Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 1

Transcriptie

1 Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 1

2 INHOUDSOPGAVE 1. INTRODUCTIE BEGRIPPENLIJST BUSINESS PLAN DOEL & MISSIE STANDAARDEN GEMEENTEN EN ANDERE OVERHEDEN NCSC SCOPE & VERANTWOORDELIJKHEID KERNACTIVITEITEN/DIENSTEN ORGANISATIE WAARDEKETEN RISICOANALYSE (VAN DE NIEUWE IBD AFDELING) KOSTENSTRUCTUUR DIENSTVERLENINGSKANALEN PARTNERS EN SAMENWERKING REALISATIE KOSTEN-BATEN ANALYSE CIJFERS M.B.T. SCHADE DOOR CYBERCRIME HANDREIKING VOOR KOSTEN-BATEN ANALYSE VOOR ICT-PROJECTEN BIJLAGE A - LITERATUUR, DOCUMENTATIE EN LINKS BIJLAGE B - WAT IS EEN INFORMATIEBEVEILINGSDIENST Auteur: KING Datum: 7 augustus 2012 Versie: 1.1 Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 2

3 1. INTRODUCTIE De DigiNotar-crisis en Lektober 1 hebben aangetoond dat de ICT van gemeenten kwetsbaar is. Uit de acties rondom Lektober bleek dat de gemeentelijke beveiliging van ICT en informatie niet bij alle gemeenten op orde is. Twee maanden na het incident bleken vijf van de zes betrokken leveranciers nog niet overtuigend te kunnen aantonen dat hun oplossing en implementatie veilig is. De digitale dienstverlening aan burgers en bedrijven is in een paar gevallen enkele maanden onbereikbaar geweest. Gemeenten hebben tienduizenden, tot soms honderdduizenden euro s moeten besteden om de incidenten op te lossen. Onderzoek van TNO geeft aan dat cyber crime de Nederlandse economie jaarlijks ongeveer 10miljard kost. Deze raming betekent dat de schade door cyber crime voor gemeenten jaarlijks ongeveer 300 miljoen bedraagt. Maar de beveiligingsincidenten gaan over meer dan geld alleen. De overheid beheert veel persoonsgegevens. Als de overheid de beveiliging hiervan niet voldoende kan borgen is het vertrouwen in de overheid in het geding. Daarbij gaat het niet alleen om de bescherming van de persoonlijke levenssfeer. Een incident met de rioleringspompen in een gemeente liet zien dat het mogelijk is om op afstand via Internet pompen, sluizen en gemalen te hacken. In dergelijke gevallen is ook de fysieke veiligheid in het geding. Sommige gemeenten zijn zich ten volle bewust van het belang van informatiebeveiliging. Uit de incidenten is namelijk ook gebleken dat de gemeenten alert reageren op incidenten, en adequaat maatregelen kunnen nemen. In de hack van de rioleringspompen bleken voldoende secundaire borgen ingebouwd, waardoor een overstroming onmogelijk was. De grote les uit de incidenten is dan ook dat het ontbreekt aan coördinatie en awareness. De 'wakeup-call' van DigiNotar en Lektober hebben laten zien dat er behoefte is aan een fundamentele oplossing van het ICT beveiligingsprobleem bij gemeenten. Dit is ook van belang gezien het feit dat de rijksoverheid nadere eisen gaat stellen aan de beveiliging van de gemeentelijke informatiehuishouding, bijvoorbeeld als voorwaarde om aangesloten te zijn op DigiD. Het is inefficiënt en ineffectief om elke gemeente individueel aan die eisen te laten voldoen. De keten is zo sterk als de zwakste schakel. Als de beveiliging in één gemeente niet op orde is, dan is dat schadelijk voor álle gemeenten. Daarom hebben de VNG en KING de intentie uitgesproken om een informatiebeveiligingsdienst voor lokale overheden op te richten. 100% beveiliging is niet haalbaar. Ook met een gezamenlijke aanpak zullen incidenten mogelijk blijven. Maar onder betrokkenen rijk, gemeenten, leveranciers, landelijke partners is er grote consensus dat een gecoördineerde aanpak zal helpen. In het Starting Gate onderzoek is gebleken dat er bestuurlijk en ambtelijk groot draagvlak is voor een gemeentelijke informatiebeveiligingsdienst, die onderdeel moet uitmaken van de nationale crisisbeheersing structuur. In deze propositie is beschreven hoe de dienst eruit kan zien en wat doel, missie en activiteiten van de dienst zullen zijn. Daarnaast is een businesscase opgenomen, waarin de kosten voor het oprichten en exploiteren van de dienst zijn afgezet tegen de verwachte opbrengsten. Op korte termijn zullen VNG en KING besluiten of de informatiebeveiligingsdienst zal starten of niet. Het doel van deze propositie is om een zakelijke onderbouwing te geven voor dat besluit. Ralph Pans, 1 Onder deze naam heeft het webmagazine webwereld.nl in de maand oktober 2011 elke dag een kwetsbaarheid in informatiebeveiliging laten zien. In één incident is bijvoorbeeld gebleken dat beveiligde informatie achter de websites van ruim 30 gemeenten benaderd kon worden. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 3

4 Voorzitter directieraad VNG Tof Thissen, Directeur KING Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 4

5 2. BEGRIPPENLIJST BZK Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. CERT / CSIRT Computer Emergency Response Team of Computer Security Incident Response Team Een team dat diensten verleend aan haar deelnemers met betrekking tot informatiebeveiliging. CONSTITUENTS Specifieke term die internationaal gehanteerd wordt voor doelgroep van een CERT. Uit deze doelgroepen komen de deelnemers van een CERT. In dit document wordt verder het woord doelgroep gebruikt. INFORMATIE BEVEILIGINGSDIENST (IBD) Werknaam voor de functie binnen KING. DEELNEMERS/GEMEENTEN In de zin van de IBD zijn deelnemers die organisaties uit de constituency die een actieve relatie hebben met de IBD, ze zijn in feite de klanten van de IBD. De gehele doelgroep wordt deelnemer. In het kader van deze propositie zijn het de gemeenten. In dit document wordt verder over gemeenten gesproken. DSC DEELNEMER SECURITY CONTACT Onder DSC wordt de functionaris verstaan die bij een gemeente operationeel verantwoordelijk en aanspreekbaar is voor (een specifiek deel van) de informatiebeveiliging. De DSC-ers zijn de primaire gesprekspartners voor de IBD. De DSC wordt aangewezen door het management van de gemeente. In alle gevallen geldt dat het rollen betreft, en back-ups dus afdoende vastgelegd moeten zijn. CISO CORPORATE INFORMATION SECURITY OFFICER Onder CISO wordt de functionaris verstaan die bij een gemeente qua governance verantwoordelijk en aanspreekbaar is voor de informatiebeveiliging. De CISO s zijn de gesprekspartners voor de teamleider van de IBD, voor beleidskwesties en voor eerste escalaties. De CISO is of wordt aangewezen door het management van de gemeente. In alle gevallen geldt dat het rollen betreft, en back-ups dus afdoende vastgelegd moeten zijn. FIRST Forum of Incident Response & Security Teams. GOVCERT.NL CERT van de Nederlandse Overheid sinds 2002, opgegaan in het NCSC op 1 januari 2012, welke diensten leverde aan overheidsdeelnemers, waaronder gemeenten. IPO Inter Provinciaal Overleg. IETF The Internet Engineering Task Force. De missie van de IETF is om het internet beter te laten werken door het produceren van relevante documentatie van hoge kwaliteit die mensen die het internet ontwerpen, gebruiken en beheren te beïnvloeden. KING Kwaliteitsinstituut Nederlandse Gemeenten. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 5

6 NCSC (VOORHEEN GOVCERT.NL) Nationaal Cyber Security Centrum Onderdeel van ministerie van Veiligheid en Justitie, Nationaal Coördinator Terrorismebestrijding en Veiligheid Het NCSC ondersteunt de Rijksoverheid en organisaties met een vitale functie in de samenleving met het geven van expertise en advies, response op dreigingen en incidenten en het versterken van de crisisbeheersing. NCC Nationaal Crisis Centrum - Onderdeel van ministerie van Veiligheid en Justitie, Nationaal Coördinator Terrorismebestrijding en Veiligheid. NOREA De beroepsorganisatie van IT Auditors. UVW Unie van Waterschappen. V&J Ministerie van Veiligheid en Justitie. VNG Vereniging Nederlandse Gemeenten. INCIDENT Een incident is een gebeurtenis of situatie die in de ruimste zin des woords een bedreiging vormt of kan vormen voor de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens in elektronische informatiesystemen behorend bij de gemeenten van de IBD of een dergelijk incident elders in de wereld, met als bron of springplank een system behorend bij gemeenten van de IBD. INCIDENT MANAGEMENT Het proces dat zich bezig houdt met incidenten en valt uiteen in: Preventie Het voorkomen van incidenten Detectie Het detecteren en registreren van incidenten Oplossing Het bestrijden en oplossen van incidenten Repressie Het nemen van disciplinaire of juridische maatregelen naar aanleiding van incidenten De IBD beperkt zicht tot Preventie, Detectie en Coördinatie van de Oplossing. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 6

