Jaarverslag Beveiliging en Privacy 2014

Transcriptie

1 Jaarverslag Beveiliging en Privacy 2014 Versiebeheer 0.1 Concept F.T. Hendriks Opmerkingen J. de Kleuver, wethouder Cziesso verwerkt F.T. Hendriks

2 Inleiding. Beveiliging en privacy komen steeds meer in de belangstelling. Regelmatig komen we in de media berichten tegen over lekken in websites (waardoor bijvoorbeeld DigiD s kunnen worden afgevangen) of over gemeenten die hun informatiebeveiliging niet op orde hebben. Hierdoor is de privacy van de betrokken burgers niet gewaarborgd. Mede op basis van de DigiD-audit, de GBA zelf-audit en de Suwi-zelftest kunnen we stellen dat de gemeente Apeldoorn informatiebeveiliging redelijk op orde heeft. De grootste uitdaging is het kunnen aantonen van de getroffen maatregelen. Ook op politiek niveau komt informatiebeveiliging en privacy steeds meer in de belangstelling. Het jaar 2014 stond voor wat betreft informatiebeveiliging en privacy met name in het teken van de invoering van de Baseline Informatiebeveiliging Gemeenten (BIG) en de invoering van de 3D s. Deze decentralisaties hebben immers betrekking op personen waarvan de aard van de problematiek zeer privacygevoelig is. Voorts wordt in dit jaarverslag ingegaan op de belangrijkste ontwikkelingen in 2014 met betrekking tot diverse audits, de ten aanzien van de bewustwording van de medewerkers uitgevoerde activiteiten, de beveiliging van de technische infrastructuur en op de fysieke beveiliging. In dit jaarverslag wordt ook ingegaan op de zich in 2014 voorgedane incidenten. Tevens bevat dit jaarverslag het wettelijk voorgeschreven Beveiligingsverslag Burgerzaken. Implementatie Baseline Informatiebeveiliging Gemeenten. De Informatiebeveiligingsdienst (IBD) van KING/VNG heeft de Baseline Informatiebeveiliging Gemeenten (BIG) uitgebracht. Deze baseline bestaat uit een strategisch gedeelte; dit is uitgewerkt in een tactisch gedeelte (in casu het beveiligingsbeleid); en een nadere uitwerking in circa 310 maatregelen. Het voordeel van de BIG is dat niet iedere gemeente zelf het wiel behoeft uit te vinden en er een gemeenschappelijk kader is ontstaan. Als wij hieraan voldoen, is dat voldoende. De diverse ministeries zullen zich hieraan conformeren en geen aanvullende en/of afwijkende eisen stellen. Het tactisch beleid is in 2014 door het College van Burgemeester en Wethouders vastgesteld. Op een beperkt aantal onderdelen is van de baseline afgeweken. Dit betrof met name aansluiting bij de in Apeldoorn geldende procedures en werkwijzen. Bij de verdere implementatie van de maatregelen baseren wij ons op een risicoclassificatie. We starten met de implementatie van de maatregelen waarmee de hoogste risico s worden tegengegaan. Audits. De eerste Logius-audit naar het veilig gebruik van DigiD en het elektronisch loket hebben wij eind 2013 met goed gevolg volbracht. De gemeente Apeldoorn voldeed aan alle eisen. Wel had de auditor een aantal adviezen. Een daarvan betrof de implementatie van een vulnarability tool. Dit tool spoort naar kwetsbaarheden op de Apeldoornse infrastructuur. Mede als uitvloeisel van de audit toetst de Securityofficer vier maal per jaar de toepassing van de procedures met betrekking tot het toekennen en intrekken van rechten.

