Bewustwording Informatieveiligheid bij gemeenten Januari 2014
Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. 2 Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van deze mededeling.
Voorwoord Deze bewustwordingspresentatie is een voorbeeldpresentatie t.b.v. gemeenten. Het staat een gemeente vrij om sheets toe te voegen en te verwijderen. Deze presentatie heeft als doelgroep Iedere medewerker binnen de gemeente. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en het afgeleide voorbeeld Informatiebeveiliging Beleidsplan is als uitgangspunt genomen voor deze presentatie. Er is geen keuze gemaakt in specifieke onderwerpen, het kan zijn dat een gemeente bepaalde accenten in het eigen beveiligingsbeleid scherper of minder scherp wil neerzetten. 3
Informatiebeveiliging, belangrijker dan ooit?
Inhoud Doel van de presentatie Wat is informatie en in welke vorm kennen we het? Wat is Informatiebeveiliging? Informatiebeveiliging, wat zijn de principes? Het belang van informatiebeveiliging in relatie tot het werken bij een gemeente. Inzicht in de risico s, bedreigingen en maatregelen die nodig zijn om alle vormen van informatie te beschermen. Starten van een cultuur- en gedragsverandering.
1. Doel van de presentatie Voor wie Iedere medewerker binnen de gemeente, ongeacht soort arbeidsverhouding Inhoud Informatiebeveiligingsmaatregelen Doel Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van onveilig gedrag naar veilig gedrag.
2. Wat is informatie? Gestructureerd Logisch Betekenisvol Te gebruiken in een context Waarde Vorm Denk aan: GBA gegevens BSN Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. Voorbeeld: Edwin de Vries Kerkstraat 50 Amsterdam Geboorte datum: 18-05-1925 Welke interessante of vertrouwelijke informatie heeft u?
3. En.in welke vorm kennen we het? Op papier (ook geschreven) Mondeling Elektronisch (netwerken) Transport (signaal) Transport (fysieke media, mobiele apparaten) Kennis
4. Waarom hebben we informatiebeveiliging nodig? Informatie heeft waarde Waardevolle informatie veilig stellen Privacy beschermen Aanpak om informatie te beschermen Informatie heeft een bepaalde gevoeligheid
5. Wat is de waarde van informatie? Geldelijke waarde Aantrekkelijk voor anderen (insiders of outsiders) Nut voor u Nuttig voor anderen De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie Tijdigheid Welke waarde heeft uw informatie?
6. Wat is informatiebeveiliging? Beschikbaarheid De mate waarin een informatiesysteem in een bedrijf aanwezig is op het moment dat de organisatie het nodig heeft Exclusiviteit (vertrouwelijkheid) De mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden Integriteit De mate waarin een informatiesysteem zonder fouten is
7. Wat is het doel van het beveiligingsprogramma bij de gemeente? Herkennen van bedreigingen, zwakheden en risico s ten opzichte van gemeentelijke informatie Tegengaan of verminderen van deze risico s naar een acceptabel niveau Verwijderen of verminderen van een zwakheid in een systeem De kans verkleinen dat een bedreiging manifest wordt Reduceren van de schade als er toch een incident optreedt Herstellen van informatievoorziening
8. Balans Er is een relatie tussen gebruiksgemak en beveiliging Als de beveiliging toeneemt, neemt het gebruiksgemak af Voorbeeld: IPAD, schermbeveiliging.