7 3. BUSINESS PLAN 3.1. DOEL & MISSIE De KING Informatiebeveiligingsdienst (IBD) wordt ingesteld met als missie om IT & informatie gerelateerde veiligheidsincidenten die kunnen optreden bij haar gemeenten in samenwerking met haar gemeenten, partners en leveranciers te bestrijden en waar mogelijk te voorkomen. Zowel als de gemeente(n) doelwit is (zijn) van zulke incidenten of als de gemeente(n) word(t)(en) gebruikt als bron of springplank voor incidenten elders. Hiermee versterkt de IBD de weerbaarheid van de gemeenten tegen ICT verstoringen en dreigingen. De IBD richt zich op het coördineren van de aanpak van beveiligingsincidenten. De kernactiviteiten zijn het voorkomen (preventie), van incidenten, het signaleren en coördineren van het afhandelen (detectie & coördinatie) daarvan, en het delen, verdiepen en vertalen van kennis (kennisdeling) over informatiebeveiliging. De IBD zal geen disciplinaire of repressieve maatregelen nemen of bevoegdheid hebben daarvoor. Wel zal de IBD een adviserende rol hebben voor de VNG (en verder richting BZK en V&J). De IBD heeft de ambitie onderdeel te gaan uitmaken en partner te zijn van het (inter)nationale netwerk van incident response teams om snel te kunnen reageren op nieuwe dreigingen en onderdeel te zijn van de nationale crisisbeheersing structuur ten aanzien van IT via het NCSC STANDAARDEN De IBD streeft kwaliteit na conform best practices en standaarden voor CERT s wereldwijd, onder andere de door de IETF ontwikkelde RFC 2350, Verwachtingen voor een Computer Security Incident Response. Meer specifiek streeft zij een best practice niveau na conform de internationale normen van FIRST en de in Europa ontwikkelde TI-CERTification voor CERTs GEMEENTEN EN ANDERE OVERHEDEN De IBD doelgroep komt overeen met de gemeentelijke sector. Afhankelijk van mandaat en financiële middelen zouden ook andere kleinere lokale publieke sectoren als doelgroep kunnen worden gerekend. Het uitgangspunt is dat de gehele doelgroep gebruik kan maken van de diensten van de IBD. Het Inter Provinciaal Overleg (IPO) en de Unie van Waterschappen (UvW) hebben interesse getoond om mee te liften met de IBD. Dit behoort tot de mogelijkheden, echter de IBD zal eerst beginnen met de gemeentelijke sector NCSC De G4 gemeenten, evenals een drietal andere gemeenten, zijn op dit moment deelnemer van het NCSC, als uitvloeisel van de overgang van GOVCERT.NL naar het NCSC. Hoe deze gemeenten bediend gaan worden zal later in overleg met het NCSC en de gemeenten worden uitgewerkt. Insteek vanuit het NCSC daarbij is dat de IBD voorziet in de bediening van gemeenten en de rol van voorheen GOVCERT.NL daarmee op dat vlak overneemt. De IBD vormt daarmee de schakel tussen het NCSC en de gemeenten, waarmee een netwerk ontstaat om snel te kunnen reageren op dreigingen en incidenten. Het heeft dan ook de voorkeur van het NCSC om haar huidige deelnemers binnen de gemeenten over te dragen aan de IBD voor eind SCOPE & VERANTWOORDELIJKHEID De IBD heeft een beperkte scope en verantwoordelijkheid. De gemeenten blijven zelf verantwoordelijk voor hun informatiebeveiliging. Zowel beleidstechnisch als uitvoerend. De Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 7

8 IBD zal ondersteunende diensten uitvoeren voor de gemeenten. De IBD zal dan ook niet ter plekke incidenten oplossen bij een gemeente, zij zal de incidentafhandeling coördineren of ondersteunen met advies en partners zoals het NCSC inschakelen wanneer acties bij derden noodzakelijk zijn. Deze scope is beperkt tot het uitvoeren van taken op het vlak van informatiebeveiliging, specifiek op het gebied van de ICT. De IBD heeft de verantwoordelijkheid om professioneel en veilig om te gaan met de gegevens die zij heeft verkregen van of geeft aan haar gemeenten en partners, professionele en ter zaken doende adviezen te geven. De IBD is onderdeel van de overheid. Zij zal geen taken uitvoeren die de markt ook goed kan uitvoeren, mits de vertrouwelijkheid van de overheid hierbij niet in het geding komt. Eventueel kan de IBD wel leveranciers en hun werkzaamheden begeleiden bij haar doelgroep, en/of controleren. Als de markt in de toekomst een aantal diensten goed kan overnemen of uitvoeren, dan zal de IBD deze diensten geleidelijk afstoten, en nieuwe op dat moment gewenste diensten opzetten die niet door de markt uitgevoerd kunnen of mogen worden. Zo blijft de IBD zijn focus en meerwaarde houden: diensten leveren waar gemeenten zelfstandig niet aan toe kunnen komen en de markt (nog) geen rol heeft. De IBD zal zoveel mogelijk samenwerken met andere (overheids)organisaties die al actief zijn op het gebied van informatiebeveiliging. Zij zal nauw samenwerken met het NCSC, die een aantal diensten levert aan haar deelnemers, waarvan de IBD gebruik zal maken. Deze diensten zal de IBD dus niet zelf uitvoeren, maar wel als intermediair verzorgen voor haar gemeenten. De IBD is een uitvoerende dienst, die zelf geen beleid ontwikkelt voor informatiebeveiliging. De IBD volgt de beleidskaders, die voortvloeien uit internationale standaarden en zoals die vanuit het Rijk worden gesteld aan lokale overheden. Waar specifiek voor de lokale overheden aanvullend beleid ontwikkeld moet worden, zal de VNG dat doen. De IBD kan de VNG in de beleidsvoorbereiding adviseren en ondersteunen, bijvoorbeeld in de vorm van technisch-inhoudelijke expertise, ervaringsgegevens, voorbeelden van gemeentelijk beleid of statistieken KERNACTIVITEITEN/DIENSTEN Het gestelde doel wordt bereikt door het uitvoeren van een drietal kerntaken: Preventie, Detectie & Coördinatie en Kennisdeling PREVENTIE Advies, bewustwording en educatie over preventieve maatregelen. Door o.a. bewustwordingsactiviteiten, kennissessies, regionale bijeenkomsten, het tijdig informeren van haar gemeenten over kwetsbaarheden, trends, aanvalstechnieken, actuele dreigingen en risico s en risico verminderende maatregelen en gedrag. Het doel is om incidenten te voorkomen of de impact bij een incident zoveel mogelijk te beperken. TIJDIG INFORMEREN VAN DE GEMEENTEN De IBD heeft als eerste en belangrijkste taak om haar gemeenten tijdig te informeren over kwetsbaarheden in hard- en software, trends, aanvalstechnieken en doelen, actuele dreigingen en de eventuele maatregelen die een gemeente daartegen kan nemen. Het actief behandelen van deze adviezen door de gemeenten verkleint het risico op incidenten aanzienlijk. Deze diensten worden in de vorm van Advisories, Factsheets, White Papers, Trendrapporten etc. verspreid. De informatie wordt voor het overgrote deel verkregen van het NCSC. De IBD zal specifiek voor de lokale overheidssector informatie toevoegen of schrijven in samenwerking met het NCSC die van toepassing zijn op deze sector, waarmee voorzien wordt in op de sector toegespitste informatie. SECURITY AUDITS EN PENETRATIETESTEN Het coördineren en ondersteunen van security audits en penetratietesten. Deze dienst wordt in 2012 en 2013 specifiek voor gemeentelijke voorzieningen die gebruik maken van DigiD als project uitgevoerd, in opdracht van het ministerie van Binnenlandse Zaken. BZK, VNG en Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 8

