SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN

Transcriptie

1 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Onderzoek naar het informatiebeveiligingsniveau in Limburgse gemeenten

2 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Samenvatting De Nederlandse overheid streeft naar een federatieve overheid. Een gemeenschappelijke architectuur, de Nederlandse Overheid Referentie Architectuur (NORA), maakt het mogelijk de gegevensuitwisseling en beveiliging van de gemeenschappelijke federatieve gegevens te standaardiseren. Jack van der Goes heeft in het kader van zijn afstudeeronderzoek voor de Masteropleiding Business Process Management en IT van de Open Universiteit, faculteit Informatica, onderzoek gedaan naar de wijze waarop Limburgse gemeenten de NORA gebruiken om zich te beschermen tegen aanvallen van social engineering. Jack is partner bij Daadkracht, een bestuurskundig onderzoeks- en adviesbureau. Informatiebeveiligingsmaatregelen tegen social engineering De NORA verwijst naar de Code voor Informatiebeveiliging voor de beschrijving van informatiebeveiligingsmaatregelen. De baseline bestaat uit: Rollen en verantwoordelijkheden; Screening; Arbeidsvoorwaarden; Directieverantwoordelijkheid; Bewustzijn opleiding en training; Disciplinaire maatregelen; Retourneren bedrijfsmiddelen; Blokkering toegangsrechten. Centrale vraag De centrale vraag van het onderzoek luidt: In hoeverre is de NORA toepasbaar bij de bescherming tegen social engineering en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte informatiebeveiligingsmaatregelen een daadwerkelijke bescherming tegen aanvallen van social engineering? NORA De Nederlandse Overheid Referentie Architectuur (NORA) is een architectuur voor het inrichten van de informatiehuishouding van de Nederlandse Overheid en bestaat uit bouwstenen en principes. Eén bouwsteen heeft betrekking op beveiliging en privacy, en wordt ondersteund door de Code voor Informatiebeveiliging, het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) en het NORA-Dossier Informatiebeveiliging. Doel van de NORA is het verduidelijken van de informatie-uitwisseling tussen overheidsinstanties. Social engineering Social engineering gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen. De gebruikte methoden en technieken variëren van direct vragen en misbruik tot phishing en shoulder surfing. Informatiebeveiligingsbeleid in Limburgse gemeenten Het beheer van het informatiebeveiligingsbeleid in de Limburgse gemeenten is onvoldoende geborgd en vastgesteld. Er is vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen staan beschreven ter bescherming tegen aanvallen van social engineering. De mate waarin informatiebeveiligingsmaatregelen vanuit de NORA beschreven zijn in het informatiebeveiligingsbeleid is gemiddeld 58%, waar 100% de norm is. De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het Information Technology Infrastructure Library (ITIL) Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid. Bescherming tegen social engineering in Limburg Limburgse gemeenten zijn kwetsbaar voor aanvallen van social engineering. Desondanks geven de respondenten van slechts 4 gemeenten (14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben in enkele gemeenten geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties. Conclusie De NORA is, wanneer de baseline volledig wordt gebruikt, toepasbaar bij de bescherming tegen social engineering. Het informatiebeleid in de Limburgse gemeenten is echter onvoldoende gebaseerd op de NORA. De gebruikte informatiebeveiligingsmaatregelen in de Limburgse gemeenten beschermen onvoldoende tegen methoden en technieken van social engineering. 2

3 SEPTEMBER 2013 Inhoudsopgave 1. Inleiding 1.1 Doel van het onderzoek 1.2 Scope 1.3 Vraagstelling 1.4 Hoofd- en deelvragen 1.5 Leeswijzer 2. Methode van onderzoek 2.1 Literatuurstudie 2.2 Referentiemodel 2.3 Interviews 2.4 Webenquête 2.5 Relevantie 2.6 Ethische kwesties 2.7 Respons 2.8 Validiteit 3. NORA 3.1 Onderdelen binnen de NORA 3.2 Doel van de NORA 3.3 Gebruikte bronnen 3.4 Verhouding GEMMA en NORA 3.5 Conclusie 4. Social engineering 4.1 Algemene definitie 4.2 Methoden en technieken 4.3 Conclusie Informatiebeveiligingsmaatregelen tegen social engineering 5.1 Maatregelen in de NORA 5.2 Maatregelen in de Code voor Informatiebeveiliging 5.3 Conclusie 6. Informatiebeveiligingsbeleid in Limburgse gemeenten 6.1 Kennisniveau respondenten 6.2 Vastgesteld beleid 6.3 Beschreven maatregelen 6.4 Gebruikte theorieën 6.5 Conclusie 7. Bescherming tegen social engineering in Limburg 7.1 Bescherming volgens het referentiemodel 7.2 Aanvallen social engineering 7.3 Acties na aanvallen 7.4 Conclusie 8 Conclusies en aanbevelingen 8.1 NORA 8.2 Social engineering 8.3 Maatregelen tegen social engineering 8.4 Informatiebeveiligingsbeleid in Limburg 8.5 Bescherming tegen social engineering in Limburg 8.6 Antwoord op de centrale vraag 8.7 Aanbevelingen voor de overheid 3

4 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 1. Inleiding De overheid streeft naar een federatieve overheid. Eén overheid waarin ketensamenwerking tussen de verschillende overheidsinstellingen centraal staat. Alle overheidsvragen zijn dan te beantwoorden via de gemeente waar de burger woont of waar een bedrijf activiteiten uitvoert. Met behulp van vastgestelde basisregistraties vindt er een uitwisseling plaats van gegevens tussen de overheidsinstellingen. Zo zijn bijvoorbeeld de gemeenten houder van de basisregistraties Personen, Adressen en Gebouwen en is de Kamer van Koophandel de houder van de basisregistratie Handelsregister. De uitwisseling van de gegevens uit deze basisregistraties vergt standaardisatie en coördinatie tussen de betrokken overheidsinstellingen. Deze overheidsinstellingen zijn immers autonoom en richten de informatiehuishouding en het informatiemodel naar eigen inzicht in. NUP In 2007 heeft het kabinet het advies gekregen om te starten met een Nationaal Urgentieprogramma e-overheid (NUP) om de overheidsbrede ambitie rond de samenwerking van de verschillende overheidsinstellingen een betere basis te geven. Bij gelegenheid van het Bestuurlijk Overleg van Rijk, provincies, gemeenten en waterschappen is op 1 december 2008 een verklaring opgesteld over de realisatie van dit NUP. NORA en GEMMA De samenwerking vanuit het NUP tussen de verschillende overheidsorganen vereist eenduidigheid en standaardisatie omtrent de uitwisseling van informatie (geïnterpreteerde gegevens) en gegevens omdat de overheidsorganen dezelfde taal moeten spreken voor de gewenste uitwisseling. De Nederlandse Overheid Referentie Architectuur (NORA) zorgt voor deze eenduidigheid en standaardisatie. De NORA bevat een groot aantal bouwstenen en inrichtingsprincipes die overheidsorganen kunnen toepassen bij projecten en programma s die gericht zijn op het ontwikkelen van een hoogwaardige, samenwerkende, dienstbare overheid. Voor de verschillende overheidsorganisaties zijn er verschillende afgeleide architecturen ontworpen. Voor de gemeentelijke overheden is dit de GEMeentelijke Model Architectuur (GEMMA). De GEMMA gebruikt de bouwstenen en principes van de NORA en past deze waar mogelijk toe binnen de gemeentelijke organisaties. Informatiebeveiliging Het beheer van de basisregistraties en de uitwisseling van de hierin opgeslagen gegevens tussen de verschillende overheidsorganen zorgen voor de noodzaak tot een goede informatiebeveiliging. De NORA kent een bouwsteen met betrekking tot beveiliging en privacy. Deze bouwsteen speelt een rol bij het ontwerpen en invoeren van de informatiebeveiliging voor zowel de technische als de niet-technische kant. De gemeentelijke overheid verwerkt veel informatie voor het verstrekken van producten en diensten. Het beveiligen van deze informatie is dan ook essentieel om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens voor de betreffende informatiestromen te waarborgen. Informatiebeveiliging gaat verder dan het beveiligen van de technische hulpmiddelen. Dit onderzoek richt zich op de niet-technische kant van de informatiebeveiliging, de zogenaamde social engineering. Social engineering Social engineering is een aanval op de informatiebeveiliging gericht op de mens en niet op de techniek. Uit wetenschappelijke literatuur blijkt dat het gedrag van medewerkers een primaire rol speelt bij de informatiebeveiliging en het voorkomen van aanvallen van social engineering. 1.1 Doel van het onderzoek Voorliggend onderzoek brengt in kaart of de aangereikte informatiebeveiligingsmiddelen vanuit de NORA toepasbaar zijn om medewerkers van een gemeente te beschermen tegen aanvallen van social engineering. Daarnaast toetst het onderzoek of het informatiebeveiligingsbeleid met behulp van de NORA is opgesteld en of de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen aanvallen van social engineering. Dit onderzoek levert een bijdrage aan de theorievorming over de informatiebeveiliging tegen social engineering door te onderzoeken op welke wijze gemeenten de informatiebeveiliging hebben ingericht. Het onderzoek verduidelijkt of de handreiking van de overheid toepasbaar is én of gemeenten deze daadwerkelijk gebruiken. Het onderzoek levert een referentiemodel social engineering op, dat concreet inzicht geeft in de mate van beveiliging tegen aanvallen van social engineering. 1.2 Scope Er zijn meer dan 400 gemeenten verdeeld over 12 provincies. Het is niet haalbaar om (binnen de beschikbare tijd) alle Nederlandse gemeenten te onderzoeken. Er is voor gekozen om het onderzoek te beperken tot gemeenten binnen de provincie Limburg. Dit betreft een overzichtelijk aantal van 33 gemeenten van verschillende grootte binnen een aaneengesloten en eenduidig ingekaderd geografisch gebied. Het onderzoek is reproduceerbaar en kan daarmee de basis vormen voor vergelijkbare onderzoeken in andere provincies met als doel zicht te krijgen op de wijze waarop gemeenten elders in het land de informatiebeveiliging hebben ingericht tegen aanvallen van social engineering. 4

