewoon geen sprake zijn van een acuut, redelijkerwijs te voorkomen beveiligingsrisico, waardoor de veiligheid van mensen, persoonlijke informatie en organisaties in het geding komt. deze zomer bij het UWV het geval was? Dit kunnen we nooit volledig voorkomen. De technologische ontwikkelingen gaan daarvoor te snel. Maar we moeten er wel ons uiterste best voor doen om het zo goed mogelijk tegen te gaan. Uitvoeringsorganisaties zijn primair zelf verantwoordelijk voor de beveiliging van hun netwerken en systemen. Ze moeten er alles aan doen om hun en de dienstverlening te bieden die deze mogen verwachten. Het is dan ook verstandig een voorziening binnen de overheid te creeren waar de klassieke post of het vertrouwde loket een plek krijgt. Het is ook van belang dat organisaties in het openbaar bestuur door een beter samenspel tot een efficiënte en effectieve aanpak van calamiteiten komen. Ik wil daarom toe naar heldere richtlijnen en een handleiding bij digitale incidenten. Vanuit de verantwoordelijkheid voor de kwaliteit van het openbaar bestuur hecht minister Plasterk er belang aan dat er interbestuurlijke afspraken worden gemaakt over samenwerking bij digitale incidenten, om de digitale weerbaarheid van het openbaar bestuur te vergroten. Overheidsorganisaties wisselen tegenwoordig veel informatie uit en zijn vaak van el- Hoe kan voorkomen worden dat de digitale dienstverlening hapert zoals 14

15 inte r V i EW Foto BZk kaar afhankelijk. Een belangrijke ontwikkeling op dit gebied is bijvoorbeeld de uit de VNG voortgekomen Informatiebeveiligingsdienst voor gemeenten (IBD). Met de ICT-Response Board, het publiek-private samenwerkingsverband waarin nu twintig en in 2014 zestig experts zitting hebben, is een belangrijke stap gezet naar netwerksamenwerking bij calamiteiten. Hierin wordt preventie, de detectie van incidenten en de coördinatie van de probleemoplossing samen en interbestuurlijk opgepakt. We sluiten ons verder aan bij het Nationaal Response Netwerk dat de minister van Veiligheid & Justitie aan het opbouwen is. de onderzoeksraad voor Veiligheid vindt dat de kennis van informatieveiligheid bij bestuurders en overheidstopmanagers beter kan. Hoe zorgt u dat het thema bij strategische beslissingen zwaarder mee gaat wegen? De Onderzoeksraad voor Veiligheid richtte zich op de wijze waarop de overheid de veiligheid van de digitale communicatie met burgers waarborgt en de manier waarop overheden invulling geven aan digitale veiligheid. Burgers moeten erop kunnen vertrouwen dat de overheid alles in het werk stelt om de digitale communicatie met de overheid zo veilig mogelijk te laten verlopen. Daarom heeft minister Plasterk in februari van dit jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ingesteld. De bedoeling is het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zo kan er een versnelling op gang komen. De Taskforce BID zet in op vergroten van de awareness bij bestuurders en op meer bestuurlijke sturing op informatieveiligheid. Uiteindelijk moet dat ertoe leiden dat informatieveiligheid in de bedrijfsprocessen wordt verankerd, waardoor de risico s op incidenten zoals met het Citadelvirus, dat het Dorifelvirus hielp binnenkomen op veel overheidscomputers, tot een minimum beperkt worden. Er is gekozen is voor zelfregulering. Waarom die keuze? Je kunt wel een wet maken, maar het is aanzienlijk sneller en effectiever als overheden en zbo s zelf scherp en bewust sturen en reguleren. Zelfregulering betekent geen vrijblijvendheid. De Taskforce BID heeft de opdracht om verplichtende zelfregulering te helpen ontwikkelen en te faciliteren en werkt daarvoor nauw samen met de koepelorganisaties. Dat krijgt nu vorm. De rijksoverheid is druk bezig met de invoering van de Baseline Informatiebeveiliging Rijk (BIR), die bestaande departementale en interdepartementale baselines (minimumeisen) vervangt. Daarmee wordt het basisbeveiligingsniveau bij de rijksdienst