9 KING werken momenteel een ondersteuningsaanpak uit voor het uitvoeren van de ICTbeveiligingsassessment DigiD. Het is de intentie om per het project te laten overgaan in de staande dienstverlening van de IBD. ONTWIKKELEN VAN SPECIFIEKE SECURITY TOOLING Indien noodzakelijk zal in samenwerking en overleg met het NCSC specifieke tooling worden ontwikkeld om de operationele processen te ondersteunen. Deze ontwikkelingen zullen als losstaande projecten moeten worden opgepakt, gezamenlijk met het NCSC en haar achterliggende partners als de kennisinstituten en de (inter)nationale CERT gemeenschap. De tools zullen ook weer met de (inter)nationale CERT gemeenschap worden gedeeld. EARLY WARNING TOOL Het monitoren van intern en extern netwerk verkeer met als doel het vroegtijdig signaleren van aanvallen en daarop kunnen reageren. Deze dienst zal in 2015 worden opgestart en in een periode van 3 jaar worden uitgerold bij de gemeenten. De IBD zal hierbij gebruik maken van bestaande tooling die op dit moment gebruikt en doorontwikkeld wordt door het NCSC in samenwerking met partners van het NCSC onder het programma nationaal monitoring netwerk. Het ligt in de lijn der verwachtingen dat de monitoringdienst onderdeel gaat uitmaken van een nationaal monitoring netwerk van de overheid, welke georganiseerd moet worden door het NCSC. Deze dienst is deels preventief, deels detectief DETECTIE & COÖRDINATIE Het signaleren van beveiligingsincidenten door o.a. samenwerking met partners als het NCSC, marktpartijen, leveranciers, gemeenten, CERTs bij telecomproviders waar haar gemeenten zijn aangesloten, en gebruikersverenigingen. Maar ook door bereikbaar en beschikbaar te zijn voor incidentmeldingen vanuit haar gemeenten of vanuit andere beveiligingsorganisaties etc. De bestrijding van beveiligingsincidenten coördineren voor haar gemeenten waar deze incidenten de eigen omgeving van een gemeente overschrijden. Waar mogelijk generiek advies geven bij de oplossing van zulke incidenten. INCIDENT DETECTIE Het kunnen opvangen van incidentinformatie en het vastleggen daarvan. Dit levert input voor Incident Analyse en het levert over verloop van tijd statistische informatie, de stand van zaken m.b.t. cybercrime, ICT- en informatiebeveiliging bij de lokale overheden en in combinatie met de gegevens van het NCSC en haar achterliggende partners een totaalbeeld van cybercrime en incidenten in Nederland. Met deze informatie kan een gerichte aanpak van de problematiek gerealiseerd worden. INCIDENT ANALYSE Het analyseren van het gedetecteerde incident met als doel het bepalen of het een incident is die valt binnen de doelgroep van de IBD. Dit kan de IBD zelf doen, of bij meer ingewikkelde incidenten gezamenlijk met het NCSC, leveranciers of andere partners. INCIDENT COÖRDINATIE Het op afstand coördineren van het incident management proces bij de getroffen gemeente(n) en het adviseren van mogelijke oplossingen aan de gemeente(n). Indien nodig zal de IBD hulp inroepen van haar partners als het NCSC of escaleren naar het NCSC of de VNG. COÖRDINATIE IN GEVAL VAN LANDELIJKE CRISIS Bij een landelijke crisis met betrekking tot ICT of informatiebeveiliging neemt de VNG de formele verantwoordelijkheid voor de coördinatie van de acties voor het gemeentelijk domein. De VNG zal de coördinatie mandateren aan KING. KING zal in geval van crisis de operationele afstemming houden met de landelijke partijen (in elk geval NCSC, Logius), de gemeenten en de gemeentelijke leveranciers. VNG en IBD zullen gezamenlijk namens de gemeenten deelnemen aan de nationale crisisbeheersingsstructuur via het NCC. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 9

10 KENNISDELING Kennis over ICT- en informatiebeveiliging is schaars. De rol van de IBD is dat de beschikbare kennis voldoende beschikbaar is voor gemeenten. Waar kennis binnen gemeenten aanwezig is, zorgt de IBD voor het delen daarvan. De IBD bevordert actief het samenwerken tussen gemeenten op het verspreiden van gemeentelijke best-practices. De IBD zorgt voor het adviseren van de beleids- en wetgevingstaken bij de VNG en indirect BZK en V&J, het adviseren en bewustmaken van hogere ambtenaren binnen gemeenten via allerlei gremia als het directeurenoverleg, etc. BEST PRACTICES Gemeenten zijn zelf verantwoordelijk voor hun eigen beveiligingsbeleid. Om te voorkomen dat elke gemeente zelf het wiel dient uit te vinden, speurt de IBD actief naar best-practices en stelt deze voorbeelden beschikbaar voor alle gemeenten. Een voorbeeld is het delen van en adviseren over beveiligingsstandaarden zoals deze gebruikt worden door bijvoorbeeld de rijksoverheid. GEMEENTELIJKE KRINGEN VOOR INFORMATIEBEVEILIGING Leren van elkaar is meer dan alleen het delen van beleidsdocumenten of beveiligingsplannen. In het verlengde van de KING diensten t.a.v. de benchmark-kringen en de e-adviseurs, bevordert de IBD dat gemeenten zich in groepen verenigen (regionaal, naar gemeentegrootte, of rondom een leverancier / pakket) om van elkaar te leren en ervaringen uit te wisselen. Hierbij wordt maximaal gebruik gemaakt van bestaande overlegstructuren en verenigingen. CONTACTEN MET KENNISINSTITUTEN EN ADVIESBUREAUS Informatiebeveiliging vraagt veelal om specialistische technische en inhoudelijke kennis. Deze kennis is beschikbaar bij universiteiten, kennisinstituten, beveiligingsadviesbureaus, auditors en certificatiebureaus. De IBD onderhoud contacten met deze partijen om gemeenten te kunnen adviseren over trends en het aanbod op dit terrein. Waar andere partijen (met name NCSC) al een coördinerende rol vervullen, opereert de IBD als intermediair naar gemeenten. De IBD stemt af met ICT-office (de koepel van ICTleveranciers), NOREA (de koepel van EDP-auditors) en via de VNG of het NCSC met de Nationale Cyber Security Raad, BELEIDSADVIES AAN VNG EN LANDELIJKE PARTIJEN KING ontwikkelt zelf geen landelijk beleid ten aanzien van informatiebeveiliging. De beleidsontwikkeling voor het lokale domein ligt bij de gemeenten zelf, voor het landelijke domein bij de rijksdepartementen (met V&J en BZK als coördinerende departementen). De VNG zorgt vanuit haar primaire taak voor de belangenbehartiging richting departementen en politiek. KING ondersteunt de VNG daarbij met bijvoorbeeld beleidsadvies, informatie over best-practices, ervaringsgegevens of statistieken. (REGIONALE) SESSIES MET GEMEENTEN Het organiseren van sessies op regionaal of landelijk niveau om gemeenten kennis te laten delen in een vertrouwelijke setting om over incidenten, informatiebeveiliging en alles wat verder ter tafel komt met een relatie tot informatiebeveiliging te praten. Deze sessies zullen gemiddeld eens per drie maanden per regio worden gehouden. De doelgroepen van deze sessies zijn de DSC-ers en de CISO s van de gemeenten. Het doel is om in een vertrouwde omgeving bijv. details over incidenten te delen om zo te zorgen dat een andere gemeenten zich kunnen weren tegen dit soort incidenten. BEWUSTWORDINGSACTIVITEITEN VOOR HET HOGERE MANAGEMENT Het hogere management loopt op dit moment onbewust risico. Zij moeten bijgepraat worden zodat ze bewust risico s kunnen afwegen. Hiertoe houdt de IBD presentaties bij bestaande overleggen voor het verhogen van het bewustzijn op het gebied van informatiebeveiliging en de gevaren tot het niveau van de gemeentesecretaris en de burgemeester. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 10

11 3.7. ORGANISATIE ORGANISATORISCHE OPHANGING In de uitkomsten van de Starting Gate wordt al gesignaleerd dat VNG en KING de probleemhouders zijn als het erom gaat een ondersteunende rol te spelen voor informatiebeveiliging. Daarmee lijkt het voor de invulling van de IBD logisch om de IBD op te hangen binnen de KING organisatie, aangezien KING de meer uitvoerende en operationele organisatie is en de VNG meer gericht is op beleidszaken. KING en VNG hebben goede relaties met de gemeenten, hebben veel kennis van het gemeentelijke domein en hebben ervaring met incident respons n.a.v. een aantal serieuze incidenten in het recente verleden. De lijnen binnen KING en VNG onderling en met de gemeenten zijn kort en kunnen door de IBD binnen KING op te hangen ook kort blijven. Uit de vertrouwelijke aard van de werkzaamheden voert voort dat de beveiligingsdienst op een aantal onderdelen extra voorzieningen moet hebben. Door aan te sluiten bij een bestaande informatiebeveiligingsafdeling of dienst, bijvoorbeeld van een (grote) gemeente of van het landelijke NCSC kan worden meegelift op het al beschikbaar zijn van die extra beveiligde voorzieningen. Het gebouw van de VNG (waar ook KING is gehuisvest) heeft op dit moment die extra voorzieningen niet. Het is dus nodig om hierin te investeren. KING heeft onderzocht of de benodigde middelen voorkomen kunnen worden, door aan te sluiten bij een andere organisatie of bij een andere gemeente. Als de informatiebeveiligingsdienst bij een gemeente wordt ondergebracht (bijvoorbeeld één van de G4) zijn vergelijkbare investeringen nodig om de huisvesting en ICT aan het vereiste beveiligingsniveau te laten voldoen. Door de dienst bij het NCSC onder te brengen kunnen deze kosten bespaard worden (het NCSC voldoet reeds aan de vereisten). Het nadeel van onderbrenging bij het NCSC is echter dat de lijnen naar de VNG en KING te lang zullen worden, waardoor de efficiency en effectiviteit van de beveiligingsdienst afneemt. Hierdoor zal de dienst minder snel en adequaat op incidenten kunnen reageren, waardoor de winst snel teniet wordt gedaan. Bovendien heeft het NCSC aangegeven geen ruimte beschikbaar te hebben voor beveiligingsdiensten van mede-overheden of andere partijen. KING heeft zodoende geconcludeerd dat de aanpassingen aan de huisvesting beperkt zijn en dat de voordelen van een lean & mean organisatie dichtbij de bestaande VNG en KINGorganisatie ruimschoots opwegen tegen de beperkte extra kosten. Uit diverse gesprekken blijkt verder dat de afdeling e-diensten binnen KING de meest geschikte afdeling is voor het inrichten van en het uitvoeren van de taken van de IBD. Van belang is dat er commitment en financiering mogelijk is en er bij incidenten en crisis korte en directe lijnen mogelijk zijn met de directie van KING en VNG en partners als het NCSC en de nationale crisisorganisatie. De IBD functioneert als team binnen KING e-diensten BESTURING De aard van de diensten die de IBD biedt, vragen om een bijzonder extern gerichte positionering en een relatief eigenstandige positie binnen de organisatie KING. Het is daarom extra van belang een heldere besturingsstructuur neer te zetten. Daarbij gaat het om de staande organisatie en de aansturing van de lopende zaken. Hierbij onderscheiden we de rollen van eigenaar, financier, opdrachtgever en opdrachtnemer. Voor de IBD geldt dat de rol van eigenaar vervult wordt door de algemene ledenvergadering van de VNG. De VNG organisatie is namens de ALV de opdrachtgever voor de IBD en is daarmee beleidsverantwoordelijk en verantwoordelijk voor de belangenbehartiging. KING vervult de rol van opdrachtnemer. De invulling van de rol van financier is afhankelijk van het financieringsmodel dat straks ten grondslag ligt aan de IBD. Hierin zijn grofweg twee varianten: bij een lumpsup financiering zullen de gemeenten de rol van financier vervullen, in de vorm van de ALV en met uitvoerende bevoegdheid van de VNG; indien gekozen wordt voor een abonnementsvorm zal de rol van financier vallen bij een vertegenwoordiging van de groep van financierende partijen. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 11