5 SEPTEMBER 2013 Er is vooralsnog geen reden om aan te nemen dat de resultaten van voorliggend onderzoek afwijken van het landelijke beeld. Dit is echter niet onderzocht. Steeds meer gemeenten werken met elkaar samen, ook op ICTgebied. Limburgse gemeenten zijn daar geen uitzondering op. De gemeenten Weert, Venlo en Roermond werken bijvoorbeeld samen op het gebied van de technische infrastructuren. Het uitwisselen van informatie tussen de gemeenten heeft direct impact op een eventuele samenwerking vanwege de privacywetgeving. Een gedegen informatiebeveiligingsbeleid en doorgevoerde informatiebeveiligingsmaatregelen zijn daarom van groot belang. Het is dan ook interessant om deze samenwerkende gemeenten te onderzoeken. 1.3 Vraagstelling In dit onderzoek staat de volgende vraag centraal: In hoeverre is de NORA toepasbaar bij de bescherming tegen social engineering en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte informatiebeveiligingsmaatregelen een daadwerkelijke bescherming tegen aanvallen van social engineering? De centrale vraagstelling richt zich op drie onderdelen. Ten eerste op de mate waarin de NORA voldoende maatregelen kent ten opzichte van de hedendaagse aanvallen van social engineering. Dit heeft te maken met de toepasbaarheid. Ten tweede richt de centrale vraagstelling zich op de mate waarin de Limburgse gemeenten de informatiebeveiligingsmaatregelen van de NORA hebben gebruikt voor het opstellen van het informatiebeveiligingsbeleid en wanneer dit niet zo is; uit welke andere theorie is geput. Tenslotte richt de centrale vraagstelling zich op de mate waarin de gebruikte informatiebeveiligingsmaatregelen in Limburgse gemeenten daadwerkelijk beschermen tegen aanvallen van social engineering. 1.4 Hoofd- en deelvragen De centrale vraagstelling is geconcretiseerd naar de volgende hoofd- en deelvragen: 1. Wat is de Nederlandse Overheid Referentie Architectuur? a. Uit welke onderdelen bestaat de NORA? b. Wat is het doel van deze architectuur? c. Welke bronnen met betrekking tot de informatiebeveiliging gebruikt de NORA? d. Wat is de GEMeentelijke Model Architectuur (GEMMA) en hoe verhouden de NORA en de GEMMA zich tot elkaar? 2. Wat zijn de hedendaagse aanvallen op het gebied van social engineering? a. Wat wordt er verstaan onder social engineering? b. Welke methoden of technieken worden heden ten dage het meest gebruikt bij social engineering? 3. Welke informatiebeveiligingsmaatregelen kent de NORA tegen social engineering? 4. Op welke wijze is het informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand gekomen waarin de maatregelen staan beschreven ter bescherming tegen social engineering? a. Is het beheer van het informatiebeveiligingsbeleid, waaronder het doorvoeren van wijzigingen en het waarborgen van de opvolging van de beschreven richtlijnen, vastgesteld? b. In welke mate zijn de informatiebeveiligingsmaatregelen vanuit de NORA beschreven in het informatiebeveiligingsbeleid ten aanzien van social engineering? c. Welke andere theorieën hebben de Limburgse gemeenten gebruikt voor het informatiebeveiligingsbeleid die niet afkomstig zijn van de NORA ten aanzien van social engineering en wat is de reden geweest om hier de NORA niet te gebruiken? 5. Beschermen de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk tegen de aanvallen van social engineering? a. Hebben er zich gebeurtenissen voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen niet voldoende zijn geweest om bescherming te bieden tegen social engineering? b. Welke acties zijn hieruit voortgevloeid met betrekking tot het informatiebeveiligingsbeleid? 1.5 Leeswijzer Hoofdstuk 2 behandelt de methode van onderzoek. De daaropvolgende hoofdstukken geven antwoord op de verschillende hoofd- en deelvragen. Hoofdstuk 8 geeft als besluit de conclusies en aanbevelingen. voor de overheid 5

6 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 2. Methode van onderzoek De methode van onderzoek is te verdelen in vier onderdelen. In dit hoofdstuk komen achtereenvolgens aan de orde: de literatuurstudie, het referentiemodel, de interviews en de webenquête. Daarna gaat dit hoofdstuk kort in op de relevantie van het onderzoek, enkele ethische kwesties, de respons en de validiteit. 2.1 Literatuurstudie De literatuurstudie geeft allereerst inzicht in de huidige theorie met betrekking tot de architecturen voor de gemeentelijke overheid. Hier is met name gekeken naar de NORA en de GEMMA. Daarnaast is de literatuur doorzocht op de huidige methoden en technieken van social engineering en de informatiebeveiligingsmiddelen die gemeenten kunnen inzetten tegen social engineering. De literatuurstudie beantwoordt daarmee grotendeels de eerste drie hoofdvragen en levert de basis voor het ontwikkelen van het referentiemodel social engineering. Voor de literatuurstudie is gebruik gemaakt van verschillende zoekmachines in de digitale bibliotheek van de Open Universiteit. Daarnaast is gebruik gemaakt van informatiesites van het Nederlandse Normalisatie Instituut (NEN) en verschillende overheidswebsites. De gebruikte literatuur is van het jaar 2000 of recenter. 2.2 Referentiemodel Op basis van de uitkomsten van de literatuurstudie is een referentiemodel social engineering opgesteld. In het referentiemodel is voor elke methode of techniek van social engineering bepaald welke maatregel mogelijk effectief is tegen deze vorm van social engineering. Aan de hand van het referentiemodel heeft de onderzoeker interviews en een webenquête gehouden. Door de resultaten van het veldonderzoek te verwerken in het model, geeft het referentiemodel inzicht in de mate van bescherming tegen aanvallen van social engineering. U vindt het referentiemodel terug in hoofdstuk Interviews Er zijn twee interviewrondes uitgevoerd, die hierna aan de orde komen. In beide rondes is gebruik gemaakt van semigestructureerde interviews. Het voordeel van een semigestructureerd interview is dat de interviewer, afhankelijk van de context, een aantal vragen kan weglaten of juist kan verdiepen Auteurs NORA De eerste interviewronde had als doel meer inzicht te verkrijgen in de NORA en de daaruit voortvloeiende informatiebeveiligingsmaatregelen. Hiervoor zijn telefonisch semigestructureerde interviews gehouden met de twee auteurs van het NORA-Dossier Informatiebeveiliging: de heer J. van der Veen, informatiearchitect en de heer B. Bokhorst, strategisch beveiligingsadviseur, inmiddels gepensioneerd. Beide auteurs werkten op het moment van schrijven aan het NORA-Dossier Informatiebeveiliging in opdracht van het ministerie van Financiën, dienst Belastingen. Tijdens de interviews is met name gesproken over de totstandkoming van de NORA en de toepasbaarheid hiervan. De informatie uit deze interviewronde is gebruikt bij de beantwoording van de eerste en derde hoofdvraag Medewerkers van gemeenten Tijdens de tweede interviewronde is op locatie gesproken met vijf medewerkers uit verschillende Limburgse gemeenten die verantwoordelijk zijn voor de informatiebeveiliging: Marco van Dijk, Consulent ICT gemeente Weert Edwin Griesheimer, Adviseur Automatisering gemeente Venray Frans Laumen, Teamleider ICT gemeente Roermond Jan Symons, Consulent I&A gemeente Beesel Paul van Ooijen, Beleidsmedewerker I&A gemeente Gulpen- Wittem Tijdens de interviews heeft de onderzoeker samen met de respondenten de vragen uit de concept-webenquête doorgenomen. Op basis van de interviews is de vragenlijst voor de webenquête verder verfijnd en aangescherpt. De informatie uit deze tweede interviewronde is gebruikt bij de beantwoording van de vierde en vijfde hoofdvraag. 2.4 Webenquête Voor het beantwoorden van hoofdvraag vier en hoofdvraag vijf is gebruik gemaakt van een webenquête. Ter voorbereiding op de webenquête zijn op de website van de provincie Limburg de contactgegevens van de Limburgse gemeenten geraadpleegd. Via telefonisch contact is voor elke gemeente achterhaald welke medewerker verantwoordelijk is voor informatiebeveiliging. Tijdens het telefoongesprek is duidelijk het doel van het onderzoek en de vrijwilligheid tot medewerking aan het onderzoek benadrukt. Dit heeft geresulteerd in 29 toezeggingen tot medewerking aan het onderzoek. Elke deelnemer heeft een schriftelijke bevestiging ontvangen van de deelname aan het onderzoek. Medewerkers van vier gemeenten hebben aangegeven niet deel te willen nemen aan het onderzoek. Van de 29 gemeenten die aangeven deel te willen nemen aan het onderzoek, hebben de reeds eerder genoemde vijf gemeenten medewerking verleend aan de interviews. 6