gelijkgetrokken en ontstaat eenduidigheid. De BIR wordt nu vertaald naar gemeenten en waterschappen tot de Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA). De koepelorganisaties hebben die samen met de Taskforce BID ontwikkeld. Ze zijn nu ter vaststelling aan gemeenten en waterschappen voorgelegd. Belangrijker nog dan deze ontwikkelingen vind ik een omslag in het denken over informatieveiligheid. Informatieveiligheid moet standaard worden meegenomen bij het inrichten en onderhouden van informatiesystemen, waar ook leveranciers een verantwoordelijkheid in hebben. Dat lukt sneller en beter via de weg van verplichtende zelfregulering dan met wetgeving, al wil dat niet zeggen dat extra wet- en regelgeving wordt uitgesloten. De Taskforce zit er twee jaar, die tijd zal worden benut om een analyse te maken van bestaande en noodzakelijke wet- en regelgeving, inclusief de handhaving van al bestaande regels. Mocht bij de evaluatie van de Taskforce blijken dat het gewenste resultaat niet bereikt is, dan zal minister Plasterk zich beraden over mogelijke wet- en regelgeving. Wat zijn de goede voorbeelden? Ik had het zojuist al over de Baseline informatiebeveiliging Rijk (BIR) als best practice. Met ingang van volgend jaar gaat de rijksoverheid ook rapporteren. Elk jaar worden er thema s en onderwerpen uitgelicht om te kijken of voldaan wordt aan de BIR. Als buitenlands voorbeeld zou ik Estland willen noemen. Hoewel daar in 2007 door een aantal grote DDoS-aanvallen nog de kwetsbaarheid van een isamenleving ondervonden werd, is het land toch koploper geworden in e-diensten aan burgers. Zo beschikt e-estonia over e-taks, een e-politie WeiniGen realiseren ZicH Het BelanG van Het slotje in De linkerhoek van De WeBsites en tal van e-health diensten. Estland is ook bezig met de ontwikkeling van een e-identiteit voor e-burgers met een band met Estland, die zo ook vanuit het buitenland veilig kunnen communiceren met overheid en bedrijfsleven. goede basisvoorzieningen zijn van belang. Hoe staat u tegenover een basis portal of generieke kernwebsite voor gemeenten? Momenteel wordt onderzocht of er niet één loket op internet kan komen voor alle gemeenten. De kernwebsite zou bijvoorbeeld Mijnoverheid.nl kunnen zijn, waar gemeenten bij kunnen aansluiten. De VNG overlegt nu over wat een dergelijk gezamenlijk digitaal loket precies zou inhouden en hoe dit gerealiseerd kan worden. Het zou een voorbeeld zijn van samenwerking aan de achterkant op een veilige manier zonder dat burgers er iets van merken. Burgers willen graag hun eigen gemeente blijven herkennen. de uitvoerders maken zich zorgen of het authenticatiemiddel eid, dat digid moet vervangen, er wel op tijd zal zijn. Wat is de planning? Het kabinetsbesluit voor de invoering van het eid-stelsel en de uitrol van de kaart is in voorbereiding. Het streven is om dit besluit aan het einde van het jaar aan het kabinet voor te leggen. Daarin komen ook afspraken over de veiligheid. Ik begrijp de zorg, we kunnen op dit terrein nooit snel genoeg zijn, maar willen we echt een toekomstbestendiger systeem, dan moeten we ook zorgvuldig zijn. DigiD wordt tientallen miljoenen keren per jaar gebruikt: voor de belastingaangifte, de studiefinanciering, het pensioenoverzicht en de ziektekostenadministratie. Er wordt nu met alle betrokken partijen gekeken of er nieuwe financieringsen besturingsvormen te ontwikkelen zijn voor de digitale basisinfrastructuur. CvdW PM special oktober