3 Bovendien toetsen wij twee maal per jaar of de rechten van (extern) personeel dat uit dienst is getreden zijn ingetrokken. Hierbij zijn tekortkomingen geconstateerd, ook de accountant (PWC) heeft dit geconstateerd. Dit had met name betrekking op het afmelden van extern personeel. De procedures hiertoe zijn aangescherpt. PWC heeft tevens in het kader van de interim-controle 2014 geadviseerd het wachtwoordbeleid aan te scherpen en de accounts met uitgebreide rechten voor een aantal applicaties te heroverwegen. Aan beide adviezen hebben wij gehoor gegeven. Jaarlijks doet de Inspectie Werk en Inkomen onderzoek naar de beveiliging in het Suwidomein. Dit heeft betrekking op de uitwisseling van gegevens met betrekking tot werk en inkomen. De gemeenten die niet in de steekproef van de Inspectie zijn opgenomen zijn door de VNG dringend verzocht om dezelfde vragenlijst in te vullen (de zogenaamde zelftest). Hieruit bleek dat de gemeente Apeldoorn formeel aan één van de 21 criteria niet heeft voldaan. Dit betrof het in 2014 evalueren van het bestaande Suwibeveiligingsbeleid. Deze evaluatie wordt pas in het voorjaar van 2015 afgerond. Voor de resultaten van de BRP-zelfaudit wordt verwezen naar de paragraaf Burgerzaken. Privacy. Veel aandacht is in 2014 besteed aan de privacyaspecten van de 3D s. Met deze decentralisaties zijn immers naar hun aard privacygevoelige gegevens gemoeid. Het heeft tot medio 2014 geduurd voordat hierover voldoende duidelijkheid was. In het begin van 2014 ging men er nog van uit dat de privacywetgeving diende te worden aangepast. Later dat jaar trok het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties de conclusie dat een en ander binnen de bestaande wetgeving mogelijk was. Wel dient het gebruik en de uitwisseling van gegevens kritisch te worden beoordeeld. Hierbij speelt met name het verschil tussen Wat en Dat-informatie een belangrijke rol. Moet men voor het toekennen van een hulpmiddel (dat-informatie) de aard van de aandoening (wat-informatie) kennen? Dit proces wordt door het Ministerie Triage genoemd. Dit speelt bij de uitwisseling van informatie met ketenpartners een belangrijke rol. Het CBP schrijft voor dat bij uitwisseling van persoonsgegevens met andere partijen (waaronder ketenpartners) waarborgen worden geschapen voor een veilige opslag en gebruik van deze gegevens door de andere partij. Dit geschiedt in de vorm van bewerkersovereenkomsten en/of convenanten. Deze zijn met de betrokken partners afgesloten. De hieruit voorvloeiende meldingen bij het College Bescherming Persoonsgegevens (CBP) zijn gedaan. Door de aan Living Lab Oost deelnemende gemeenten is in samenwerking met het Ministerie van binnenlandse Zaken & Koninkrijksrelaties een Privacy Impact Assesement (PIA) uitgevoerd. Een dergelijke PIA wordt door het CBP voorgeschreven. Het College van B&W heeft ingestemd met het document Besturing en Beleid Privacy 2015 Apeldoorn. Dit beleidsdocument betreft met name de toepassing van de Wet Bescherming Persoonsgegevens bij de gemeente Apeldoorn. Wij zien steeds vaker dat leveranciers automatiseringsoplossingen in de vorm van een SAAS-constructie (Software As A Service) aanbieden. In een dergelijk geval worden de gegevens niet bij ons in huis beheerd maar bij de leverancier zelf en in sommige gevallen bij een onderaannemer van de leverancier. Ook in dergelijke gevallen blijft de gemeente verantwoordelijk voor de beveiliging van deze gegevens. Dit dient door middel van een bewerkersovereenkomst te worden vastgelegd. Onderdeel van een dergelijke overeenkomst vormt een Third Party Mededeling (TPM). In een TPM verklaart een externe, gecertificeerde, partij dat de betreffende gegevens inderdaad bij de leverancier veilig zijn.