7 SEPTEMBER 2013 Elke deelnemer heeft persoonlijk een elektronische introductiebrief ontvangen met een link naar de webenquête. De elektronische vragenlijst is geactiveerd op maandag 13 augustus Voor het verhogen van de respons zijn deelnemers die de vragenlijst nog niet (volledig) hadden ingevuld, gebeld. Begin september 2012 week zijn de deelnemers die de vragenlijst nog niet (volledig) hadden ingevuld benaderd met het aanbod om de vragenlijst met ondersteuning in te vullen. De vragenlijst is op vrijdag 14 september 2012 gesloten. 2.5 Relevantie Dit onderzoek heeft wetenschappelijke relevantie door inzichtelijk te maken of bij de Limburgse gemeenten de NORA toepasbaar is tegen methoden en technieken van social engineering en of de maatregelen vanuit de NORA daadwerkelijk zijn gebruikt. Daarnaast verschaft dit onderzoek praktisch inzicht in de mate waarin de gebruikte maatregelen door de Limburgse gemeenten daadwerkelijk bescherming bieden tegen aanvallen van social engineering. Het referentiemodel social engineering toont per aandachtsgebied de bescherming tegen een methode of techniek voor social engineering en kan hierdoor de Limburgse gemeenten ondersteunen bij de inrichting van de informatiebeveiligingsmaatregelen tegen deze methoden en technieken van social engineering. Er is vanuit de literatuurstudie geen ander model aangetroffen dat een relatie legt tussen deze informatiebeveiligingsmaatregelen en methoden en technieken van social engineering. 2.8 Validiteit Bij validiteit gaat het om de juistheid van de onderzoeksgegevens. Validiteit is onderverdeeld in drie onderdelen die hierna aan de orde komen Interne validiteit Wordt er gemeten wat er gemeten moet worden? Hieraan is voldaan door de juiste bronnen te koppelen aan de juiste onderzoeksstrategie. Verder is er een gedegen literatuuronderzoek verricht zodat informatiebeveiligingsmaatregelen tegen social engineering aanvallen duidelijk in kaart zijn gebracht Instrumentele validiteit Zijn de gegevens wel correct verzameld? Tijdens de interviews met medewerkers van vijf Limburgse gemeenten zijn de vragen uit de webenquête besproken om na te gaan of de vraagstelling duidelijk was. Aan de hand van de resultaten van de interviews zijn de vragen uit de webenquête verder aangescherpt Externe validiteit Wat zeggen de resultaten over vergelijkbare situaties? Het onderzoek is verricht bij alle gemeenten van de provincie Limburg. Het theoretische kader over de NORA dat is getoetst, is van toepassing op alle gemeenten van Nederland. De verwachting is dan ook dat de resultaten representatief zijn voor andere Nederlandse gemeenten. 2.6 Ethische kwesties Aan dit onderzoek zijn ethische kwesties verbonden. Deze kwesties hebben te maken met onder andere privacy, anonimiteit en objectiviteit. Gedurende het onderzoek is gebruik gemaakt van de checklist om te anticiperen op ethische problemen zoals beschreven door Saunders (2008). Tevens is de gedragscode gebruikt van de Vereniging van Universiteiten voor wat betreft het gebruiken van persoonsgegevens in het onderzoek. De ethische kwesties zijn besproken met de respondenten. 2.7 Respons Van de 33 Limburgse gemeenten hebben uiteindelijk 28 gemeenten daadwerkelijk meegedaan aan het onderzoek. Het onderzoek kent daarmee een respons van 85%. voor de overheid 7

8 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 3. NORA Dit hoofdstuk geeft antwoord op de eerste hoofdvraag en gaat in op de Nederlandse Overheid Referentie Architectuur (NORA). In de eerste paragraaf komen de verschillende onderdelen van de NORA aan de orde. Daarna gaan paragraaf 2 en 3 in op het doel van de architectuur en de bronnen die de NORA gebruikt met betrekking tot informatiebeveiliging. Vervolgens volgt een uiteenzetting van de GEMeentelijke Model Architectuur (GEMMA) en de relatie tussen deze architectuur en de NORA. Het hoofdstuk besluit met een conclusie. 3.1 Onderdelen binnen de NORA De Nederlandse Overheid Referentie Architectuur is een beschrijving van uitgangspunten voor het inrichten van de informatiehuishouding van de Nederlandse overheid. De NORA is een referentie architectuur die in 2009 als norm voor de overheid door het kabinet is vastgesteld. Het is een instrument voor overheidsorganen voor het verbeteren van de dienstverlening naar burgers en bedrijven. De NORA valt onder het zogenaamde comply or explain principe: wanneer een overheidsorganisatie van de NORA afwijkt, moet dit voldoende onderbouwd zijn. De NORA beschrijft principes van de kwaliteit van dienstverlening en kenmerken waar diensten en producten aan moeten voldoen. Een voorbeeld is het gebruik van de gegevens uit de Gemeentelijke Basis Administratie (GBA). Deze dienen éénmalig te zijn opgeslagen maar kunnen meervoudig gebruikt worden. Dit voorkomt dat de gegevens vervuild raken en resulteert in een kwalitatief beter product. De applicaties om de gegevens te verwerken dienen dan wel dit principe te ondersteunen. De NORA is ontwikkeld in Inmiddels is de NORA 3.0 uitgebracht. Het grote verschil met de NORA 2.0 is dat versie 3.0 is gericht op uitwisselbaarheid van informatie terwijl versie 2.0 gericht is op dienstverlening. Het nadeel van beide versies is dat elke overheidsorganisatie zelf de uitwerking van de kwaliteitsnormen en toepassingskaders kan ontwikkelen waardoor er geen echte standaard ontstaat. Dit maakt het lastig om de architectuur voor de organisatie te ontwerpen volgens een vast stramien. Hierdoor zijn er al diverse architecturen ontstaan die afgeleid zijn van de NORA maar die per overheidsorgaan op onderdelen verschillen. De GEMeentelijk Model Architectuur (GEMMA) en de Model Architectuur RIJksdienst (MARIJ) zijn voorbeelden van afgeleide architecturen. De NORA is gebaseerd op de e-business architectuur matrix van Van den Dool (2002) en bevat tevens een handreiking om de informatiebeveiliging gestructureerd in te richten. De NORA is verdeeld in negen bouwstenen (vlakken) op drie niveaus te weten: bedrijfs-, informatie- en technische architectuur. Het beheeraspect geldt voor alle bouwstenen. Per niveau is hierbij gebruik gemaakt van een zogenaamd best practices model framework. Dit is een framework waarin beheeraspecten staan beschreven die men, afhankelijk van de behoefte van de organisatie, kan gebruiken. NORA Beheer Met betrekking tot het beheer van de bedrijfsarchitectuur is het best practices model Business Information Services Library (BISL) gebruikt. BISL richt zich met name op de gebruikersorganisatie. Application Services Library (ASL) is het best practices model voor de ICT-service organisatie en richt zich op de informatiearchitectuur. De ASL is een beheermodel voor softwareleveranciers dat gemeenten kunnen gebruiken om te komen tot afspraken met de leveranciers over de ontwikkeling en implementatie van de gewenste functionaliteiten. De ASL BISL Foundation is het kennisnetwerk van deze beide frameworks. Tenslotte is IT Infrastructure Library (ITIL) een best practices model dat zich richt op de technische architectuur waarin het technische beheer een kernfunctie is. NORA beveiliging en privacy In tegenstelling tot het beheeraspect is er bij de beveiliging en privacy vanuit de NORA geen onderverdeling gemaakt per niveau. De volgende documenten zijn bij de beveiliging, privacy en dus ook de informatiebeveiliging vanuit de NORA betrokken: Code voor Informatiebeveiliging; Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR); NORA-Dossier informatiebeveiliging. Het NORA-Dossier Informatiebeveiliging beschrijft enkel tactische normen voor de techniek. De auteurs van het NORA-Dossier Informatiebeveiliging verwijzen voor de onderdelen met betrekking tot de organisatie, procedures en personeel naar de Code voor Informatiebeveiliging. In deze Code voor Informatiebeveiliging is een aantal normen opgenomen die gelden voor de informatiebeveiliging als geheel. Er is hier dus geen onderscheid gemaakt tussen de zogenaamde harde (techniekgerichte-) en de zachte (organisatorische- en menselijke-) kant van de informatiebeveiliging. Het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) is onderverdeeld in vijf artikelen. In deze artikelen staan slechts kernbegrippen. Het is aan de beheerder van de informatie te bepalen welke maatregelen er getroffen moeten worden en op welke wijze dit in de organisatie wordt doorgevoerd. 8