16 of of bericht voor belasting dienst bericht voor uwv bericht voor belasting dienst bericht voor uwv bericht voor belasting dienst bericht voor uwv bericht voor belasting dienst bericht voor uwv FACTS & FIGURES VERSTERKEN VAN DE SCHAK De loonaangifteketen wordt wel gezien als de financiële gegevensaorta van Nederland. In de loonaangifteketen gaat maar liefst 145 miljard euro om. Dat zijn premie- en belastingopbrengsten die door werkgevers, uitkeringsinstanties en pensioenfondsen worden binnengebracht. Het bedrag is goed voor ongeveer 60 procent van alle belastingontvangsten, en er zijn enkele tientallen miljarden gegevens mee gemoeid. Belastingdienst UWV en CBS werken sinds 2006 samen in de loonaangifteketen die een eenmalige uitvraag van inkomensafhankelijke gegevens mogelijk maakt. De gegevens komen binnen via de Belastingdienst en worden vervolgens na controles van het UWV gedeeld met diverse afnemers zoals het CVZ, het CAK, de IND en gerechtsdeurwaarders. Ze zijn de basis voor onder meer de vooringevulde belastingaangifte, de toeslagen en uitkeringen en de premievaststelling van pensioenen. Nodeloos te zeggen dat bij obstructie van deze gegevensstroom een hartinfarct van de BV Nederland op de loer kan liggen. GOVERNANCE Over de loonaangifteketen is elke acht weken op hoog niveau strategisch overleg van de managementteams van de Belastingdienst en CBS, de raad van bestuur van UWV en de ketenmanager van de loonaangifteketen. Elke maand is er ook een tactisch overleg op directieniveau. UWV controleert de juistheid van de gegevens; onjuistheden worden via de Belastingdienst teruggekoppeld aan werkgevers (verantwoordelijk voor de salarisadministratie) en softwareontwikkelaars met het verzoek deze te corrigeren. stroom gegevensstroom processtroom koppelvlakformulier schatkist koppelvlakformulier schatkist ministerie van ministerie financiën van financiën kamer van koophandel handelsregister of nieuwe inschrijving mutatie belastingdienst aangifte data Correctie? uwv uwv kamer van belastingdienst koophandel belastingdienst aangifte data Correctie? intensief toezicht intensief toezicht aangifte data Correctie? aangifte data Correctie? aangifte data Correctie? aangifte data Correctie? loket belastingsdienst ontvangen bufferen adresseren distribueren koppelvlakformulier loket belastingsdienst Unit loket uwv ontvangen bufferen adresseren distribueren koppelvlak koppelvlak signaal signaal loongegevens nieuwe handelsregisteadministratie mutatie administratie ontvangers- ontvangers- heffings- heffings- beschikking beschikking correctie- correctie- polisadministratie polisadministratie werkgevers- inschrijving werkgevers- centrale centrale genereren genereren aanmaken aanmaken of U bent administratie verplichting signaal administratie verplichting signaal U bent administratie aanslag of aanslag of verzekeringkerings verze- inhoudingsplichtigeplichtige, met evt. verplich- met evt. verplich- inhoudings- beschikking correctie beschikking correctie herstelverzoeverzoek bericht bericht herstel- dus... dus... boete ting boete ting voorcontrole voorcontrole werknemersgegevens werknemersgegevens voorcontrole voorcontrole koppelvlakformulier Unit bijzondere loket uwv premie taken bijzondere premie taken loongegevens claim claim cv, vof eenmanszaak bv, nv of anders cv, vof eenmanszaak bv, nv of anders 80 miljard 80 miljard loonaangifte* loonaangifte* inclusief data correctie inclusief data correctie per werknemer per werknemer loondata loondata verplicht correctiebericht verplicht correctiebericht correctie loondata gevraagd of spontaan correctie loondata gevraagd of spontaan werkgever/inhoudingsplichtige werkgever/inhoudingsplichtige per tijdvak (maand of vier weken) per tijdvak (maand of vier weken) werknemer/verzekerde werknemer/verzekerde BRON: PAPERNOTE 35 VAN PBLQ EN KETENBUREAU LOONAANGIFTEKETEN, SDU UITGEVERS CYBERCRIME Ongeveer 40 procent van de Nederlandse ondernemers is in 2012 slachtoffer geworden van cybercrime. Uit onderzoek van BZK is gebleken dat er vorig jaar tussen en slachtoffers van identiteitsfraude waren. De geleden schade lag tussen 390 en 510 miljoen euro. Van 2007 tot 2012 had volgens het onderzoek 13,3 procent van de Nederlanders met identiteitsfraude te maken. Naar schatting heeft 9,5 procent van de bevolking in die periode schade opgelopen. 16 PM SPECIAL OKTOBER 2013