12 In het geval zich een crisis voordoet kunnen zich veranderingen voordoen in de directe en operationele aansturing van de IBD, dit heeft te maken met de keten van CERTS waarin de IBD functioneert en de verantwoordelijkheden van het NCSC en eventueel het NCC in deze situaties. Dit zal in de kwartiermakersfase nader worden uitgewerkt ADVIESRAAD Er zal een adviesraad worden ingericht die de directie van KING en VNG adviseert inzake de IBD en bestaat uit directieleden van KING en de VNG, een delegatie uit de doelgroep en een afvaardiging van de partners als het Rijk, NCSC en Logius VERANTWOORDING EN RAPPORTAGE De IBD rapporteert maandelijks aan de manager KING e-diensten, of vaker indien nodig. Deze rapportage is zowel generiek (o.a. aantallen incidenten, doorlooptijden, activiteiten, trends) als specifiek, maar wel geanonimiseerd. De manager KING e-diensten is tevens de eerste aangewezen contactpersoon voor escalaties en contacten met de pers (via VNG), justitie, juridische zaken etc. In geval van afwezigheid zal de IBD rechtstreeks escaleren met directie KING en/of VNG. De IBD zal ook haar gemeenten en het NCSC informeren over het aantal incidenten, de aard van de incidenten, het aantal en de oplostijden van de incidenten. De IBD legt verantwoording af aan het MT van KING, KING rapporteert over de IBD aan de opdrachtgever, de VNG. Daarnaast wordt een adviesraad ingericht die de VNG adviseert over de aard en functies die worden uitgevoerd door de IBD onder verantwoordelijkheid van KING MEDEWERKERS De medewerkers van de IBD worden allen beschouwd als deskundigen op het gebied van computer- en netwerkbeveiliging en hebben kennis en ervaring met incident management. Door de aard van het werk zijn naast goede technische kennis ook goede communicatieve vaardigheden vereist. De IBD organisatie streeft ernaar lean en mean te opereren. Dit betekent dat er geen activiteiten worden ondernomen die elders worden uitgevoerd, maar wel de vertaalslag maakt naar het gemeentelijke veld. Zij zal geen taken uitvoeren die de markt ook goed kan uitvoeren, mits de vertrouwelijkheid van de overheid hierbij niet in het geding komt. Naast haar eigen kern van vaste medewerkers zal de IBD een flexibele schil van expertise en capaciteit organiseren bij KING, VNG, de gemeenten, leveranciers en partners als het NCSC. De perswoordvoering of het adviseren van de perswoordvoering van een gemeente wordt verricht door de communicatie afdeling van de VNG. Juridisch advies wordt door KING of de VNG geleverd, of moet worden ingehuurd. Beleidsadvies en belangenbehartiging wordt door de VNG uitgevoerd, op basis van input van de IBD FACILITEITEN De IBD behandelt vertrouwelijke informatie. Daaruit vloeien een aantal eisen voort m.b.t. fysieke huisvesting en digitale middelen. Een aantal eisen worden gesteld door de internationale CERT gemeenschap, maar specifiek ook het NCSC stelt eisen voor partijen die willen aansluiten bij het NCSC. Denk hierbij o.a. aan het hebben van werkplekken voor haar medewerkers in een afsluitbare, beveiligde ruimte en een eigen, afsluitbare incident response c.q. vergader ruimte, een eigen netwerk infrastructuur, eigen internet verbindingen, een kluis, etc., die alleen toegankelijk zijn voor IBD medewerkers. Detaillering hiervan zal in een volgend stadium van het project worden uitgewerkt. Aangezien de IBD altijd bereikbaar moet zijn, zal de IBD en haar medewerkers voorzien moeten worden van klassieke telefonie, mobiele telefonie, fax apparatuur en internet voorzieningen. Indien nodig moet de IBD ook worden aangesloten op het noodnet. De Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 12

13 medewerkers van de IBD moeten in staat gesteld worden om op afstand veilig te kunnen werken. De 24x7 bereikbaarheid heeft ook gevolgen voor de P&O-aspecten (hard-piket) VERANTWOORDELIJKHEDEN EN BEVOEGDHEDEN De verantwoordelijkheden van de IBD zijn weergegeven in haar doel en missie statement en zijn in het kort: preventie, detectie & coördinatie van incidenten, en kennisdeling ter verbetering van de staat van de ICT- en informatiebeveiliging. De IBD beschikt niet over bevoegdheden die verder reiken dan het eigen functioneren. Repressie behoort niet tot de taken van de IBD, daartoe heeft ze niet de benodigde autoriteit, en bovendien staat repressie haaks op de manier waarop een IBD opereert op basis van wederzijds vertrouwen en openheid. Het is vanzelfsprekend wél de verantwoordelijkheid van de IBD om in het geval van grote of kritische beveiligingsrisico s die moeilijk op te lossen blijken, te escaleren escalatie kan bij de gemeenten plaatsvinden naar de CISO s, en verder naar de directeur van KING en VNG en via deze naar het BZK en V&J. Ook kan er inhoudelijk rechtstreeks geëscaleerd worden naar het NCSC en naar de nationale crisisbeheersing structuur (al dan niet via het NCSC) ESCALATIES BINNEN KING/VNG De teamleider, maar ook elk andere medewerker van de IBD is te allen tijde gerechtigd tot escalaties van incidenten en/of dreigingen naar de directeur van KING, de VNG of het NCSC. Deze draagt dan zorg voor passende acties in overleg met de IBD, en indien gewenst ook met de adviesraad. De IBD voert geen directe communicatie met de pers. Alle contacten met de pers lopen via de perswoordvoerder van de betreffende gemeente of van de VNG. De teamleider van de IBD onderhoudt regelmatig contact met de perswoordvoerder. De processen zoals ze nu zijn binnen de VNG voor perswoordvoering worden gerespecteerd. De complete communicatie en escalatie structuur wordt in een volgend stadium nader uitgewerkt, waarbij het mandaat voor het personeel goed moet worden geregeld SERVICEVENSTER EN BEREIKBAARHEID De IBD is primair open van 09:00 uur tot 17:00 uur op werkdagen zoals vastgesteld door KING. Buiten het primaire service venster controleert de dienstdoende medewerker op vaste tijden een aantal maal s avonds en in het weekend of op feestdagen de incidenten mailbox van de IBD. De details van de IBD en hoe zij algemeen bereikbaar is, moeten alle worden beschreven in de IBD s service beschrijving, conform RFC-2350 van de IETF. Buiten kantoor tijden is de IBD bereikbaar op haar alarmnummers voor noodgevallen. Dit alarmnummer kan ter beschikking worden gesteld aan haar gemeenten(dsc/ciso), directe partners en andere vertrouwde partijen, dit ter beoordeling van de IBD OPERATIONELE CONTACTPUNTEN BIJ DE GEMEENTEN (DSC) Elke gemeente binnen de doelgroep van de IBD wordt geacht voor communicatie met de IBD een DSC (Deelnemer Security Contact) rol in te richten die zorg draagt voor rapportage en afhandeling van incidenten en het treffen van maatregelen binnen de eigen instelling, daaronder ook begrepen preventieve maatregelen en voorlichting van de eigen gebruikers. De rol DSC vereist continuïteit. Een gemeente dient voor die functie dan ook tenminste twee personen aan te wijzen. De IBD houdt een lijst bij van de DSC s, hun adressen en telefoonnummers. De IBD stelt de DSC s op de hoogte van voor hen relevante informatie over incidenten, kwetsbaarheden e.d.. De DSC rapporteert relevante incidenten bij de IBD GOVERNANCE CONTACTPUNTEN BIJ DE GEMEENTEN (CISO) Elke gemeente binnen de doelgroep van de IBD wordt geacht voor communicatie op governance/beleidsniveau met de IBD een CISO rol in te richten die (mede) zorg draagt voor het security beleid en de security governance binnen de eigen instelling. Als een CISO aanwezig is op corporate niveau, dan is dat een voor de hand liggende kandidaat. Als regel communiceert de teamleider van de IBD met de CISO. De CISO wordt ook benaderd bij escalaties als bijvoorbeeld de DSC in gebreke blijft of onbereikbaar blijkt te zijn. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 13