9 SEPTEMBER 2013 Voor dit onderzoek gebruiken we de NORA 3.0, dat een zogenaamde Enterprise Architectuur is waarbij de basis is afgeleid van het Zachmann framework (2009). De tien basisprincipes van NORA 3.0 beschrijven de belangrijkste kenmerken van de overheidsdienstverlening vanuit het perspectief van de afnemer. NORA 3.0 gebruikt voor de inzet van de bouwstenen de basisarchitectuur voor overheidsorganisaties. De bouwstenen zijn gebaseerd op: wetgeving, open standaarden, basisinfrastructuur e-overheid en Logius (de dienst Digitale Overheid van het Ministerie van BZK). 3.2 Doel van de NORA In een onderzoek met betrekking tot nationale Enterprise Architecturen is de NORA beschreven als een framework ter controle van projecten dat werkt als een parapluconstructie om de samenhang weer te geven tussen projecten en die het mogelijk maakt wijzigingen te beheren binnen de afspraken van de architectuur. In het NORA-katern Strategie staat beschreven dat de NORA een raamwerk biedt dat het maken van afspraken tussen overheidsorganen eenvoudiger maakt, gebaseerd op een bestaand overheidsbeleid. Gustav (2011) beschrijft dat het doel van de Nederlandse overheid het streven is naar een nationale e-overheidsinfrastructuur die bestaat uit generieke bouwstenen met een functionaliteit die vergelijkbaar is met een Software as a Service (SAAS) en vrij te gebruiken is door alle overheidsinstanties. Jansen en Hjort-Madsen (2007) beschrijven als doel het bevorderen van de communicatie en deregulering om lange termijn groei-effecten te bereiken met betrekking tot economie, werkgelegenheid en inkomen. 3.3 Gebruikte bronnen Voor de NORA heeft een expertgroep Informatiebeveiliging in een afzonderlijk katern de beveiligingsprincipes uitgewerkt. Het gaat hier met name om tactische informatiebeveiligingsmaatregelen voor techniek. Voor wat betreft de organisatie, procedures en personeel verwijst de NORA naar de Code voor Informatiebeveiliging NEN-ISO/ IEC en en het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR). De Code voor Informatiebeveiliging NEN-ISO/IEC verwijst voor informatiebeveiligingsmaatregelen van netwerken naar de Information Technology - Security Techniques NEN-ISO/IEC en De Code voor Informatiebeveiliging is overigens het enige document dat daadwerkelijk informatiebeveiligingsmaatregelen kent tegen methoden en technieken van social engineering. Het VIR en het NORA-Dossier Informatiebeveiliging hebben met betrekking tot social engineering nauwelijks een toegevoegde waarde. 3.4 Verhouding GEMMA en NORA Een gemeentelijke overheid is een andere organisatie dan de rijksoverheid. Dit heeft met name te maken met de verantwoordelijkheden. Daar waar een gemeentelijke overheid opereert binnen een lokale gemeenschap is de rijksoverheid veelal landelijk georiënteerd. Dit heeft ertoe geleid dat voor de gemeentelijke overheid een van de NORA afgeleide architectuur is ontwikkeld te weten de GEMeentelijke Model Architectuur (GEMMA). Figuur 1 toont een gedeelte van de NORA en de GEMMA. In de afbeelding is duidelijk te zien dat de NORA een bouwsteen heeft met betrekking tot processen. De NORA beschrijft echter niet op welke wijze de processen in de organisatie kunnen worden uitgewerkt. De gemeenten hebben gekozen voor een generiek proces voor de afhandeling van een zaak (product of dienst). Dit generieke proces is beschreven in de procesarchitectuur van de GEMMA. Eén van de principes van de NORA is de éénmalige opslag van gegevens en het meervoudige gebruik hiervan. Bij de GEMMA procesarchitectuur is een bouwsteen Informeren en Intake opgenomen. Bij de intake (registratie) wordt gebruik gemaakt van de basisregistraties Personen waar de persoonsgegevens van de burger zijn opgeslagen. Hierdoor voldoet de GEMMA aan het bovenstaande principe van de NORA omdat de persoonsgegevens eenmalig zijn opgeslagen in de personenadministratie maar in de overige gemeentelijke administraties meervoudig in gebruik zijn. Figuur 1 Samenhang NORA en GEMMA voor de overheid 9

10 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Jaap van der Veen Auteur van het NORA-dossier Informatiebeveiliging Social engineering is een apart aandachtsgebied binnen de informatiebeveiliging. Social engineering is niet expliciet benoemd in de NORA, omdat dit kader de interoperabiliteit van overheidsorganisaties normeert en niet gaat over de interne informatiehuishouding. Social engineering werkt vooral binnen de invloedssfeer van organisaties en hun kantooromgevingen. Beveiliging wordt vaak technocratisch beschouwd, terwijl de factor mens en zijn gedrag heel bepalend is voor de digitale veiligheid. Mijn analyse is dat traditionele informatiebeveiligingsmaatregelen in veel organisaties en dus ook bij de overheid, onvoldoende bescherming bieden tegen aanvallen van social engineering. De overheid had in het verleden ook weinig aandacht voor deze risico s. Hoewel er sinds de DigiNotar crisis veel aandacht is geweest voor beveiliging en er inmiddels verschillende aanvullende maatregelen zijn genomen, schiet vooral de specifieke kennis over social engineering tekort. Dat geldt zowel voor medewerkers binnen als buiten de overheid. Het volgen van awareness trainingen is een voorwaarde voor het vergroten van die kennis en het voorkomen van inbraak via social engineering. Er wordt binnen de overheid met prioriteit gewerkt aan middelen voor awareness van zowel management als medewerkers. Ook vanuit het Platform voor Informatiebeveiliging (PvIB) wordt dit onderwerp onder de aandacht gebracht. De uitdaging voor de komende jaren is de ontwikkelde awareness-tools zo gevarieerd in te zetten dat we de aandacht vast kunnen houden. Of dit genoeg is om weerstand te bieden aan de snel toenemende bedreigingen, dat zal de toekomst uitwijzen. Daar waar de GEMMA geen invulling geeft aan een bouwsteen van de NORA volgt zij de handreiking van de NORA. Dit geldt onder meer voor het onderdeel beveiliging en privacy van de NORA. De NORA gebruikt hiervoor onder andere de Code voor Informatiebeveiliging. Omdat de GEMMA geen aparte beveiligingsarchitectuur kent, zijn gemeenten voor dit onderdeel dus gehouden aan de Code voor Informatiebeveiliging. 3.5 Conclusie De NORA is een Enterprise Architectuur voor het inrichten van de informatiehuishouding van de Nederlandse Overheid gebaseerd op best practices en het comply or explain principe. De NORA bestaat uit bouwstenen en principes. De bouwstenen hebben met name betrekking op de bedrijfs-, informatie- en technische architectuur. De NORA bevat een aparte bouwsteen met betrekking tot de beveiliging en privacy. De invulling van deze bouwsteen wordt ondersteund door de Code voor Informatiebeveiliging, het VIR en het NORA-Dossier Informatiebeveiliging. Doel van de NORA is het verduidelijken van de informatie-uitwisseling tussen overheidsinstanties, gebaseerd op bestaand overheidsbeleid met als gevolg een gedereguleerde dienstverlening die duidelijk en transparant is en die werkt als een parapluconstructie bij meerdere projecten om de samenhang te beheren. Met betrekking tot de informatiebeveiliging gebruikt de NORA als bronnen het NORA-Dossier Informatiebeveiliging, de Code voor Informatiebeveiliging NEN-ISO/IEC en en het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR). Van deze bronnen reikt alleen de Code voor Informatiebeveiliging daadwerkelijk informatiebeveiligingsmaatregelen aan. De GEMMA is een architectuur voor Nederlandse gemeenten, afgeleid van de NORA, met een nadere uitwerking en aanvulling op de NORA. De aanvullingen hebben echter geen betrekking op de informatiebeveiliging. De GEMMA richt enkel de proces- en informatiearchitectuur nader in. nl.linkedin.com/in/jaapvanderveen 10