17 data data FACTS & FIGURES ELS IN DE INFORMATIEKETEN MALWARE De grootste oorzaak van een malwarebesmetting zijn gaten in software. Ook het gebruik van USB-sticks en andere removable media kan leiden tot malware-infectie. Gemeenten die vorig jaar door het Dorifel-virus werden getroffen moesten meer dan tienduizend euro besteden aan opruim- en herstelacties. Iedere 37 seconden wordt een computer met malware besmet. Er wordt overigens ook iedere 37 seconden een fiets gestolen INCIDENTEN EN SCHADE Uit internationaal onderzoek blijkt dat het aantal beveiligingsincidenten het afgelopen jaar met 25 procent is toegenomen, hoewel organisaties vorig jaar substantieel meer aandacht en aan de beveiliging van hun informatie besteedden. De schade als gevolg van fraude met internetbankieren is in de eerste helft van 2013 met 58 procent gedaald ten opzichte van de tweede helft van Het bedrag dat daarmee gemoeid was daalde van 10 naar 4,2 miljoen euro. Ten opzichte van de dezelfde periode vorig jaar is de daling nog groter: 82 procent. Uit internationaal onderzoek onder 9600 respondenten blijkt dat ondanks een toename van bijna 50 procent van de uitgaven aan informatieveiligheid het nog steeds slechts 3,8 procent van het totaal van het IT-budget is. Het is een relatief kleine investering. Er gaan steeds meer data verloren als gevolg van security-incidenten. Internationaal onderzoek laat een toename van 16 procent zien. Data van medewerkers en gegevens zijn het meest waardevol. HACKERS DIE HELPEN De Rabobank heeft begin oktober tientallen meldingen binnengekregen van hackers die de bank hebben gewezen op kwetsbaarheden op de site en in zijn systemen voor internetbankieren. De bank ontwikkelde afgelopen maanden in samenwerking met het Nationaal Cyber Security Centrum (NCSC) een beleid voor responsible disclosure en plaatste dit half september op zijn site. Bij het Meldpunt Kwetsbaarheden kunnen deskundigen op gebied van internetbeveiliging kwetsbaarheden en lekken melden. centraal bureau voor de statistiek claim centraal bureau voor de statistiek belastingdienst toeslagen toeslagen claim fonds belastingdienst toeslagen uwv fonds fonds uwv fonds fonds fonds toeslagen uitkeringsadministratie uitkeringsadministratie aangifte Correctie? fonds aangifte Correctie? fonds zorgverzekeraars/awbz fonds zorgverzekeraars/awbz fonds fonds claim sociale verzekeringsbank fonds gemeentelijke sociale dienst claim gemeentelijke sociale dienst claim sociale verzekeringsbank claim gemeente budget uitkeringsadministratiadministratiadministratiadministratiadministratie uitkerings- uitkerings- uitkerings- uitkerings- uitkeringsadministratie loongegevens voor ondermeer IB-controle Toeslagen gemeenteen data derden budget belastingdienst belastingdienst loongegevens voor ondermeer IB-controle Toeslagen en data derden zoals pensioenfondsen, ib-groep, gerechtsdeurwaarders. overige afnemers loongegevens zoals pensioenfondsen, ib-groep, gerechtsdeurwaarders. overige afnemers loongegevens ziekteuitkering uitkering ziekteuitkering arbeidsongeschiktheidsuitkering uitkering bijstandsuitkering arbeidsongeschiktheidsuitkering claim claim uitkering kinderbijslag aowuitkering nabestaande uitkering kinderbijslag aowuitkering vergoeding ziektekosten werklozen bijstandsuitkering nabestaande vergoeding ziektekosten werklozen toeslaggerechtigde toeslaggerechtigde zieke, werkloze of zieke, arbeidsongeschikte werkloze of arbeidsongeschikte zieke zieke65-plusser, ouder, 65-plusser, nabestaande ouder, uitkeringsgerechtigde nabestaande uitkeringsgerechtigde Meer dan Nederlanders zijn vorig jaar slachtoffer geworden van identiteitsfraude via internet of betaalof pinautomaten. Het gaat dan om 1,5 procent van de bevolking van 15 jaar en ouder. Uit onderzoek blijkt dat 92 procent van de data breaches om gegevens te stelen van buiten de organisatie komen. Een slecht beveiligd netwerk is een open uitnodiging voor alle type aanvallers. TNS NIPO concludeert in een onderzoek naar (internet-) veiligheid onder burgers dat 71 procent te maken heeft gehad met verschillende vormen van cybercriminaliteit. De helft van de respondenten zegt over zichzelf matig tot helemaal niet op de hoogte te zijn van de gevaarlijke kanten van internetgebruik, waaronder cybercriminaliteit, virussen, spam of het bezoeken van valse websites. PM SPECIAL OKTOBER