9. Beveiliging is noodzakelijk Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer belangrijk voor de doelstellingen van onze gemeente Onze informatiesystemen moeten altijd worden beschermd Onze informatie moet altijd worden beschermd Onze burgers moeten er van uit kunnen gaan dat wij hun informatie beschermen
Informatie opgeslagen in onze systemen 2013-11-19, Used with permission, BOBDRAGON9@aol.com
10. Informatiebeveiliging is de taak van iedereen binnen de gemeente De gemeente is een informatieverwerkende organisatie Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren Informatiebeveiliging is essentieel voor de continuïteit van onze dienstverlening richting onze burgers Informatiebeveiliging is essentieel om het vertrouwen van onze burgers in de gemeente te versterken
11. Verantwoordelijkheid! Het is de verantwoordelijkheid van iedere medewerker binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen U bent verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie welke onder uw verantwoordelijkheid valt binnen uw werk Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan uw werk De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is. Op basis daarvan wordt een classificatie toegekend De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van vertrouwelijkheid
12. Informatiebeveiliging is de taak van iedereen! Informatiebeveiliging kunt u lastig later toevoegen, het moet er gewoon zijn Informatiebeveiliging is niet alleen de taak van de beveiligingsspecialisten Informatiebeveiliging is de taak van iedereen! We moeten er allemaal voor zorgen dat gemeentelijke informatie, -middelen en -ruimten goed zijn beveiligd en dat ook blijven Wat kunt u daaraan bijdragen?
13. Gemeentelijke informatie moet worden behandeld in overeenstemming met de classificatie Proces Beschikbaarheid Integriteit Vertrouwelijkheid Burgerzaken (klantbegeleiding, afspraken) Belangrijk Absoluut Vertrouwelijk Basisregistratie persoonsgegevens Essentieel Absoluut Geheim Overige basisregistraties Essentieel Absoluut Openbaar Indienen en behandelen beroep en Openbaar/ bezwaarschriften Noodzakelijk Absoluut vertrouwelijk Sociale Zaken Uitvoering / verstrekking voorzieningen Essentieel Hoog Geheim Sociale Zaken Handhaving en controle Noodzakelijk Absoluut Geheim Openbare orde en veiligheid (brandweer, preventie, rampbestrijding) Essentieel Absoluut Geheim Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente anders zijn.
14. Beveiliging binnen onze gemeentelijke organisatie Integraal verantwoordelijke Gedelegeerd verantwoordelijke Iedere manager Information Security Officer ICT-servicedesk (telefoonnummer) Overige beveiligingsnummers
Wat zijn bedreigingen? 2013-11-19, Used with permission, Kevin Siers, The Charlotte Observer
15. Wat zijn bedreigingen? Malware via websites Verouderde software Mobile devices Cybercrime, DDoS, phishing Digitale spionage Werknemers Buitenlandse wetgeving Verlies van data, BYOD Stroomstoring Verlies van kennis Apps van derden Identiteitsdiefstal Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.
16. Externe bedreigingen Hackers Crackers Scriptkiddies
17. Welke motivatie? Vandalisme Boosheid Politiek Nieuwsgierigheid Schade willen toebrengen Persoonlijk gewin
18. Voorbeelden externe bedreigingen Natuurrampen: Aardbeving, overstroming, tornado en bliksem Stroomstoring Geen Airco Terrorisme Brand en waterschade Personeelstekort Digitale aanvallen van buitenaf Hacken, digitale inbraak DDOS-aanval SAAS, toegang tot applicatie Spionage
19. Nog meer bedreigingen Diefstal of verlies van: - Laptops - Desktops - PDA s / tablets - Telefoons / Smartphones - Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc. - Data (logisch) draadloos, Man-in-the-middle (MITM) Social Engineering
20. Interne bedreigingen (1/2) Onoplettendheid (verkeerde informatie geven) Slordigheid (typo s, clean desk?) Onwetendheid (de regels niet kennen) Onbewust handelen (aannemen dat iets zo is) Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden) Bijvoorbeeld: Gebruiken van onveilige software E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven wachtwoorden Je niet houden aan de clean desk Policy Over gevoelige informatie praten in openbare ruimten