11 SEPTEMBER Social engineering Dit hoofdstuk geeft antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering. In de eerste paragraaf vindt u een definitie van het begrip social engineering. Daarna volgt een nadere concretisering naar methoden en technieken van social engineering. Het hoofdstuk besluit met een conclusie, waarin het eerste deel van het raamwerk voor het referentiemodel wordt ingevuld. 4.1 Algemene definitie Uit verschillende definities uit de literatuur wordt duidelijk dat het bij social engineering gaat om het gebruik van sociale vaardigheden gericht op het manipuleren van mensen met als doel ongeautoriseerde toegang te verkrijgen tot informatieobjecten of fysieke objecten waar informatieobjecten worden beheerd. Bij het manipuleren gaat het vooral om het beïnvloeden van menselijke waarden en normen waarbij techniek ondersteunend is. Zo hoeft een social engineer soms slechts een gesprek te voeren om toegang te krijgen tot gebouwen of informatie. Volgens Thompson (2006) werkt het gegeven van social engineering omdat de meeste mensen veronderstellen dat anderen eerlijk zijn. Hinson (2008) stelt dat door de menselijke factor in social engineering eenieder in staat is technieken van social engineering toe te passen. Tegelijkertijd kan elke medewerker doelwit zijn van een aanval van social engineering. Mitnick (2003) is daarom van mening dat binnen een organisatie elke medewerker deel moet uitmaken van het beveiligingsteam. Het trainen en opleiden van medewerkers om ze zo bewust te maken van de gevaren van social engineering is dan ook één van de belangrijkste maatregelen tegen social engineering. Hinson en Nyamsuren (2007) onderschrijven dit. Mitnick geeft hierbij aan dat training en opleiding cyclisch moet plaatsvinden, zodat medewerkers doordrongen blijven van de gevaren van social engineering. Mann (2008) is niet overtuigd van een bewustwordingstraining maar geeft aan dat het informatiesysteem zodanig dient te zijn ingericht dat menselijke fouten niet meer mogelijk zijn, onder andere door het gebruik van intelligente formulieren. Verder geeft Mann aan dat je eerst je medewerker goed moet kennen voordat je weet wat de zwakheid van de betreffende medewerker is zodat je een op maat gemaakte beveiliging kunt toepassen. 4.2 Methoden en technieken De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden: Denial of service: In deze situatie gebruikt de social engineer een DOS-aanval op een toegangsbadge of ander identificerend device van de medewerker gebaseerd op wireless communicatie. Op het moment dat de medewerker geen toegang meer verkrijgt tot het systeem manipuleert de social engineer de medewerker door het verlenen van hulp met als doel een of meerdere methoden of technieken van social engineering in te zetten. Diefstal mobile devices: Met behulp van gestolen devices verkrijgt de social engineer gegevens over het bedrijf en medewerkers en kan met de verkregen informatie zijn slachtoffers manipuleren. Dumpster diving: Doorzoeken van met name papierbakken om zodoende informatie te vergaren over de organisatie of de medewerkers. Direct vragen: Door direct gerichte vragen te stellen aan het slachtoffer kan deze worden overrompeld en ziet deze geen direct gevaar in het verstrekken van de informatie. misbruik: De social engineer gebruikt een om informatie te verkrijgen van het slachtoffer. Deze aanpak wordt vaak gecombineerd met andere methoden en technieken. Emotionele benadering: De social engineer gebruikt een herkenbare emotionele gebeurtenis over zichzelf om bij het slachtoffer een emotionele reactie te verkrijgen en zodoende informatie te verkrijgen. Emotionele manipulatie: De social engineer gebruikt een herkenbare emotionele gebeurtenis en verplaatst het slachtoffer in deze situatie om zo informatie te verkrijgen. Imitatie: De social engineer gebruikt nagemaakte documenten om informatie te verkrijgen van het slachtoffer. Impersonificatie: Het aannemen van de identiteit van een ander door de social engineer waardoor deze toegang krijgt tot het gebouw of informatiesysteem. Interpersoonlijke relatie: Opbouwen van een persoonlijke relatie met het slachtoffer gedurende langere tijd om op het juiste moment bij het slachtoffer, een directe collega of bekende van het slachtoffer informatie te verkrijgen. Manipulatie dankbaarheid: Het slachtoffer behulpzaam zijn met activiteiten en vervolgens zelf om hulp vragen om de gewenste informatie te verkrijgen. Manipulatie sympathie: Door gedrag, houding en het spiegelen van interesses manipuleert de social engineer het slachtoffer waardoor deze eerder geneigd is informatie te verstrekken. voor de overheid 11

12 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Misbruik van vertrouwen: Is een combinatie van de overige methoden of technieken waarbij wederkerigheid een grote rol speelt. Nepmelding: Door het gebruik van een nepmelding of nepbericht zorgt de social engineer voor een situatie waarin een afwijkende procedure wordt gevolgd waarna de social engineer probeert toegang te krijgen tot de gewenste informatie. Phishing: Het slachtoffer wordt verleid via of een ander communicatiekanaal om in te loggen op dubieuze websites en vervolgens vertrouwelijke gegevens te verstrekken. Reverse social engineering: Hierbij veroorzaakt de social engineer een gebeurtenis of situatie waarbij het slachtoffer hulp moet vragen aan de sociale engineer om de situatie of gebeurtenis ongedaan te maken. Shoulder surfing: Letterlijk over de schouders van een slachtoffer meekijken op het moment dat deze bezig is met het informatiesysteem. Valse beloften: Een social engineer doet valse beloften aan een slachtoffer over een beloning bij het verkrijgen van bedrijfsgegevens of persoonlijke gegevens. Verleiden: Is een combinatie van de overige methoden of technieken waarbij beloning een grote rol speelt. Verborgen agenda: Is een combinatie van de overige methoden of technieken waarbij vertrouwen een grote rol speelt. Henk Evers Burgemeester gemeente Nederweert Social engineering is enorm belangrijk en wordt in de toekomst alleen maar belangrijker! Onderzoeken zoals deze en andere recente ontwikkelingen zijn voor mij een ware eye-opener en zorgen dat social engineering op de agenda staat. En dat moet ook. Techniek is hierbij een belangrijk onderdeel, maar we moeten er voor zorgen dat de menselijke kant niet onderbelicht blijft. De techniek holt in een flink tempo door en zorgt dat we onze dienstverlening als overheid nagenoeg optimaal kunnen inrichten. Voor zowel grote als kleine gemeenten. In mijn ogen leunen we hierbij te veel op de techniek en focussen we te weinig op het gedrag van de professionals die er mee werken. Want dat is waar het om gaat, we moeten scherp blijven en voortdurend bekend zijn met de laatste ontwikkelingen en de daaraan verbonden verantwoordelijkheden voor onze organisatie. Het besef hiervan moet continu op ons netvlies staan. nl.linkedin.com/pub/henk-evers/4b/169/ Conclusie In antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering, is in dit hoofdstuk bepaald dat social engineering gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen. De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden: valse beloften, denial of service, diefstal mobile devices, dumpster diving, direct vragen, misbruik, emotionele benadering, emotionele manipulatie, imitatie, impersonificatie, interpersoonlijke relatie, manipulatie dankbaarheid, manipulatie sympathie, misbruik van vertrouwen, nepmelding, phishing, reverse social engineering, shoulder surfing, verleiden, verborgen agenda. Deze methoden en technieken van social engineering vormen de basis voor het referentiemodel, dat in hoofdstuk 7 terugkomt. 12

13 SEPTEMBER Informatiebeveiligingsmaatregelen tegen social engineering Dit hoofdstuk gaat in op informatiebeveiligingsmaatregelen die bescherming kunnen bieden tegen aanvallen van social engineering. Na een beschrijving van informatiebeveiligingsmaatregelen in de NORA en de Code voor Informatiebeveiliging besluit het hoofdstuk met een conclusie, waarin het raamwerk voor het referentiemodel verder wordt ingevuld. 5.1 Maatregelen in de NORA Waar de technische kant van informatiebeveiliging in de NORA uitgebreid aan de orde komt, besteedt de NORA relatief weinig aandacht aan de menselijke kant van informatiebeveiliging. Volgens de auteurs van het NORA-Dossier Informatiebeveiliging heerst er een taboe binnen de overheid om normen te beschrijven op het gebied van vertrouwen en wantrouwen. De overheid onderkent het belang van bewustwording tegen social engineering niet. De NORA beschrijft geen informatiebeveiligingsmiddelen, maar verwijst daarvoor naar verschillende bronnen, waaronder de Code voor Informatiebeveiliging. 5.2 Maatregelen in de Code voor Informatiebeveiliging Met betrekking tot de menselijke maat biedt hoofdstuk 8 van de Code voor Informatiebeveiliging een apart onderdeel voor de Beveiliging van personeel. De Code voor Informatiebeveiliging beschrijft daarin de volgende informatiebeveiligingsmaatregelen tegen social engineering. Voorafgaand aan het dienstverband: Vastleggen rollen en verantwoordelijkheden Screening Arbeidsvoorwaarden Tijdens het dienstverband: Directieverantwoordelijkheid Bewustzijn, opleiding en training Disciplinaire maatregelen Van deze maatregelen is het volgen van opleidingen en trainingen om het bewustzijn te vergroten het meest effectief tegen de methoden en technieken van social engineering. De Code voor Informatiebeveiliging geeft echter slechts richtlijnen en beschrijft niet direct wat de inhoud zou moeten zijn van een opleiding of training om het bewustzijn op het gebied van social engineering te vergroten. Uit de interviews met medewerkers van vijf Limburgse gemeenten bleek dat verantwoordelijkheden automatisch eindigen op het moment dat een medewerker de organisatie verlaat. Deze maatregel heeft daardoor geen onderscheidend vermogen en is om die reden niet opgenomen in het referentiemodel. 5.3 Conclusie De NORA verwijst naar de Code voor Informatiebeveiliging voor de beschrijving van informatiebeveiligingsmaatregelen. Op basis van de Code voor Informatiebeveiliging nemen we de volgende informatiebeveiligingsmaatregelen tegen social engineering op in het referentiemodel social engineering, in hoofdstuk 7: Rollen en verantwoordelijkheden; Screening; Arbeidsvoorwaarden; Directieverantwoordelijkheid; Bewustzijn opleiding en training; Disciplinaire maatregelen; Retourneren bedrijfsmiddelen; Blokkering toegangsrechten. De beste verdediging tegen methoden en technieken van social engineering is bewustwording. De NORA verwijst daarvoor naar de Code voor Informatiebeveiliging waarin maatregelen met betrekking tot opleiding en training zijn beschreven. De Code voor Informatiebeveiliging geeft echter slechts een richtlijn en beschrijft niet wat de inhoud zou moeten zijn van een dergelijke opleiding of training. Bij beëindiging of wijziging van het dienstverband: Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten voor de overheid 13