14 Ook de functie CISO vereist continuïteit. Een gemeente dient voor die functie dan ook enigerlei vorm van back-up geregeld te hebben. De IBD houdt een lijst bij van de CISO s, hun adressen en telefoonnummers. De IBD stelt de CISO-functionarissen op de hoogte van voor hen relevante informatie over belangrijke Incidenten, trends en beleid/governance gerelateerde zaken. Het staat de CISO te allen tijde vrij contact op te nemen met de IBD of direct met de teamleider van de IBD WAARDEKETEN De geleverde diensten stellen de gemeenten in het algemeen in staat om hun ICT- en informatiebeveiliging effectiever en efficiënter te organiseren. De gehele sector heeft als voordeel dat de informatie die nodig is om dit te realiseren maar een keer hoeft te worden uitgezocht, in plaats van dat elke organisatie dat zelfstandig moet doen. Door het versturen van gerichte informatie die van toepassing is voor de betreffende gemeente, bespaart het de gemeente tijd omdat ze niet door informatie hoeven te gaan die niet van toepassing is voor ze. Daarnaast ontstaat er zo een netwerk om bij grootschalige incidenten of dreigingen direct te kunnen schakelen met andere partners, zoals het NCSC. Voorbeeld: Er is een dreiging met betrekking tot toegangscontrole systemen die gebruik maken van een toegangspas met een chip van het type Mifare Classic chip. Alleen die gemeenten die dit type pas en toegangssysteem gebruiken zullen informatie krijgen om maatregelen te nemen die de risico s van deze dreiging verminderen. Gemeenten die dit systeem niet gebruiken, worden niet belast met deze informatie. PREVENTIE Door actief om te gaan met adviezen van de IBD is een gemeente in staat om voordat een incident plaatsvindt, het incident te voorkomen. Ook is ze dan in staat ten tijde van een actuele dreiging maatregelen te nemen die de kans op een incident verkleint of de schade van een incident te minimaliseren. DETECTIE & COÖRDINATIE Op dit moment wordt er voor zover we weten niet specifiek gekeken naar incidenten bij de gemeenten. Met de komst van de IBD zal er een groter bewustzijn ontstaan over het type en aantal incidenten of dreigingen die er zijn voor de gemeenten. Daarnaast kunnen de incidenten ook worden opgelost, sneller en met meer informatie, waardoor de schade voor de gemeente minder wordt en duidelijker is wat de schade is. KENNISDELING Door gemeenten samen te brengen kunnen gemeenten van elkaar leren. Door als makelaar te fungeren tussen enerzijds de gemeenten en anderzijds de kennisinstituten, adviesbureaus, auditors e.d. kunnen de gemeenten sneller en beter kennis nemen van trends en beschikbare oplossingen. Door te luisteren naar de problemen bij de lokale overheden, kan de IBD adviezen geven aan de VNG over op te stellen of te wijzigen beleid. Ook als de IBD problemen ondervindt bij het kunnen aanpakken van incidenten of serieuze dreigingen, welke door beleidswijzigingen of escalaties kunnen worden opgelost zal de IBD dit adviseren aan de VNG. Hiermee kan de VNG beleid maken of adviseren die ter zake en praktisch uitvoerbaar is en de veiligheid van de lokale overheid verbetert RISICOANALYSE (VAN DE NIEUWE IBD AFDELING) Na een eerste SWOT analyse in paragraaf tot en met 3.9.4, zal er voor de zwaktes en bedreigingen getracht worden daar op hoog niveau maatregelen bij te benoemen. Deze zijn te vinden in 3.6.5, Risico s en maatregelen STERKTE VNG/KING hebben veel kennis en ervaring in het gemeentelijke veld. VNG/KING hebben goede relaties en contacten bij gemeenten, marktpartijen, NCSC en andere (overheids)organisaties. VNG/KING zien de noodzaak van een IBD voor de gemeenten. Uit de Starting Gate is gebleken dat er snel grote behoefte is aan coördinatie. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 14

15 ZWAKTE De VNG/KING organisatie en haar medewerkers hebben beperkte kennis van internet criminaliteit en dreigingen. Het verkrijgen van de juiste mensen met de juiste kennis is een uitdaging. Alle lijnen naar de ambtelijke top binnen de rijksoverheid en de gemeenten lopen via de VNG. Ten tijde van incidenten is dit onwenselijk en potentieel vertragend. Hier moeten separate communicatie en escalatie lijnen voor worden ingericht, met name ten aanzien van de crisiscoördinatie. De IBD verwerkt zeer vertrouwelijke informatie. VNG/KING medewerkers zullen mogelijk moeite hebben waarom ze maar beperkt informatie krijgen van de IBD. Daarmee is het mogelijk lastig om voldoende draagvlak te krijgen binnen de eigen organisatie. Falen van VNG/KING heeft directe weerslag op de IBD en het vertrouwen wat de doelgroep heeft in de IBD KANSEN Lokale overheden hebben vaak zelf niet de kennis in huis om informatiebeveiliging goed op te pakken. Een centrale dienst helpt hen daarbij. De IBD kan een belangrijke rol spelen aan het efficiënter maken van de reeks aan bestaande audits voor gemeenten. De minister van BZK heeft eisen gesteld t.a.v. het veiliger maken/auditen van de gemeenten t.a.v. de DIGID koppelingen. Het centraal organiseren van niet alleen de audit, maar ook oplossingen kunnen adviseren bij niet succesvolle audits bespaart tijd en geld BEDREIGINGEN Lokale leveranciers zijn vaak klein en hebben vaak weinig ervaring of kennis van informatiebeveiliging. Ook grote leveranciers hebben beperkte kennis van dit vakgebied. Leveranciers kunnen veel beloven aan gemeenten wat ze niet waar kunnen maken, of met slechte kwaliteit uitvoeren. Regie is absoluut noodzakelijk op het gebied van informatiebeveiliging diensten. Gemeenten worden al geconfronteerd met vele wijzigingen en opdrachten t.a.v. decentralisering etc. Eisen t.a.v. beveiliging, organisatie en crisismanagement worden gesteld door de standaarden in het internationale veld van CERTs en het NCSC. Niet voldoen aan deze eisen beperkt de slagkracht van de IBD. Een incident kan snel groot worden door de monocultuur binnen de grote groep gemeenten. Gemeenten zijn zelf verantwoordelijk voor hun beveiliging. De IBD kan gezien worden als het uitbesteden van die verantwoordelijkheid. Er zijn 74 ketens bij gemeenten, waarvan slechts een gedeelte (bv GBA, en webapplicaties met een DigiD koppeling) nu wordt getest. Bij succesvolle audits kan gedacht worden dat de gehele ICT infrastructuur in orde is. Dus geen behoefte aan een IBD RISICO S EN MAATREGELEN Uit paragrafen Zwakte en Bedreigingen blijkt welke risico s zouden kunnen optreden bij de IBD. Zwakte - De VNG/KING organisatie en haar medewerkers hebben beperkte kennis van internet criminaliteit en dreigingen. Het verkrijgen van de juiste mensen met de juiste kennis is een uitdaging. Maatregel - Heldere profielen en een goed wervings- en selectieproces. Nauw samenwerken met het NCSC, zij heeft hier al jarenlange ervaring mee. Op tijd mee beginnen, mogelijk stage plaatsen bij andere CERTs als het NCSC. Zwakte - Alle lijnen naar de ambtelijke top binnen de rijksoverheid en de gemeenten lopen via de VNG. Dit is onwenselijk en potentieel vertragend t.a.v. Incident response. Hier moeten Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 15