20. Interne bedreigingen (2/2) In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van de incidenten komt van binnenuit de eigen organisatie 28
21. Interne bedreigingen, wat maakt ons kwetsbaar? Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden (uit woordenboek) Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden, vertrouwelijke informatie versturen via e-mail, lekken van informatie Impliciet vertrouwen van dingen die we van anderen krijgen: openen e-mailbijlagen van onbekende mensen die een virus of een andere kwaadaardige code kunnen bevatten Klikken op links van phishing e-mails
22. Hoe informatie op papier te beschermen? Opbergen van papieren in een kast of andere geschikte container (Clean Desk Policy) Geen informatie of wachtwoorden op post-its of briefjes en andere informatie, zoals cd-roms, laten rondslingeren Maak gebruik van shredders (verplicht voor gevoelige informatie) Sluit uw deur van het kantoor
23. Informatie op papier (vervolg) Altijd afdrukken van printers en faxapparaten halen, met name aandacht besteden aan gemeenschappelijke printers Verwijder de afdrukken uit gemeenschappelijke printers direct (Let op: Sommige printers en faxapparaten slaan kopieën van documenten op, die later kunnen worden opgehaald) Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of gevoelige interne post Gebruik een procedure om gevoelige informatie te verzenden (dubbele enveloppen, koeriers etc.) Gebruik de dubbele enveloppen techniek voor gevoelige externe (inkomende of uitgaande) post Voor zeer gevoelige informatie overwegen gebruik te maken van tamper-proof of verzegelde enveloppen
24. Hoe mondelinge informatie te beschermen? Wees u bewust van uw omgeving Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle soorten informatie te bespreken (burgers, bezoekers, aannemers, derden) Handhaaf het need to know -principe Adopteer een minimalistische benadering met betrekking tot het verstrekken van informatie aan derden als u niet zeker weet of iets iemand anders aangaat Vermijd specifieke details met betrekking tot operationele procedures, beveiligingsprocedures of de computersystemen van de gemeente
24. Hoe mondelinge informatie te beschermen? (vervolg) Zeer gevoelige informatie kan beter niet over de telefoon besproken worden Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke informatie op een mobiele telefoon (omgeving, afluisteren etc.)
25. Informatiesysteem-specifieke uitdagingen Aggregatie toenemende datavolumes Gebrek aan zichtbaarheid Gebruiksgemak versus beveiliging Software en hardware installatie Portabiliteit Snelheid Technologische vooruitgang Gebruikers kennis / competenties
26. Hoe kun je informatie beschermen? Gezond verstand Veilige wachtwoorden Antivirus maatregelen Software uit bekende bronnen Nadenken over mobiele apparaten Goed gebruik van media Voorzichtigheid met het web en e-mail Log on / log off Opslaan van documenten/ back-up Juiste toegangsrechten
27. Gezond verstand! Ziet iets er vreemd uit/ is er iets veranderd? De computer of het systeem gedraagt zich anders dan anders Noteer de datum en tijd waarop de problemen zich voordeden Geloof niet alles wat u op het Internet vindt Zoek hulp / bel de helpdesk als u twijfelt
28. Wachtwoorden Schrijf wachtwoorden nergens op Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige plaats Vernieuw regelmatig uw wachtwoorden Kies een sterk wachtwoord Deel nooit uw wachtwoord met anderen U bent verantwoordelijk voor misbruik van uw wachtwoord Verander uw wachtwoord direct als u misbruik vermoedt
29. Wachtwoord problemen Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te raden voor anderen Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden Opschrijven van wachtwoorden Korte wachtwoorden zijn makkelijk te kraken Niet voor alles hetzelfde wachtwoord gebruiken
30. Goede wachtwoorden Wat is een goed wachtwoord? Alfabetisch A tot Z en a tot z Nummers 0 tot 9 Speciale letters / leestekens ~! @ # $ % ^ & * ( ) + = [ ] { } /? < >, ; : \ `.