14 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 6. Informatiebeveiligingsbeleid in Limburgse gemeenten Dit hoofdstuk geeft antwoord op de vraag op welke wijze het informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand is gekomen en wat daarin is vastgelegd. Voordat dit hoofdstuk ingaat op het informatiebeveiligingsbeleid, komt de kennis van de respondenten over het onderwerp informatiebeveiliging en social engineering in het bijzonder aan de orde. Daarna komt het vastgestelde informatiebeveiligingsbeleid aan de orde en de maatregelen die daarin zijn beschreven ter bescherming tegen aanvallen van social engineering. Vervolgens behandelt paragraaf vier kort de gebruikte theorieën. Het hoofdstuk besluit met een conclusie, waarin het referentiemodel verder wordt aangevuld. 6.1 Kennisniveau respondenten Voordat het informatiebeveiligingsbeleid in de Limburgse gemeenten aan de orde komt, schetst deze paragraaf kort de kennis van de respondenten ten aanzien van: De NORA, de GEMMA en auditvormen; Inhoud van de NORA en de GEMMA; Andere informatiebeveiligingstheorieen; Social engineering Kennis van NORA, GEMMA en auditvormen Om de informatiebeveiliging binnen de gemeentelijke overheid in te richten is de kennis over het bestaan van de NORA en de GEMMA een vereiste. Je kunt immers geen architectuur gebruiken als je niet weet dat deze bestaat. Het Kennis Instituut Nederlandse Gemeenten (KING) organiseert jaarlijks sessies en nodigt hiervoor medewerkers van gemeenten uit. Tevens voorziet de KING-website de bezoeker van informatie over de NORA en de GEMMA. Naast de kennis van de architecturen kan kennis van de auditvormen bijdragen aan bewustwording ten aanzien van informatiebeveiliging. In de webenquête is gevraagd of de respondenten de NORA, de GEMMA, de GBA-audit en de SuwiNet-audit kennen: 25 respondenten (89%) geven aan de NORA te kennen; 27 respondenten (96%) geven aan de GEMMA te kennen; alle 28 respondenten (100%) geven aan de GBA-audit te kennen; 17 respondenten (61%) geven aan de SuwiNet-audit te kennen. De NORA gebruikt voor de bouwsteen beveiliging en privacy drie documenten. Kennis van de inhoud van deze drie documenten is belangrijk omdat hier richtlijnen en maatregelen in staan voor het inrichten en beheren van de informatiebeveiliging: 10 respondenten (36%) geven aan de inhoud van de Code voor Informatiebeveiliging (1e document) te kennen; 5 respondenten (18%) geven aan de inhoud van het VIR (2e document) te kennen; 2 respondenten (7%) geven aan de inhoud van het NORA- Dossier Informatiebeveiliging (3e document) te kennen. Geconcludeerd kan worden dat de respondenten de inhoud van de NORA niet volledig kennen omdat de Code voor Informatiebeveiliging een invulling is van de NORA bouwsteen beveiliging en privacy Kennis van andere theorieën Het kan voorkomen dat de respondent een andere theorie en methode toepast bij de inrichting van de informatiebeveiliging: 19 respondenten (87%) geven aan ITIL Security Management te kennen; 5 respondenten (18%) geven aan een andere theorie of methode te kennen. De andere theorieën die door de respondenten zijn genoemd zijn: Ondersteuning adviesbureau; NIST normen; Eigen invulling Kennis van social engineering 24 respondenten (86%) geven aan de term social engineering te kennen. Om te toetsen of de respondenten werkelijk kennis hebben van het begrip social engineering, is gevraagd of zij kunnen benoemen welke begrippen te maken hebben met social engineering: 25 respondenten (89%) noemen misleiding; 18 respondenten (64%) noemen phishing; 12 respondenten (43%) noemen mail spam; 11 respondenten (39%) noemen dumpster diving; 7 respondenten (25%) noemen (ten onrechte) het gebruik van een virus. Hieruit kan geconcludeerd worden dat de meeste respondenten weten wat social engineering is Inhoudelijke kennis Om de bouwstenen en principes van de NORA en de GEMMA te kunnen gebruiken, is inhoudelijke kennis nodig. 23 respondenten (82%) geven aan de inhoud van de NORA en de GEMMA te kennen. 14

15 SEPTEMBER Vastgesteld beleid De NORA geeft aan dat het informatiebeveiligingsbeleid minimaal zes aandachtsgebieden moet beschrijven: definitie, doelstelling en reikwijdte: dit onderdeel zorgt voor eenduidigheid en werkingsomgeving van het document; verklaring van de directie: bekrachtiging van de inhoud van het beleidsdocument door de directie geeft aan dat een ieder zich dient te houden aan het beleid; kader voor beheerdoelstellingen/-maatregelen: hierin zijn de procedures voor het beheer van het informatiebeveiligingsbeleid opgenomen waaronder risicobeoordeling, risicobeheer en de maatregelen; beknopte uiteenzetting: uitgangspunten die voor de organisatie van belang zijn waaronder bewustwording, training en opleiding; verantwoordelijkheden beheer: algemene en specifieke verantwoordelijkheden waaronder incidentrapportage; verwijzing naar andere documentatie: uitbreiding of aanvulling van de werkingssfeer van het document. Tevens het voorkomen dat dezelfde tekst in meerdere documenten voorkomt. De volgende paragrafen geven per onderdeel aan of het in de gemeenten aanwezig is en in hoeverre de aandachtsgebieden die de NORA voorschrijft daarin zijn opgenomen Overkoepelend document Aan de respondenten is gevraagd of de gemeente een overkoepelend informatiebeveiligingsdocument heeft. 20 respondenten (71%) geven aan dat er een overkoepelend informatiebeveiligingsbeleidsdocument aanwezig is. De respondenten die aangeven dat er geen overkoepelend informatiebeveiligingsbeleidsdocument is, geven als reden daarvoor: nog uit te werken (eind 2012 en 2013); is vooral gericht op de ICT; zijn we op dit moment mee bezig. In meer dan de helft van de gevallen bevatten de overkoepelende informatiebeveiligingsdocumenten de aandachtsgebieden die de NORA voorschrijft. De helft van de respondenten geeft aan dat het overkoepelend informatiebeveiligingsdocument verwijzingen naar andere documentatie bevat. De andere aandachtsgebieden zijn vaker beschreven. De definitie, doelstelling en reikwijdte is daarbij het vaakst opgenomen in het informatiebeleidsplan (71%) GBA-beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een GBAbeveiligingsdocument heeft. Alle 28 respondenten (100%) geven aan dat er een GBA-beveiligingsdocument aanwezig is. De door de NORA voorgeschreven aandachtsgebieden zijn daarin voor het merendeel aanwezig. 26 respondenten (93%) geven aan definitie, doelstelling en reikwijdte te hebben opgenomen in het document. De laagste score geldt voor de verwijzing naar andere documenten en bedraagt 82% SuwiNet-beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een SuwiNetbeveiligingsdocument heeft. 15 respondenten (54%) geven aan dat er een SuwiNet-beveiligingsdocument aanwezig is. De respondenten die aangeven dat er geen SuwiNet-beveiligingsdocument is, geven als reden daarvoor: ondergebracht bij regionale samenwerking; nog niet ingepland; ondergebracht in ander document; wachten tot SuwiNet geheel gereed is. De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts in een deel van de gemeenten opgenomen in het SuwiNetbeveiligingsdocument. De definitie, doelstelling en reikwijdte en de verklaring van de directie scoren het hoogst met 11 respondenten (39%) die aangeven dat deze aandachtsgebieden zijn opgenomen in het document DigiD beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een DigiDbeveiligingsdocument heeft. 6 respondenten (21%) geven aan dat er een DigiD-beveiligingsdocument aanwezig is. De respondenten die aangeven dat er geen DigiD-beveiligingsdocument is, geven als reden daarvoor: staat in de planning; opgenomen in algemeen beveiligingsplan; nog niet actueel; laten we over aan de leverancier; is in ontwikkeling. De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts in een aantal DigiD-beveiligingsdocumenten opgenomen. De definitie, doelstelling en reikwijdte en de verklaring van de directie scoren het hoogst met 3 respondenten (11%) die aangeven dat deze aandachtsgebieden zijn opgenomen in het document Directiebeoordeling Een recente directiebeoordeling is belangrijk omdat de directie betrokken moet zijn bij het opstellen van het beleid en de genomen besluiten moet kunnen controleren na het uitvoeren van deze besluiten. 12 respondenten (43%) geven aan dat een beoordeling is aangeboden. voor de overheid 15