16 separate communicatie en escalatie lijnen voor worden ingericht, met name ten aanzien van de crisiscoördinatie. Maatregel - In de volgende fase moeten heldere afspraken gemaakt worden tussen KING en VNG en de gemeenten hoe incident communicatie en escalatieprocessen eruit moeten zien. Ook de daarbij behorende eisen m.b.t. beschikbaarheid etc. moeten dan worden vastgesteld. Zwakte - De IBD verwerkt zeer vertrouwelijke informatie. VNG/KING medewerkers zullen mogelijk moeite hebben waarom ze maar beperkt informatie krijgen van de IBD. Daarmee is het mogelijk lastig om voldoende draagvlak te krijgen binnen de eigen organisatie. Maatregel - Heldere communicatie over de nieuwe dienst richting VNG en KING medewerkers, wat de dienst doet en hoe ze dit doet. Ook regelmatig herhalen en ook presentaties geven op personeels bijeenkomsten over de stand van zaken en een stuk bewustwording moeten worden gegeven. Zwakte - Falen van VNG/KING heeft directe weerslag op de IBD en het vertrouwen wat gemeenten hebben in de IBD. Maatregel - De IBD is nauw verweven met de KING/VNG organisatie. Indien de VNG of KING slecht in het nieuws komt m.b.t. informatiebeveiliging heeft dit direct gevolgen voor de IBD. De IBD moet dus ook helpen om de informatiebeveiliging bij KING en VNG op orde te krijgen door middel van praktische adviezen en audits. Bedreiging - Lokale leveranciers zijn vaak klein en hebben vaak weinig ervaring of kennis van informatiebeveiliging. Ook grote leveranciers hebben beperkte kennis van dit vakgebied. Maatregel Ook kennis delen met deze leveranciers in de gebruikersbijeenkomsten is noodzakelijk. Bedreiging - Leveranciers kunnen veel beloven aan gemeenten wat ze niet waar kunnen maken, of met slechte kwaliteit uitvoeren. Regie is absoluut noodzakelijk op het gebied van informatiebeveiliging diensten. Maatregel Regie proberen te voeren op deze diensten. Hiervoor is samenwerking met het NCSC noodzakelijk. Bedreiging - Gemeenten worden al geconfronteerd met vele wijzigingen en opdrachten t.a.v. decentralisering etc. Maatregel Vooral duidelijk maken dat we de gemeenten helpen om informatiebeveiliging effectiever en efficiënter met betere resultaten uit te voeren. Bedreiging - Eisen t.a.v. beveiliging, organisatie en crisismanagement worden gesteld door de standaarden in het internationale veld van CERTs en het NCSC. Maatregel In dit plan zijn al een aantal maatregelen genomen, zoals fysieke huisvesting en IT Infrastructuur. In de volgende fase moet dit in meer detail worden uitgewerkt. Bedreiging - Een incident kan snel groot worden door de monocultuur binnen de grote groep gemeenten. Maatregel Samenwerking en afspraken vooraf met het NCSC en de grotere gemeenten met grotere IT afdelingen en leveranciers zijn nodig om een incident zo klein mogelijk te houden. Ook in preventieve sfeer kan de IBD adviezen geven dit risico te verkleinen. Bedreiging - Gemeenten zijn zelf verantwoordelijk voor hun beveiliging. De IBD kan gezien worden als het uitbesteden van die verantwoordelijkheid. Maatregel Heldere verwachtingen communiceren. Uitbesteden van verantwoordelijkheid kan nooit. Bedreiging - Er zijn 74 ketens bij gemeenten waarvan slechts een gedeelte (bv GBA, en webapplicaties met een DigiD koppeling) nu wordt getest. Bij succesvolle audits kan gedacht worden dat de gehele ICT infrastructuur in orde is. Dus geen behoefte aan een IBD. Maatregel In het project ondersteuningsaanpak ICT-beveiligingsassessments DigiD moet al duidelijk gemaakt worden dat dit maar een deel is van de omgeving die veilig zou moeten zijn. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 16

17 Zoals uit de maatregelen op dit niveau al blijkt, gaat het bij een IBD veel over heldere communicatie en over gecontroleerd groeien van de organisatie. Een goede communicatie strategie en een groeipad is voor een IBD dan ook essentieel. Deze moeten goed worden uitgewerkt in de volgende fase KOSTENSTRUCTUUR FINANCIERINGSMODELLEN Voor de financiering van de IBD zijn drie modellen denkbaar: Outputfinanciering, financiering op basis van een tarief per afgenomen product of dienst Abonnementsfinanciering, waarbij gemeenten deelnemer zijn, en (al dan niet naar rato van een verdeelsleutel) een jaarlijkse bijdrage leveren Lumpsum financiering, het totale jaarlijkse budget voor de IBD wordt via een lumpsum financiering aan de IBD beschikbaar gesteld. OVERWEGINGEN Vanuit de missie, doelen en kernactiviteiten verricht de IBD diensten voor alle gemeenten gezamenlijk. Daarbij is het van belang om op te merken dat informatiebeveiliging een collectief belang van alle gemeenten is. Als de beveiliging van één of enkele gemeenten is gecompromitteerd, is de kans groot dat de geloofwaardigheid van de beveiliging van álle gemeenten in het geding is. Dit is deels zo door de beeldvorming ( de gemeenten worden door publiek en media als één geheel gezien), deels ook feitelijk zo waar het de koppeling van systemen in ketens of landelijke voorzieningen betreft (zoals bijvoorbeeld bij GBA, DigiD of Suwinet) Bij outputfinanciering of abonnementsfinanciering bestaat het risico dat free-riders-gedrag optreedt. Specifiek bij outputfinanciering is een nadeel dat per dienst of activiteit een drempel (namelijk het tarief) wordt opgeworpen om van de dienst of activiteit gebruik te maken. Juist bij informatiebeveiliging is van belang dat in geval van een incident gemeenten zonder verdere zorgen of overwegingen direct gebruik kunnen maken van de beschikbare kennis en dienstverlening DEKKING Op 28 juni is in het VNG bestuur gesproken over mogelijke financiële dekking van de IBD. Alles overwegend heeft het VNG bestuur besloten om de optie bekostiging via het gemeentefonds dan wel tariefmodel (abonnementsmodel) open voor te leggen aan de BALV. Specifiek ten behoeve van bekostiging via het gemeentefonds is de uitname gemeentefonds gehouden tegen de criteria voor uitname Gemeentefonds die met de fondsbeheerders zijn afgesproken. Structurele financiering Twee modellen worden voorgelegd aan de BALV om de structurele financiering voor de IBD te borgen: 1. Financiering vanuit het Gemeentefonds: De VNG ontvangt vanuit het Gemeentefonds de middelen en verstrekt hiermee KING de opdracht om de beveiligingsdienst uit te voeren. De IBD is beschikbaar voor alle gemeenten; 2. Tarieffinanciering: gemeenten die mee willen doen sluiten aan. Hiermee kunnen gemeenten individueel afwegen of de investering voor de eigen lokale situatie gerechtvaardigd is. Het is betaalde dienstverlening aan gemeenten. Noodhulp is mogelijk voor niet aangesloten gemeenten tegen bijzonder tarief. Beide modellen hebben voor- en nadelen. Deze zijn zodanig dat het bestuur de keuze open wil voorleggen aan de BALV. Financiering vanuit het Gemeentefonds heeft als voordeel dat het aansluit bij de aard van de problematiek. Informatiebeveiliging betreft een collectief belang van alle gemeenten; Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 17

18 vanwege de gedeelde imagoschade die optreedt bij incidenten, en de ketenafhankelijkheden tussen gemeenten. Daarnaast is geborgd dat alle gemeenten worden betrokken ongeacht het niveau van bewustwording en ICT volwassenheid. De dienstverlening van de IBD is generiek en voor alle gemeenten relevant. Ook de omgeving kijkt naar de IBD als een dienst voor alle gemeenten en verwacht dat gemeenten één eenduidig aanspreekpunt hebben. Taken die nu tijdelijk door VNG KING worden opgepakt maar op langere termijn niet houdbaar zijn, worden bestendigd. Nadeel is dat het (wederom) bekostiging uit het Gemeentefonds betreft en dat niet objectief bedrijfseconomisch inzichtelijk gemaakt kan worden wat het aantoonbaar voordeel is. Tarieffinanciering heeft als voordeel dat het optimale keuzevrijheid van de gemeenten borgt en dat, afhankelijk van het aantal deelnemers, de generieke diensten meer op de populatie kunnen worden afgestemd. Nadeel is dat er onzekerheid is over het aantal deelnemers. Dit heeft effect op de investering per deelnemer en de effectiviteit van de coördinatie en afstemming met (keten)partners. Daarnaast kan blijken dat juist gemeenten waar informatiebeveiliging nog geen intrinsiek onderdeel van het denken is, niet aansluiten. Free riders gedrag ligt dan op de loer. Deze variant brengt aanvullende administratieve lasten met zich mee. Andere dekkingsopties die onderzocht zijn, Europese subsidie, financiering via het rijk, en herprioritering binnen KING, lijken niet haalbaar DIENSTVERLENINGSKANALEN De IBD maakt waar mogelijk gebruik van de bestaande communicatiekanalen en participatiestructuren van de VNG en KING. Deze bestaande kanalen worden gebruikt voor advies, consultatie, informatie-uitwisseling of besluitvorming over producten en diensten op bestuurlijk, ambtelijk en operationeel niveau. De communicatie vindt plaats in samenspraak met gemeenten en diverse organisaties die actief zijn in het gemeentelijk domein. Onderstaand is per doelgroep van de IBD beschreven welke communicatiekanalen kunnen worden ingezet. De lijn van bestuurders wordt hierbij bedient vanuit de VNG, de overige doelgroepen vanuit KING. BESTUURDERS AMBTENAREN VNG Bestuur (incl. ALV) en Raad van Commissarissen KING; voor besluitvorming VNG-commissies (B&V en GDI); voor afstemming en consultatie over producten en diensten van de IBD Ledenbrieven (ook digitaal); om alle bestuurders (incl. gemeentesecretarissen) te informeren over producten en diensten van de IBD. Nb. voornamelijk geschikt voor bewustwording en preventie Burgemeestersnetwerk (noodlijn); voor eventuele acute beveiligingsincidenten Regiobijeenkomsten; meerdere keren per jaar (in combinatie met de VIAG) voor kennisdeling Expertgroepen en/of projectgroepen; voor gezamenlijke ontwikkeling van producten op operationeel niveau. Hiervoor moet naast de bestaande expertgroepen een groep worden opgericht voor informatiebeveiliging GEMEENTELIJKE VAKVERENIGINGEN 2 VNG Consulterend overleg; vijf keer per jaar voor consultatie en advies Gebruikersraad KING; ieder kwartaal voor consultatie en advies Maillijsten; via vakverenigingen kunnen VNG en KING de aparte doelgroepen en experts binnen gemeenten informeren 2 De leden van de KING Gebruikersraad staan benoemd op: Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 18