18 i nfor matieketens Soft SkillS nodig voor vruchtbare ketensamenwerking De oude managementtools voldoen niet meer Foto Johan Zwart samenwerking in ketens neemt een hoge vlucht. ict-systemen worden op elkaar aangesloten om de dienstverlening te verbeteren. maar dat levert ook weer nieuwe problemen op. werken de organisaties wel samen? en hoe controleer je of alles goed gaat in zo n keten? promovendus ype van wijk van de rijksuniversiteit groningen en ketenmanager mart driessen laten hun licht schijnen over informativeiligheid en ketensamenwerking. De zakelijke netwerksite LinkedIn heeft in Nederland zo n vier miljoen leden. Die zien één site, één applicatie. Maar schijn bedriegt, zegt Ype van Wijk van de Rijksuniversiteit Groningen. Hij doet promotieonderzoek naar de samenwerking in en betrouwbaarheid van de ITondersteunde service-economie. In werkelijkheid kijk je naar het samenspel van zo n 1200 applicaties, die zich fysiek verspreid over de wereld bevinden. Je gegevens staan dus overal en nergens, bijvoorbeeld in de cloud, in goede en slechte rekencentra, met elk hun eigen programmeer- en security-standaarden. Samenwerking is in, weet Van Wijk. Het is wel degelijk een trend. Je ziet dat organisaties zich steeds verder specialiseren in die onderdelen waar ze goed in zijn. En dat er vervolgens wordt samengewerkt in collaboratieve netwerkorganisaties om ype van wijk voor de eisen en systemen in een keten bestaat geen blauwdruk diensten of goederen bij de consument te krijgen. Volgens Van Wijk moet daarbij heel wat op z n kop. De interne controle-frameworks voor bijvoorbeeld de boekhouding en risicobeheersing volstaan niet meer. Je kunt je eigen beleid prima op orde hebben, maar zit je vervolgens in de cloud met allerlei figuren waarbij dat niet zo is, dan is je informatiebeveiliging zo veilig als de zwakste schakel. Dat klinkt logisch, maar Van Wijk geeft toe: Zowel op academisch niveau als in professionele kringen heeft mijn werk een vrij hoog pioniersgehalte. Volgens Van Wijk moet je een keten als één virtuele organisatie zien. Daarbij moet duidelijk worden gemaakt wat het gewenste niveau van veiligheid is. Partners moeten hieraan voldoen én de juiste controlesystemen hebben ingericht. Voor die eisen en systemen bestaat geen blauwdruk. Het scheelt nogal of je het hebt over gegevens van een bank, de overheid of Buienradar. Ruggen naar elkaar Voor de loonaangifteketen beschikt de overheid sinds enige tijd over een ketenmanager, een functionaris met een behoorlijk bestuurlijk gewicht die de samenwerking in de keten vlot moet laten lopen. Deze ketenmanager Mart Driessen werd aangesteld door de minister van Sociale Zaken en de staatssecretaris van Financiën om vanuit een onafhankelijke rol de samenwerking tussen de Belastingdienst en UWV, de uitvoerder van de werknemersverzekeringen, te bevorderen. Helemaal in het begin, in 2006 en de eerste jaren daarna, was dat nog niet echt een succes. Het leek soms op schelden met de ruggen naar elkaar toe, weet Driessen. Men wilde eigenlijk niet samenwerken en vond het heel moeilijk dingen voor elkaar te doen waar ze zelf niets aan hadden. De problemen waren in het begin legio zo moesten meer dan werkgevers de loonaangifte over 2007 opnieuw doen, omdat door automatiseringsproblemen gegevens waren zoekgeraakt 18 pm special oktober 2013