16 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN De respondenten die aangeven dat ze geen beoordeling hebben voorgelegd aan de directie, geven als reden daarvoor: ondergebracht in informatiebeveiligingsdocument; niet afgesproken; via externe partij; geen security verantwoordelijke. De Code voor Informatiebeveiliging geeft een negental onderdelen aan die van belang zijn bij een directiebeoordeling. In minder dan de helft van de Limburgse gemeenten zijn deze onderdelen opgenomen in een directiebeoordeling. Het onderdeel dat het vaakst terugkomt in een directiebeoordeling is het rapporteren van beveiligingsincidenten (43%) Verantwoordelijkheid beheer Wanneer er geen beheerorganisatie aanwezig is, mist het informatiebeveiligingsbeleid zijn kracht. Het beleid is dynamisch en moet afgestemd zijn op de behoefte van de gemeente en de omgeving waarin de gemeente zich ontwikkelt. Aan de respondenten is daarom gevraagd of in de laatste directiebeoordelingen verbeteringen zijn opgenomen ten aanzien van de beheerorganisatie en de daaraan verbonden verantwoordelijkheden. 7 respondenten (25%) geven aan dat de laatste directiebeoordeling een verbetering voor de aanpak van de organisatie van het beheer bevatte. 8 respondenten (29%) geven aan dat er verbeteringen ten aanzien van de beheerdoelstellingen en maatregelen zijn opgenomen. Tenslotte geven 6 respondenten (22%) aan dat de toewijzing van middelen en verantwoordelijkheden in de laatste directiebeoordeling is opgenomen Verantwoordelijke informatiebeveiliging Aan de respondenten is gevraagd wie er in de gemeente formeel verantwoordelijk is voor de totstandkoming en beheer van het informatiebeveiligingsbeleid. Twee respondenten wensen de vraag niet te beantwoorden. De overige respondenten geven aan: Hoofd Informatievoorziening en Automatisering (6 gemeenten) Informatiemanager / informatiearchitect (4 gemeenten) Beveiligingsfunctionaris (3 gemeenten) Adviseur informatiemanagement Bestuur en directie College van B&W Concern controller / medewerker control Gemeentesecretaris Informatiebeveiligingscoördinator Kernteam 3D Sectordirecteur Bedrijfsvoering Security Board 3 respondenten geven aan dat de verantwoordelijkheid voor informatiebeveiliging in zijn of haar gemeente niet formeel is vastgelegd. 6.3 Beschreven maatregelen De informatiebeveiligingsmaatregelen zijn onderverdeeld in acht onderdelen. Hierna volgt per onderdeel een uitleg van het doel van de informatiebeveiligingsmaatregelen, en de mate waarin de Limburgse gemeenten de maatregelen hebben beschreven in het informatiebeveiligingsbeleid Rollen en verantwoordelijkheden Het vastleggen van rollen en verantwoordelijkheden zorgt ervoor dat het voor de medewerkers van de gemeente duidelijk is welke informatie zij mogen verstrekken en in welke gevallen dit mag. Tevens zorgt dit ervoor dat de verantwoordelijkheid voor het beheer en gebruik van de bedrijfsmiddelen is vastgelegd. Het vastleggen van rollen en verantwoordelijkheden bestaat uit vier aspecten. Van elk aspect is gemeten in hoeveel Limburgse gemeenten het aspect is opgenomen in de beschrijving van rollen en verantwoordelijkheden. Tabel 1 toont de aanwezigheid van de verschillende aspecten in de Limburgse gemeenten. Gemiddeld scoort de beschrijving van rollen en verantwoordelijkheden in de Limburgse gemeenten 78%. Aspect Aanwezig Bescherming van bedrijfsmiddelen 75% Het uitvoeren van beveiligingsprocessen of 86% beveiligingsactiviteiten Het verantwoordelijk maken van een persoon voor 71% genomen handelingen Het rapporteren van gebeurtenissen met betrekking 79% tot informatiebeveiligingsrisico s Gemiddeld 78% Tabel 1 Aanwezigheid vastgelegde rollen en verantwoordelijkheden in Limburgse gemeenten 16

17 SEPTEMBER Screening Screening zorgt ervoor dat er meer inzicht wordt verkregen in een nieuwe medewerker. Een controle van bijvoorbeeld de kredietwaardigheid kan voorkomen dat een medewerker door geldgebrek geneigd is om informatie voor het juiste bedrag te verkopen aan een social engineer. 1 respondent (4%) heeft deze vraag niet beantwoord. Tabel 2 toont de aanwezigheid van de verschillende onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van controle op onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten 45% Directieverantwoordelijkheid De directie is verantwoordelijk voor het beleid en het toezien op het uitvoeren en naleven van het beleid. Hiertoe is een aantal onderdelen als norm opgenomen in de Code voor Informatiebeveiliging waardoor het informatiebeveiligingsbeleid meer betekenis krijgt. 2 respondenten (7%) hebben deze vraag niet beantwoord. Tabel 4 toont de aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten 49%. Aspect Aanwezig Aspect Aanwezig Beschikbaarheid positieve referenties 54% Juistheid van Curriculum Vitae 43% Opgegeven diploma s 57% Onafhankelijke identiteitscontrole 54% Kredietwaardigheid 4% Strafblad 61% Gemiddeld 45% Tabel 2 Aanwezigheid controle op onderdelen bij screening van nieuwe medewerker in Limburgse gemeenten Arbeidsvoorwaarden In de arbeidsvoorwaarden zijn de afspraken met de medewerker vastgelegd omtrent de wettelijke verantwoordelijkheden, de wijze waarop met informatie moet worden omgegaan en hoe te handelen bij het constateren van een nalatigheid met betrekking tot de informatiebeveiliging. 1 respondent (4%) heeft deze vraag niet beantwoord. Tabel 3 toont de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten 44%. Aspect Aanwezig Vertrouwelijkheid- of geheimhoudingsverklaring 75% Wettelijke verantwoordelijkheden waaronder 32% auteursrecht bij het gebruik van informatie Classificatie van informatie en het beheer van de 36% bedrijfsmiddelen die door de medewerker worden gebruikt Verwerken van ontvangen informatie 50% Gedegen voorlichting medewerkers van de gemeente 57% Accorderen duidelijke richtlijnen met betrekking tot de 57% informatiebeveiliging Motivatie en uiting van motivatie om het 43% informatiebeveiligingsbeleid uit te dragen Verwerven van veiligheidsbewustzijn 39% Handelen in overeenstemming met de 54% arbeidsvoorwaarden Bijhouden van vaardigheden en kwalificaties 43% Gemiddeld 49% Tabel 4 Aanwezigheid van directieverantwoordelijkheid op onderdelen in Limburgse gemeenten Bewustzijn, opleiding en training Dit onderdeel controleert of er ook daadwerkelijk opleidingen of trainingen worden gevolgd met betrekking tot bewustzijn en informatiebeveiliging. Dit is de informatiebeveiligingsmaatregel die vanuit de literatuurstudie naar voren is gekomen als de meest effectieve informatiebeveiligingsmaatregel. 1 respondent (4%) heeft deze vraag niet beantwoord. In 50% van de Limburgse gemeenten worden medewerkers getraind of opgeleid om het bewustzijn ten aanzien van informatiebeveiliging te vergroten. De gemeenten die hun medewerkers geen opleidingen of trainingen laten volgen, geven daarvoor als redenen: moet nog worden opgenomen in het informatiebeveiligingsdocument; andere prioriteiten; staat in de planning; geen beleidsmedewerker informatievoorziening; eigen initiatief; onvoldoende bewustwording van noodzaak. Verwerken van persoonlijke informatie 54% Verantwoordelijkheid ten aanzien van flexibel werken 32% Handelingen die moeten worden uitgevoerd bij het 29% nalaten van de informatiebeveiligingsmaatregelen Gemiddeld 44% Tabel 3 Aanwezigheid van onderwerpen in arbeidsvoorwaarden in Limburgse gemeenten voor de overheid 17