19 Naast deze twee overlegmomenten met alle vakverenigingen sluiten VNG en KING ook aan bij de diverse overleggen van de vakverenigingen zelf met haar leden. Ook hier kunnen punten namens de IBD worden ingebracht. Denk bijvoorbeeld aan bijeenkomsten van de IMG , VIAG of NVVB. Een specifieke gemeentelijke vakvereniging op het gebied van informatiebeveiliging maakt geen onderdeel uit van de bestaande communicatiekanalen. LEVERANCIERS KING leveranciersdagen; eens per kwartaal voor informatieverstrekking Overleggen met gebruikersverenigingen; eens per kwartaal voor informatieverstrekking en opdrachtgeverschap van gemeenten naar leveranciers Individuele overleggen met leveranciers en/of gebruikersverenigingen; voor aanvullende afspraken op leveranciersniveau. KING beschikt over een uitgebreid en goed netwerk Het netwerk met leveranciers op het gebied van informatiebeveiliging moet worden uitgebreid. Dit omvat het speelveld van IT auditors, pentesters en algemene beveiligingsexpertise die bij incidenten of voor preventie moet kunnen worden opgeschaald. Vanuit de huidige contacten zijn deze partijen welkom op de algemene KING leveranciersdagen. Waar nodig kunnen voor de IBD relevante leveranciers aparte bijeenkomsten worden georganiseerd. KETENPARTNERS De IBD zal nauw samenwerken met het NCSC en haar partners als de kennisinstituten, nationale en internationale CERT gemeenschap en en haar rol opeisen in het nationale netwerk van incident response teams. Zij zal dan ook regelmatig met het NCSC overleggen en deelnemen in specifieke overleggen die door het NCSC worden georganiseerd. NIEUWE OVERLEGGEN Voor zover er geen overleg is voor een (regionale) security gemeenschap voor de lokale overheden zal de IBD dit overleg op moeten gaan zetten. De DSC-ers en CISO s zullen daar aan deelnemen. Dit overleg kan vertrouwelijk van aard zijn PARTNERS EN SAMENWERKING De IBD vestigt en onderhoudt hechte relaties met haar directe partners en leveranciers. Dit zijn bijvoorbeeld het NCSC en Logius, maar kunnen worden uitgebreid naar gelang het noodzakelijk is om een werkrelatie te onderhouden. De IBD streeft ernaar om lid te worden van FIRST, het Forum van Incident Response Teams. Zij wil tevens deelnemen met een aantal landelijke overleggen die door het NCSC worden gefaciliteerd of georganiseerd. Via deze voornoemde relaties is de IBD in staat om in contact te treden met de belangrijkste Incident Response Teams die voor haar van toepassing zijn in Nederland of daarbuiten. Internationaal zal het NCSC als eerste aanspreekpunt fungeren, indien het efficiënter is om eigen relaties op te bouwen (bijvoorbeeld met een Gemeente CERT in België of Duitsland) zal het NCSC daarover worden geïnformeerd. Om kennis binnen te halen is samenwerking met kennisinstituten en universiteiten als de UvA, Universiteit Twente, of bijvoorbeeld de Radboud Universiteit onontbeerlijk. Het NCSC heeft gelukkig al samenwerking met een aantal kennisinstituten en de IBD kan via het NCSC dan ook deze kennis opdoen of vragen uitzetten. Het NCSC heeft meer samenwerkingsverbanden, bijvoorbeeld met overheid CERTs in Europa, of met politie, OPTA en OM in Nederland, of met de kennisinstituten in Nederland. De IBD kan via het NCSC in contact treden met deze organisaties indien dit van belang is en Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 19

20 zo onderdeel worden van een groter netwerk, waarmee gemeenten hier ook direct toegang tot verkrijgen via de IBD REALISATIE De IBD bereikt niet direct per 1 januari 2013 zijn volledige operationele kracht. Het samenspel tussen IDB en gemeente moet worden ingeregeld en zal voor beide partijen enige tijd vergen. In afbeelding 1 is grofweg geschetst hoe dit groeipad eruit kan zien. In de volgende fase zal dit groeipad in een plan van aanpak verder worden uitgewerkt. De IBD begint niet op nul. Op dit moment is er een handboek hoe te handelen in geval van een incident. Medewerkers van de VNG en KING hebben een soft-piket regeling om ook buiten kantoortijden bereikbaar te zijn voor incidentmeldingen. Ook is escalatie naar het NCSC informeel geregeld. Er worden drie fases onderscheiden. Kwartiermakers fase van t/m Opstartfase van t/m Operationele fase vanaf KWARTIERMAKERS FASE In deze fase wordt de organisatie opgezet, samenwerking met diverse partijen vorm gegeven, medewerkers geworven en de eerste dienst aan de gemeenten geleverd. Op te leveren producten zijn onder andere: Plan van Aanpak Charter volgens RFC 2350 van de IETF (Organisatie beschrijving) Medewerkersprofielen, inschalingen en eisen m.b.t. screeningsniveaus Piketregeling Huisvesting, IT Architectuur en IT infrastructuur Samenwerkingsovereenkomsten met partners Dienst en productbeschrijvingen Eerste aanzet tot het FIRST lidmaatschap Opgaan voor de TI CERTification Communicatiestrategie en persbeleid DIENSTEN Voor alle gemeenten wordt de dienst preventie ingevuld met het aanleveren van advisories, adviezen over recente kwetsbaarheden. BEREIKBAARHEID De IBD zal in deze fase tijdens werktijden bereikbaar zijn. Er is een soft-piket regeling voor bereikbaarheid buiten deze werktijden. PERSONEEL Het streven is om aan het einde van het jaar de teamleider en 1 security specialist te hebben ingevuld met vaste medewerkers OPSTARTFASE In deze fase worden de eerste diensten aan de gemeenten uitgerold. DIENSTEN De diensten die gefaseerd door het jaar heen worden uitgerold zijn: Incident detectie & Analyse Incident Coördinatie Preventie Regionale sessies Kennisdeling Beleidsadvies BEREIKBAARHEID De IBD zal gedurende het jaar verder opschalen naar een 7x24 bereikbaarheid regeling. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 20

21 PERSONEEL In dit jaar moeten alle beoogde Fte s zijn ingevuld door vaste medewerkers OPERATIONELE FASE Vanaf dit moment is de organisatie volledig operationeel. De basis diensten worden geleverd. Er blijft continu aandacht voor het verbeteren van de kwaliteit. De audit dienst wordt in 2014 volledig onderdeel van de staande dienstverlening van de IBD. De IBD zal kennisproducten als White papers en Factsheets distribueren en het NCSC van input voorzien indien een onderwerp hier specifiek om vraagt voor de lokale overheid sector. De dienst monitoring zal in 2015 worden uitgerold in een periode van 3 jaar. De ambitie is om in 2015 de IBD te laten CERTificeren volgende de eisen van het Security Incident Management Maturity Model, een Europese standaard voor het auditen van CERTs. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 21