19 maar er zijn nooit gegevens van belastingbetalers uit de loonaangifteketen op straat beland. The proof of the pudding is in the eating: in die zin was de infomratieveiligheid dus op orde. Bij de Belastingdienst wordt gewerkt met meerdere veiligheidsniveaus, en deze gegevens bevinden zich op het hoogste niveau. De veiligheid is bij de Belastingdienst intern belegd, bij het UWV wordt meer met externe partners gewerkt. We laten de systemen gere onder vuur nemen door hackers die we daarvoor inhuren. Dat is wat ik erover kan zeggen, aldus Driessen. groeiend begrip Driessen heeft de ervaring dat naast al het werk van de techneuten soft skills het allerbelangrijkst zijn voor een vruchtbare ketensamenwerking. Zorg dat mensen met elkaar praten. Zo zitten we ook continu met softwareontwikkelaars en werkgevers enerzijds en met afnemers anderzijds om de tafel. Eigenlijk interesseert het werkgevers niet zo wat die overheid allemaal van ze vraagt. Ze vinden het vervelend, er gaan administratieve lasten mee gepaard. Maar als ze het idee krijgen dat ze half Nederland ermee helpen, en ook hun eigen werknemers bij de aanvraag van toeslagen en dergelijke, dan ontstaat er veelal begrip. In Driessens ervaring is het van groot belang dat de bestuurders van de organisaties daarin meegaan. Dan kijk ik met name weer even naar de periode waarin het verkeerd ging: toen was er geen wil om samen te werken. Maar in de tweewekelijkse vergaderingen van de hoogste bestuurders is dat omgeslagen. Inmiddels zit men er bijvoorbeeld mee als de ander op een vervelende manier in het nieuws komt. In het begin werd daarom gegniffeld. De samenwerking vergt ook op juridisch niveau veel. Vooral de Wet bescherming persoonsgegevens privacy dus vraagt veel aandacht. Driessen: Volgens de wet mag je gegevens niet zomaar overal voor gebruiken. We moeten dus goed uitzoeken en bijhouden voor welke doeleinden we gegevens inzetten. Soms mag informatie niet uitgewisseld worden. Zo zijn er gegevens van de Belastingdienst die het UWV graag wil hebben in verband met de bestrijding van uitkeringsfraude. Dat moet dan wel apart wettelijk worden gere. afschudden 'Wat veiligheid betreft hoeven we niet allemaal het hoogste niveau te hebben,' benadrukt Van Wijk. Denk vooral goed na, zegt hij. Een klassieker is het verhaal van de London Stock Exchange, die een systeem liet maken om de aandelenkoersen met meer dan een kwartier vertraging openbaar te maken. Er werd gigantisch in de beveiliging van de gegevens geïnvesteerd onnodig, want het ging dus om informatie die op dat moment niet meer afgeschermd hoefde te worden. Anderzijds, zegt hij: Ga ook niet zomaar gegevens in de cloud zetten, omdat je denkt dat is modern. Van Wijk adviseert: Wees je bewust van de risico s die met ketensamenwerking mart driessen men zit ermee als de ander op een vervelende manier in het nieuws komt gepaard gaan. Weet wat je wilt, weet wat je vraagt, als voorwaarde om te kunnen functioneren binnen de keten, en weet hoe risico s en controles beheerst worden. Daarvoor zijn nieuwe managementtools nodig, zegt hij, die draaien om governance (het bestuur) en assurance (kwaliteitsborging en verzekering) van de keten. De maatschappelijke belangen zijn te groot om te ontkennen en deze links te laten liggen. We moeten de tools van de vorige eeuw en het hokjesdeken van ons afschudden. Zijn grote organisaties misschien betrouwbaardere ketenpartners omdat ze hun veiligheid doorgaans beter op orde hebben? Kleine gemeenten waren bijvoorbeeld al vaak slachtoffer van hacks. De Rabobank is ook met grote regelmaat aan de beurt, brengt Van Wijk tegen die theorie in. Hoe groter, hoe spannender je soms ook weer bent voor aanvallers. Het Pentagon is geloof ik recordhouder met meer dan hack-pogingen per uur. Rs Foto ictu pm special oktober