18 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Disciplinaire maatregelen In dit onderdeel is onderzocht of er bij overtreding van het informatiebeveiligingsbeleid disciplinaire maatregelen zijn beschreven of een procedure waaruit blijkt dat het afwijken van het informatiebeveiligingsbeleid niet wordt geaccepteerd. Dit onderdeel heeft met name een repressieve functie. 2 respondenten (7%) hebben deze vraag niet beantwoord. In 36% van de Limburgse gemeenten is er een proces omtrent een disciplinaire maatregel bij een inbreuk op de informatiebeveiligingsmaatregelen door medewerkers Retourneren bedrijfsmiddelen Wanneer een medewerker van de gemeente de organisatie verlaat, is het van belang dat alle bedrijfsmiddelen worden geretourneerd. Denk hierbij aan een laptop, mobiele telefoon of een hardware dongle (usb-stick met code) om thuiswerken via internet mogelijk te maken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband op retournering van bedrijfsmiddelen Blokkering toegangsrechten Wanneer een medewerker van de gemeente de organisatie verlaat, is het van belang dat de medewerker geen toegang meer krijgt tot de informatiesystemen van de gemeente. Hierdoor is het niet meer mogelijk dat de betreffende medewerker na het verlaten van de organisatie gegevens kan verstrekken aan een social engineer of zelf de gegevens kan misbruiken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband de blokkering van toegangsrechten. 6.4 Gebruikte theorieën In de helft van alle Limburgse gemeenten is de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten, 57%). Verder hebben de Limburgse gemeenten gebruik gemaakt van de volgende theorieën (1 respondent heeft deze vraag niet beantwoord): Control OBjectives for Information and related Technology (COBIT); Sherwood Applied Business Security Architecture (SABSA); Een andere theorie of gedachte, zoals: met behulp van extern adviesbureau; doorgegaan op bestaand document; Code voor Informatiebeveiliging; CRAMM; Gezond verstand; CISSP de 10 domeinen. Aan de respondenten die aangaven de NORA niet gebruikt te hebben bij de totstandkoming van het informatiebeveiligingsbeleid is gevraagd naar de reden daarvoor. De respondenten noemden hiervoor de volgende redenen: ondersteuning door extern adviesbureau; geen bewuste keuze; NORA was nog niet actueel; doorgegaan op bestaand document; kader is te breed. 6.5 Conclusie Het beheer van het informatiebeveiligingsbeleid in de Limburgse gemeenten is onvoldoende geborgd en vastgesteld. Er is vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen staan beschreven ter bescherming tegen aanvallen van social engineering. De mate waarin informatiebeveiligingsmaatregelen vanuit de NORA beschreven zijn in het informatiebeveiligingsbeleid is gemiddeld 58%. Op onderdelen valt deze score hoger of lager uit. Het retourneren van bedrijfsmiddelen en het blokkeren van toegangsrechten is het vaakst beschreven in het informatiebeveiligingsbeleid (beide in 89% van de Limburgse gemeenten). De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten, 57%). Andere theorieën, zoals Control OBjectives for Information and related Technology (COBIT) en Sherwood Applied Business Security Architecture (SABSA) zijn minder vaak gebruikt. 18

19 SEPTEMBER Bescherming tegen social engineering in Limburg Dit hoofdstuk geeft antwoord op de vraag of de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen aanvallen van social engineering. Het hoofdstuk begint met een uitwerking van het referentiemodel social engineering. Vervolgens komt aan de orde of er zich in de Limburgse gemeenten gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen social engineering. Daarna komt kort aan de orde welke acties daaruit zijn voortgevloeid. Het hoofdstuk besluit met een conclusie. 7.1 Bescherming volgens het referentiemodel Aan de hand van het referentiemodel is te bepalen in hoeverre het informatiebeveiligingsbeleid in de Limburgse gemeenten bescherming biedt tegen aanvallen van social engineering. De basis van het referentiemodel bestaat enerzijds uit het overzicht van aanvallen van social engineering (zie hoofdstuk 4) en anderzijds uit de verschillende informatiebeveiligingsmiddelen die gemeenten kunnen treffen tegen aanvallen van social engineering (zie hoofdstuk 5). Op basis van de doelstelling per maatregel en de definitie van de methode of techniek van social engineering is een koppeling gemaakt tussen aanvallen van social engineering en maatregelen die daartegen kunnen beschermen. De bolletjes in het referentiemodel (zie Tabel 5) geven deze bescherming weer. In het vorige hoofdstuk is voor elke informatiebeveiligingsmaatregel bepaald in hoeveel gemeenten deze maatregel beschreven is in het informatiebeveiligingsbeleid. Deze percentages zijn bij elke maatregel in het referentiemodel vermeld. Op basis hiervan is per methode of techniek van social engineering te berekenen hoeveel bescherming deze maatregelen hiertegen bieden. Voorbeeldberekening Tegen de diefstal van mobile devices kunnen gemeenten gebruikmaken van arbeidsvoorwaarden, directieverantwoordelijkheid, bewustzijn door training en opleiding en disciplinaire maatregelen. Deze vier maatregelen zijn in respectievelijk 44%, 49%, 50% en 36% van de Limburgse gemeenten geborgd in het informatiebeveiligingsbeleid. Gemiddeld zijn de gemeenten daarmee voor 45% beschermd tegen aanvallen van social engineering door middel van diefstal van mobile devices (( )/4 mogelijke aanvallen). Informatiebeveiligingsmaatregelen Aanvallen van social engineering Rollen en verantwoordelijkheden Screening Het totale gemiddelde van de bescherming van Limburgse gemeenten tegen verschillende methoden en technieken van social engineering bedraagt op basis van het referentiemodel social engineering 57%. De informatiebeveiliging in Limburgse gemeenten is daarmee onvoldoende geborgd. Dit betekent dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering. Arbeidsvoorwaarden Directieverantwoordelijkheid Bewustzijn opleiding en training Disciplinaire maatregelen Retourneren bedrifsmiddelen Blokkering toegangsrechten 78% 45% 44% 49% 50% 36% 89% 89% Denial of service 64% Diefstal mobile devices 45% Dumpster diving 45% Direct vragen 64% misbruik 62% Emotionele benadering 50% Emotionele manipulatie 50% Imitatie 59% Impersonificatie 59% Interpersoonlijke relatie 50% Manipulatie dankbaarheid 64% Manipulatie sympathie 64% Misbruik van vertrouwen 64% Nepmelding 55% Phishing 55% Reverse social engineering 65% Shoulder surfing 53% Valse beloften 48% Verleiden 64% Verborgen agenda 55% Gemiddelde bescherming Limburgse gemeenten 57% tegen aanvallen social engineering Tabel 5: Referentiemodel social engineering (percentages geven de toepassing van het referentiemodel weer op de Limburgse gemeenten) voor de overheid 19

20 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Alwin ter Voert Gemeentesecretaris Horst aan de Maas Aanspreekpunt namens de gemeenten voor de Veiligheidsregio Limburg Noord De wens van een meer efficiënte, transparante dienstverlening voor burger en bedrijf enerzijds en de huidige bezuinigingsmaatregelen anderzijds zorgen ervoor dat het management van een gemeente anders moet gaan nadenken over de bedrijfsvoering. Digitalisering helpt hierbij en zorgt ervoor dat de gemeente in regie blijft en eenvoudiger kan bepalen op welke wijze zij omgaat met haar ketenpartners. Gegevens en informatiestromen zijn door digitalisering overal en altijd beschikbaar en zorgen ervoor dat de analoge manier van het verzamelen en verspreiden van gegevens en informatie door middel van fysieke dossiers langzaam maar zeker verdwijnt. Technische hulpmiddelen zoals firewalls en routers regelen als poortwachters de toegang tot het gemeentelijke netwerk en ondersteunen daarmee de logische beveiliging. De inzet van hulpmiddelen voor digitalisering is een managementverantwoordelijkheid. Maar zonder bewustzijn, voortdurende waakzaamheid en de benodigde opleidingen en trainingen resulteert het gebruik van technische hulpmiddelen in een schijnveiligheid. Steeds vaker worden we geconfronteerd met nep-mailberichten met als doel ons te verleiden tot het verstrekken van confidentiële informatie. Binnen de gemeente Horst aan de Maas is een aantal beleidsuitgangspunten met betrekking tot de informatiebeveiliging vastgesteld. Informatiebeveiliging maakt onderdeel uit van het architectuurhuis dat we hebben gebouwd. Door opdracht te geven aan derden om penetratietesten uit te voeren, blijven we scherp op eventuele informatiebeveiligingslekken. Met betrekking tot de bewustwording en het voorkomen van zogenaamde social engineering aanvallen, starten we een separaat traject met behulp van de communicatie-afdeling. 7.2 Aanvallen social engineering 16 respondenten (57%) geven aan dat er zich geen gebeurtenissen hebben voorgedaan met betrekking tot social engineering waaruit is gebleken dat de huidige informatiebeveiligingsmiddelen onvoldoende zijn. 4 respondenten (14%) geven aan dat er zich wel zo n gebeurtenis heeft voorgedaan. Naar de aard van de social engineering-aanvallen is in de webenquête bewust niet gevraagd. Tijdens de interviews met medewerkers van vijf Limburgse gemeenten is gebleken dat dit niet op prijs werd gesteld. Dit had vooral te maken met de perikelen die ten tijde van het onderzoek speelden bij de gemeentelijke overheden zoals het certificatenprobleem bij het voormalige Diginotar. 7.3 Acties na aanvallen 3 respondenten (11%) geven aan dat er zich gebeurtenissen hebben voorgedaan die hebben geleid tot aanpassing van het informatiebeveiligingsbeleid. 5 respondenten (18%) hebben aangegeven dat gebeurtenissen hebben geleid tot andere acties. Aan de respondenten is niet gevraagd welke aanpassingen er zijn gedaan of welke andere acties er zijn ondernomen. 7.4 Conclusie Uit het referentiemodel social engineering blijkt dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering. Desondanks geven slechts 4 respondenten (14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben bij enkele respondenten geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties. De resultaten van dit onderzoek tonen het belang aan dat er meer aandacht moet worden besteed aan de menselijke kant van informatiebeveiliging. Pas wanneer zowel de technische- als de niet-technische kant van informatiebeveiliging is geborgd, kan digitalisering effectief en efficiënt worden ingezet om de gewenste dienstverleningsgraad te bereiken. nl.linkedin.com/pub/alwin-ter-voert/1a/279/6ab Twitter.com/atervoert 20