4 De privacyfunctionarissen hebben een aantal keren geadviseerd met betrekking tot de vraag of verzameling van bepaalde gegevens juridisch zou zijn toegestaan. Tevens is er bij het CBP een melding gedaan met betrekking tot cameratoezicht bij kruispunten. Bewustwording. De mens is één van de belangrijkste factoren bij informatiebeveiliging. Het is dan ook van belang om regelmatige activiteiten in het kader van de bewustwording uit te voeren. In 2014 is een module ontworpen met een verdiepingsslag ten opzichte van de reeds bestaande tien basisregels voor beveiliging. Deze module is in eerste instantie aan de teams/eenheden aangeboden die te maken hebben met privacy gevoelige informatie. In 2015 zal de module ook aan de overige personeelsleden worden aangeboden. In 2014 is diverse malen op A-net aandacht gevraagd voor Informatiebeveiliging. Voorbeelden zijn social engineering (misbruik van de menselijke wil om anderen te willen helpen), waarschuwingen voor virussen e.d. en de risico s van het gebruik van het ouderwetse Windows XP. Infrastructuur. Met betrekking tot de technische infrastructuur waren de volgende ontwikkelingen in 2014 van belang. Een van de basisregels luidt: Verstuur geen vertrouwelijke informatie via . kan namelijk onderschept worden. Met de aanschaf van het product Cryptshare kunnen ook medewerkers van de gemeente Apeldoorn vertrouwelijke informatie via versleutelde bestanden per verzenden. Madison Gurkha test minimaal één maal per jaar onze website en onze infrastructuur (de hacktest). Ten aanzien van de website had men drie constateringen. Twee daarvan zijn opgelost door de leverancier van Webnext, de derde dient te worden opgelost door een uitbreiding van de functionaliteit van de firewall door de leverancier. Het is Madison Gurkha niet gelukt om ons netwerk te penetreren. We had men een aantal bevindingen dat zal worden opgelost. Fysieke beveiliging. In de zomer van 2014 heeft een extern bedrijf een onderzoek utgevoerd naar de fysieke beveiliging van het Stadhuis. Doelstelling van deze security review was het beoordelen van de bestaande beheersmaatregelen onder andere gericht op agressie en diefstal. Gezien grote verbouwingen aan het werkplein Activerium, is die locatie niet meegenomen in dit onderzoek. De onderzoeker adviseerde om het proces beveiliging en de effectiviteit van de beveiligingsmaatregelen periodiek te evalueren en het huidige beleid verder te structureren en aan te scherpen. Dit zal verder worden uitgewerkt in het traject de toekomstbestendige organisatie waarbij een doorkijk wordt gemaakt naar de fysieke inrichting van het stadhuis in de komende jaren. Praktische aanbevelingen die het onderzoek hebben opgeleverd, zijn deels in het najaar 2014 uitgevoerd. Zo worden maandelijks, digitaal, overzichten bijgehouden van personen die specifiek beveiligde zones betreden. Denk daarbij aan de computerruimten en de werkzone bij Burgerzaken. Deze overzichten worden vervolgens ter beschikking gesteld aan de verantwoordelijke contactpersonen van de eenheden POW en IV. Met de verantwoordelijke van Burgerzaken is het toegangsbeheer doorgenomen van de beveiligde ruimten.