31. Gemakkelijk te onthouden wachtwoorden? Neem een zin die u kunt onthouden Neem van ieder woord de eerste letter en vervang letters voor tekens Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014: Og= V0!2o14
32. Antivirus Open geen e-mail die u niet vertrouwt Open nooit bijlagen van e-mails die u niet verwacht Klik niet op links in e-mails die u niet vertrouwd Zorg voor een up-to-date antivirusscanner Download geen uitvoerbare programma s en installeer zelf geen software Bij twijfel een handmatige extra virusscan uitvoeren Check voor gebruik media van anderen
33. Software en Hardware installatie Installeer geen ongeautoriseerde hard- en software Gebruik geen eigen software of download deze niet van een onbekende bron of van het Internet Installeer zelf geen modems of draadloze toegangspunten Wijzig geen netwerk componenten Gebruik alleen gelicenseerde software
34. Mobiele telefoons en tablets Bescherm zowel telefoon en SIM met een Pincode Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten kast of op een andere veilige plaats Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op straat Behalve dat het apparaat waarde heeft kan ook de informatie die erop staat waarde hebben voor een ander Gebruik encryptie om informatie op het apparaat te beschermen Maak gebruik van mogelijkheden om een apparaat terug te vinden, de meeste hebben dit tegenwoordig
35. Laptops en opslagmedia Geen gevoelige informatie plaatsen op laptop computers of draagbare opslagmedia zonder encryptie Overweeg het verkrijgen van een kabelslot voor laptops Behandel draagbare opslagmedia met dezelfde zorg als het equivalent papieren document - berg het op Laptops worden bij voorkeur volledig versleuteld. Draagbare opslagmedia moet goed worden geëtiketteerd en de gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden gemarkeerd Laat de laptop niet in de auto achter en vervoer deze niet op de achterbank (in het zicht) Laat de laptop niet in een onbeheerde auto liggen
36. E-mail Gebruik niet unsubscribe voor junk mail Zend geen gevoelige informatie met (Internet) e-mail, dit is niet veilig Gebruik geen gemeentelijke e-mailvoorzieningen voor privé e-mails Alle e-mail, ook privé e-mail, kan worden onderschept, wees u daarvan bewust en wees voorzichtig met wat u schrijft Forward geen virus informatie of verdachte e-mails, gebruik de telefoon en bel de helpdesk Wees ervan bewust dat e-mail makkelijk vervalst kan worden (Virus, Hoaxes, afzenders etc.) Negeer kettingbrieven en wees u bewust van criminele toepassingen met e-mail
37. Web Browsing Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig Het is niet toegestaan om illegale content te bekijken Het is niet toegestaan om naar sites te gaan met adult-materiaal Vermijd controversiële locaties Vermijd overtollig gebruik van resources
38. Log on / log off Controleert u wie de laatste gebruiker was op uw werkstation? Aan het einde van de dag afmelden Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op 5 minuten Even weg bij de computer, gebruik ctrl-alt-delete, gevolgd door enter om het werkstation te vergrendelen
39. Password-beveiliging Bij een vergeten wachtwoord of een geblokkeerd account, alleen volgens de juiste procedure handelen Er is geen beveiligingspatch beschikbaar voor stommiteit
40. Document opslag Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groepsdirectories Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up Vermijd langdurige opslag van gegevens op cd-roms, USB tokens, geheugenkaartjes, et cetera
41. Social Engineering
42. Draag uw toegangspas! Draag uw toegangspas tijdens het werk Begeleid mensen zonder toegangspas naar de receptie Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen Geef nooit iemand toegang door de deur open te houden zonder u af te vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de receptie
43. Wat kan er tegen Social Engineering ondernomen worden? Laat mensen zonder badge niet meelopen bij het naar binnengaan. Breng bezoekers naar de receptie Bij bellen, bij twijfel vragen om een terugbelnummer dat geverifieerd kan worden Vraag u af waarom een bepaald verzoek aan u wordt gedaan! Er zijn diverse onderzoeken geweest waarbij mensen hun wachtwoord gaven voor bijvoorbeeld een ballpoint! Draag altijd uw toegangspas binnen de werkruimten
44. Bedrijfsinformatie Dus Bescherm gemeentelijke informatie alsof uw baan er vanaf hangt, omdat uw baan er ook vanaf hangt!
Vragen?