22 Afbeelding 1, Fasering IBD Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 22

23 4. KOSTEN-BATEN ANALYSE In de beperkte tijd gegeven is het niet mogelijk een volledige diepgaande kosten-baten analyse te doen, zoals geschreven in de handreiking voor kosten-baten analyse voor ICTprojecten. 3 Wereldwijd zijn er weinig betrouwbare cijfers beschikbaar die aangeven wat de kosten zijn van incidenten in de lokale overheidssectoren of wat de baten zijn van het inrichten van een IBD. De globale kosten en baten zijn niet uitputtend. De verwachte opbrengsten zijn mogelijk groter dan vermeld. Deze opbrengsten komen met name voort uit de beperking van imago en financiële schade bij dreigingen en incidenten CIJFERS M.B.T. SCHADE DOOR CYBERCRIME NCSC Het NCSC heeft het aantal incidenten in de gemeentelijke sector wat zij heeft geregistreerd in de periode van tot vrijgegeven. In deze periode hebben per jaar 15 gemeenten gemiddeld 1 incident gehad. Daarbinnen hebben grotere gemeenten meer incidenten gehad dan de kleinere gemeenten. Hoewel er meer aandacht is voor informatiebeveiliging, is er ook meer te beveiligen en is de architectuur vaak complexer, hebben ze meer medewerkers, die moelijker benaderbaar zijn, en daardoor moeilijker bewust te maken van de gevaren van hun internet gedrag LEKTOBER EN DIGINOTAR Ten tijde van de DigiNotar crisis en de Lektober incidenten zijn er een aantal zaken zichtbaar geworden. Een gemeente heeft door de afsluiting van DigiD ,- uitgegeven voor het oplossen van het incident. Een andere kleinere gemeente die nog maar beperkte e-dienstverlening had was 100 uur kwijt aan het oplossen van het incident. VNG en KING zijn voor het coördineren van Lektober en Diginotar ongeveer 2000 uur bezig geweest. De 30 gemeenten die gedurende kortere of langere tijd zijn afgesloten van DigiD hebben gemiddeld 2 maal per dag gebeld met KING om te overleggen en de status door te spreken. Dat zijn 60 telefoontjes per dag voor zeker 2 weken. Een aantal gemeenten zijn langer afgesloten geweest, tot 3 maanden lang. Een aantal dossiers bij KING en VNG zijn door deze incidenten vertraagd of tijdelijk verkleind in scope TNO TNO heeft recentelijk een schatting gemaakt van de kosten van cybercrime in Nederland, onder andere op basis van een rapport uit Engeland, maar ook gebruik makend van andere rapporten zoals die van Ernst & Young. TNO stelt dat de kosten van cybercrime liggen op minimaal 10 miljard Euro. Daarvan is 1,5 miljard euro als gevolg van belasting- en uitkeringsfraude bij de overheid aangewezen. Laat daarvan 20% (Best guess op basis van kerngegevens ICT uitgaven en aantallen ambtenaren) bij gemeenten liggen, dat is 300 miljoen Euro NVB De Nederlandse Vereniging van Banken heeft aangegeven dat in 2011 er 35 Miljoen Euro schade is geleden door fraude met internet bankieren. Dit is meer dan een verdrievoudiging ten opzichte van Dit is alleen de directe schade, dus het succesvol wegsluizen van geld door criminelen. Kosten om de incidenten te detecteren, analyseren en op te lossen zijn hier niet bij meegenomen. De imagoschade van de banken is hier ook niet in meegenomen. 3 Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 23

24 Banken zijn natuurlijk zeer gewild als slachtoffer van georganiseerde misdaad. De banken in Nederland behoren echter wereldwijd tot de meest veilige banken HANDREIKING VOOR KOSTEN-BATEN ANALYSE VOOR ICT-PROJECTEN DEFINITIE NUL ALTERNATIEF Indien het opzetten van de IBD niet door gaat, zullen de gemeenten andere manieren moeten vinden om preventief en reactief incidenten te kunnen voorkomen, te detecteren of op te lossen. KING en VNG zullen niet meer in staat zijn om incidenten te coördineren. De impact op de huidige projecten en de mensen is te groot. 415 gemeenten zullen dit werk zelf moeten gaan oppakken. Dit gaat bij een aantal gemeenten wel gebeuren, sommigen zullen niets doen, of als de gemeenten het wel zullen oppakken, doen ze dat mogelijk in kleinere samenwerkingsverbanden, maar dan nog zal het zelfde werk meermalen worden uitgevoerd. De ketting is zo sterk als de zwakste schakel. De overheid zal, zelfs als maar een gemeente zichzelf niet adequaat beveiligd, schade oplopen. Het detecteren van incidenten gebeurt nu o.a. bij het NCSC voor de oud GOVCERT.NL deelnemers die nu ondergebracht zijn bij het NCSC. De gemeenten vallen per niet meer onder de primaire doelgroep van het NCSC; ze zijn wel een secundaire doelgroep, te bedienen via een intermediair. Gemeenten kunnen ook zelf incidenten detecteren. Bij het niet goed inrichten van de infrastructuur, of het niet meenemen in een outsourcing contract, zullen incidenten vaak niet opgemerkt worden, meldt de pers onregelmatigheden, of medewerkers van een gemeente die klagen over fouten in de infrastructuur of over verlies van informatie bij de systeembeheerder, helpdesk of de externe beheer partij. CONSEQUENTIES De imagoschade zal alleen al tijdens een initiatief als Lektober groot zijn, laat staan als er daadwerkelijk informatie wordt ontvreemd. De schade door het moeten blijven oplossen van incidenten is niet te voorspellen. De werkdruk en het aantal incidenten zal met de blijvende groei van cybercriminaliteit blijven toenemen. In onderstaande tabel is te zien wat de consequenties zijn voor een incident als bijvoorbeeld Lektober als er wel of geen IBD is ingericht. Impact op Geen IBD Wel IBD Gemeente Moet zelf samenwerking gaan zoeken met andere gemeenten en leveranciers. Geen coördinatie bij incidenten. Incidenten worden mogelijk niet eens gedetecteerd. KING / VNG normaal incident KING / VNG Grootschalige incidenten KING en VNG worden niet betrokken bij de incidenten. Indien ze wel betrokken worden kunnen ze niets betekenen voor de gemeente. KING en VNG zullen toch worden ingezet bij het coördineren van het oplossen van incidenten. Dit gaat ten koste van lopende projecten en Duidelijk waar een gemeente kan aankloppen voor hulp bij het oplossen van incidenten. Gemeenten zijn bewuster bezig met informatiebeveiliging, waardoor er meer aan preventie wordt gedaan, en er dus minder snel incidenten plaatsvinden en deze incidenten minder gevolg schade hebben. Door de preventieve maatregelen en het verhoogde bewustzijnsniveau dat de IBD nastreeft bij gemeenten, zou Lektober niet hebben plaatsgevonden Geen inzet nodig buiten de capaciteit bij de IBD Flexibele schil van expertise binnen KING efficiënt en effectief ingezet, met minimale impact op lopende processen en projecten. Er kan snel Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 24

25 Rijk normaal incident Rijk grootschalige incidenten Maatschappelijk Leveranciers processen. Activiteiten worden ad-hoc uitgevoerd. KING en VNG hebben niet direct de juiste kennis voorhanden. Incidenten moeten door gemeenten zelf worden opgelost. Er is geen algeheel beeld over de gemeenten heen NCSC moet coördinatie doen voor alle gemeenten van dit soort incidenten. Daar is zij niet voor ingericht. NCSC heeft ook geen specifieke kennis van de gemeenten. Verschillende en ad-hoc communicatie met media, ongecoördineerd. Vertrouwen van de burger in de informatiehuishouding bij de overheid loopt schade op. Reputatie schade van de overheid Gedifferentieerd beeld bij de pers. Verantwoordelijkheden zijn niet goed belegd. Wie is voor welk deel van de incident response verantwoordelijk? Incident oplossing loopt vertraging op, waardoor er meer gevolg schade is. Tabel 1, Consequenties van het wel of niet hebben van een IBD en effectief geschakeld worden met NCSC, NCC, leveranciers, andere gemeenten, marktpartijen om snel incidenten op te lossen. Gemeenten kunnen ondersteuning en coördinatie krijgen van de IBD om het incident op te lossen. Het incident wordt daardoor effectiever met minder schade opgelost. NCSC zal op nationaal niveau coördineren en via de IBD de gemeenten maximaal efficiënt bedienen. Gecoördineerde aanpak richting media, specifiek met kennis en ervaring omtrent media communicatie over ICT incidenten. Vertrouwen van de burger loopt minimale schade op. Mogelijk positief effect door kordaat en effectief optreden. Bewuster en beter betrokken bij hun klanten. Weten waar ze verantwoordelijk voor zijn. Gemeenten gaan informatiebeveiliging meenemen als eis in contracten en gaan dat ook periodiek controleren INVESTERING In onderstaande tabel is de investering geschetst die nodig is voor de IBD. De kosten zijn niet geïndexeerd en er is geen risico opslag gehanteerd. Grofweg kost de IBD , euro per jaar inclusief BTW. Afbeelding 2, Kosten Kwartiermakers- en opstartfase 4 4 Het VNG bestuur heeft in afwachting van de besluitvorming in de BALV gekozen voor een sobere kwartiermakerfase waarin geen onomkeerbare investeringen plaatsvinden. Basisvoorzieningen, zoals bijvoorbeeld huisvesting, komen daardoor ten laste van het budget van De begroting voor 2013 benadert daarmee 2 miljoen euro en is daarmee gelijk aan de daarop volgende jaren. Propositie InformatieBeveiligingsDienst voor alle gemeenten in Nederland 25