5 De procedure met betrekking tot het uitreiken en innemen van dagpassen is hernieuwd en wordt jaarlijks op gezette tijden met de beveiligers doorgesproken. Er is een geactualiseerd sleutelplan van de organisatie opgeleverd dat in één oogopslag laat zien welke medewerkers, welk type sleutels bezit met bijbehorende toegangscodes. Dit sleutelplan wordt op een centrale plek beheerd. Burgerzaken. Burgerzaken is in 2014 niet uitdrukkelijk in het nieuws geweest in relatie tot de basisregistratie personen (BRP) of de reisdocumenten en rijbewijzen. Dit duidt erop dat de processen redelijk gestructureerd en geordend verlopen. Dit is geen vanzelfsprekendheid in een omgeving waar woonfraude en identiteitsfraude direct zijn verbonden aan onze werkprocessen en waarbij privacy en beveiliging een belangrijke rol spelen. Vanwege de maatschappelijke belangen die samenhangen met onze werkzaamheden wordt met verschillende instrumenten toegezien op een goede uitvoering van die wettelijke voorschriften. Daarnaast zijn wij betrokken bij diverse initiatieven die kunnen bijdragen aan het verbeteren van de personen registratie en documentuitgifte. De in 2014 uitgevoerde zelfevaluaties laten zien dat wij voldoen aan de gestelde normen. Deze laten ook zien dat verbetering mogelijk is. De zelfevaluaties geven een momentopname van de mate waarin geldende uitvoeringsvoorschriften in onze werkprocessen werkzaam zijn geïmplementeerd. Bij de reisdocumenten kunnen wij constateren dat de getroffen maatregelen in 2014 tot een beter resultaat hebben geleid dan in De score in 2014 is 2% hoger dan in 2013 en komt overeen met de kwalificatie voldoende. Bij de maatregelen zoals die worden opgenomen in het beveiligingsplan 2015 zal vooral de aandacht worden gericht op die punten die met eenvoudige aanpassingen tot een beter resultaat kunnen leiden. Het aantal personen waarbij sprake is van meervoudige document vermissing is, na enkele jaren van afname, iets toegenomen (49 personen), 2014 (56 personen). Bij de zelfevaluatie basisregistratie personen is geen eenduidige vergelijking mogelijk. De laatste GBA audit is uitgevoerd in 2010 en geheel anders van opzet dan de in 2014 uitgevoerde zelfevaluatie. De totaal score die bij de zelfevaluatie is behaald is gelijk aan de norm (90%). Het zijn de aandachtsvelden gegevens en personeel die het meest achterblijven in de score. In 2015 zal aan deze aspecten vooral aandacht worden geschonken. De inhoudelijke kwaliteit voldoet aan de gestelde eisen. Binnen de beschikbare capaciteit wordt structureel gewerkt aan het verbeteren van bekende fouten. Dit heeft geresulteerd in een verbetering van 0,02% over Daarnaast wordt aandacht gegeven aan de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de BRP. De rapportages en constateringen die hierover zijn gemeld geven geen reden tot directe aanpassingen of verbeteringen. In 2014 zijn diverse activiteiten ondernomen om werkprocessen te verbeteren door de afspraken over de beoordeling van documenten meer te uniformeren en meer gerichte uitvoering (buitencontroles) van adresonderzoeken. Uit de cijfers blijkt dat de buitencontrole duidelijk bijdraagt aan meer inzicht en een betere registratie. In het afgelopen jaar zijn geen opvallende fraude gevallen zichtbaar geworden.

6 Incidenten. Alle incidenten worden geclassificeerd naar potentiële impact (Hoog, Midden, Laag). In 2014 zijn 23 beveiligingsincidenten bij de security-officer gemeld. Dit is inclusief 8 landelijke waarschuwingen van de IBD dat er in programmatuur of tools lekken zijn aangetroffen. Van deze 23 incidenten zijn er 6 als Midden geclassificeerd en 17 als Laag. Een van de Midden-incidenten betrof een kwetsbaarheid in Smartsite. Deze kwetsbaarheid was overigens de basis voor de conclusie in het TV-programma Opgelicht dat op de Apeldoornse website DigiD gegevens konden worden afgevangen. Doordat het aanroepen van DigiD in Apeldoorn niet vanuit Smartsite (ixperion) maar vanuit Webnext gebeurt was er geen sprake van een lek. Vijf incidenten in de categorie Laag betroffen vermissing van een laptop of een smartphone. Deze zijn op afstand onbruikbaar gemaakt. Voorts was een melding van de IBD opvallend dat bij internetcriminelen 22 apeldoorn.nl adressen (inclusief wachtwoorden) zijn aangetroffen. Blijkbaar hebben medewerkers van de gemeente met hun gemeentelijk adres websites bezocht en zijn deze gegevens vervolgens door de betreffende criminelen gestolen. Betrokkenen zijn geadviseerd hun wachtwoorden te wijzigen.