20 UIT DE PRAKTIJK DRIE VEILIGHEIDSNIVEAUS EN 133 MAATREGELEN NA DIGINOTAR HEBBEN WE EEN TANDJE BIJGEZET Foto Arenda Oomen Hoe breng je als gemeente je informatieveiligheid op orde? Bewuste medewerkers zijn de sleutel tot succes, aldus de Utrechtse gemeentesecretaris Maarten Schurink en chief information security officer Kaj Siekman. We moeten de naïviteit voorbij. Even de mail checken via de hotspot VGSCongres. Moet kunnen, dachten zo n zeventig bezoekers van het jaarlijkse congres van de Vereniging voor Gemeentesecretarissen (VGS) in september. De deelnemers schrokken toen we ter plekke tijdens een live demonstratie lieten zien hoe gemakkelijk het is persoonlijke gegevens te achterhalen, vertelt Maarten Schurink. Die informatie werd via een onbeveiligde wifi-verbinding verstuurd. De Utrechtse gemeentesecretaris hoopt dat de actie als eye-opener heeft gewerkt. Een grotere bewustwording van informatieveiligheid is volgens hem noodzakelijk, op alle niveaus van de gemeentelijke organisatie, benadrukt Schurink. Daarom laten we ook onze medewerkers heel concreet zien wat er kan gebeuren als je onveilig met informatie omgaat. Kaj Siekman, chief information security officer (CISO) bij de gemeente, bevestigt dat. Hij is in september gestart Maarten Schurink (links) en Kaj Siekman met een bewustwordingsprogramma. De dagelijkse praktijk staat daarbij centraal. De focus ligt niet zozeer op de apparaten zelf, maar op de vertaalslag naar de werksituatie. Het uitgangspunt vormt de dienstverlening die we de gebruikers aanbieden. Die moet veilig zijn, aldus Siekman. Dat t bijvoorbeeld voor de digitale werkplek die vanaf de tablet beschikbaar is. Gebruiksvriendelijkheid is de leidraad. Als maatregelen niet makkelijk toe te passen zijn, gaan ambtenaren eromheen werken en ben je verder van huis, zegt Siekman. De populariteit van bring your own device maakt dat besef van informatieveiligheid nóg belangrijker is geworden. De afgelopen maanden is Siekman druk bezig geweest met het maken van plannen en een risicoanalyse. Het is niet nieuw, maar we maken nu een volgende stap in volwassenheid. Belangrijk onderdeel is de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). We verwachten dat deze voor het eind van het jaar door het college van B&W wordt vastgesteld, zegt Siekman. Vervolgens kunnen we jaarlijks aan de hand van de BIG laten zien wat de stand van zaken is. Zo kunnen we een cyclus voor informatieveiligheid op gang brengen. Dit maakt het mogelijk te sturen op informatiebeveiliging. Idealiter zou je moeten kunnen plussen en minnen waar het nodig is. De gemeente Utrecht hanteert in lijn van de baseline drie veiligheidsniveaus basis, middel en hoog en heeft daarbij keuze uit 133 maatregelen, legt Siekman uit. De maatregelen zijn toegespitst op het soort informatie. Denk bijvoorbeeld aan het versleuteld versturen van informatie als deze uiterst privacygevoelig is. Het doel van de CISO is om het zo eenvoudig mogelijk te houden. Onlangs hield hij nog een presentatie voor de vijftien informatiemanagers van de gemeente. Siekman: Iedere medewerker zou moeten begrijpen welke maatregel MET DE HUIDIGE MIDDELEN VAN COMMUNICATIE ZIJN ER STEEDS MEER ACHTERDEURTJES je bij welke informatie moet toepassen. 'De DigiNotar-kwestie heeft de zaken op scherp gezet,' aldus Schurink. Informatieveiligheid stond al op de agenda, maar we hebben een tandje bijgezet. We zijn alerter op wat er kán gebeuren. Er is nu meer concernsturing. Daarnaast werkt de Informatiebeveiligingsdienst voor gemeenten (IBD) nauwer samen met het Nationaal Cyber Security Centrum. We hebben concretere afspraken gemaakt over onderlinge bijstand en hulp, aldus de gemeentesecretaris. Ook de overgang naar het nieuwe stadskantoor gepland voor het najaar van 2014 speelt hierbij een rol. We zijn in oktober begonnen met de eerste stappen naar een nieuwe ICT-infrastructuur in het kader van de verhuizing naar deze locatie. Bij de uitrol hiervan willen we ook een slag slaan op het gebied van beveiliging, zegt Schurink. Wederom staat bewustwording hierbij centraal. Schurink: We moeten de naïviteit voorbij. Je kunt de beste firewalls hebben, maar met de huidige middelen van communicatie zijn er steeds meer achterdeurtjes waardoor het systeem van de gemeente kan worden bereikt. RW PM SPECIAL OKTOBER 2013