10feb

Learn & Share bijeenkomst Informatieveiligheid

Digitale informatie is uiterst kwetsbaar. De explosieve toename van de hoeveelheid informatie kan daarom tot geen andere conclusie leiden, dan dat ook de beveiliging ervan moet worden aangescherpt. En daar zijn gemeenten voor een belangrijk deel verantwoordelijk voor.

Van alle informatie die digitaal beschikbaar is, stamt 90 procent uit de laatste twee jaar. Met dat feit opende burgemeester Frans Backhuijs de learn & share bijeenkomst over informatieveiligheid in het Stadshuis van Nieuwegein.
Inmiddels wordt er een enorme hoeveelheid informatie digitaal ontsloten, inclusief alle gevoelige informatie, bijvoorbeeld van en over burgers. De beveiliging ervan is dan ook een belangrijke verantwoordelijkheid van gemeenten. Backhuijs, tevens voorzitter van de Subcommissie Gemeentelijke Dienstverlening en Informatiebeleid van de landelijke VNG: “Als vroeger iemand een map met informatie in de trein liet liggen, was alleen die informatie beschikbaar. Als er nu een lek is, komt in het ergste geval alle informatie beschikbaar. Dat kunnen wij ons niet veroorloven. Informatie moet bij de overheid in betrouwbare handen zijn.”

Taskforce
Om de veiligheid van overheidsinformatie te verbeteren is  onder andere de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) in het leven geroepen. Harro Spanninga is accountmanager gemeenten van de taskforce en wees in zijn bijdrage nadrukkelijk op het gemak waarmee op informatiesystemen kan worden ingebroken en de vele incidenten die er op dat gebied al zijn geweest. “We zijn zoveel gaan digitaliseren, dat we daardoor naïef zijn geworden over wat je er allemaal mee kunt doen. Dat verklaart waarom er inmiddels dagelijks minstens twee vrij ernstige incidenten de media halen.”
Informatieveiligheid is tot op heden teveel het terrein van de ict’er geweest en te weinig van de bestuurder. De taskforce moet daar verandering in brengen. “Eind 2014 moet het thema informatieveiligheid beter verankerd zijn in de bestuurlijke omgeving.”

Ethische hack

In dat kader worden bestuurders in de eerste plaats op de gevaren gewezen. Dat die groot zijn bewees een demonstratie van een tweetal ‘ethische hackers’ van PWC. Zij lieten zien hoe makkelijk het is om, via een virus gekoppeld aan een pdf-bestand, een computer te kapen en in te zetten voor criminele activiteiten.
De gebruiker van die computer kan daar het nodige tegen doen, maar blijkt nog te vaak de zwakste schakel (“wachtwoorden blijven een probleem”) , zeker nu virussen en trojans steeds minder goed detecteerbaar zijn. “100 procent veiligheid is niet mogelijk”, zo luidde de boodschap. “Maar zorg in ieder geval dat je niet de zwakste bent. Want dan wordt je slachtoffer van een opportunistische hacker, en dat zijn de meeste hackers. Dus: installeer een goede virus scanner, scan regelmatig je computer en houdt de software up-to-date.”

Bestuurlijke verantwoordelijkheid
Ten tweede moeten bestuurders doordrongen raken van het feit dat het inderdaad hun verantwoordelijkheid is om hiermee aan de slag te gaan. “Het debat over informatieveiligheid is geen technisch debat, maar een sociaal-maatschappelijk en bestuurlijk debat”, benadrukte Pieter Tops, hoogleraar bestuurskunde aan de Universiteit van Tilburg en lid van het College van Bestuur van de Politieacademie.
Tops had daarvoor al een aantal redenen aangereikt om als bestuurder hiermee aan de slag te gaan. Zoals de komende decentralisaties, “Daardoor komt opeens veel meer privacygevoelige informatie bij gemeenten terecht, waar ook nog eens buitengewoon veel vanaf kan hangen voor mensen. Die informatie moet zo goed mogelijk worden beschermd.”
De georganiseerde misdaad is een andere reden voor gemeenten om informatie te beveiligen. “Informatie is voor criminelen van levensbelang. Wie is wanneer waarmee bezig bij de overheid,  en bij politie en justitie? Of je nu in de hennepteelt zit, of als malafide sportschool  geld witwast door de adressen van 2000 nietsvermoedende burgers in het klantenbestand op te nemen. Plus: informatie biedt buitengewoon interessante mogelijkheden om zaken te ontregelen.”
En dan is er nog het belang van de kwaliteit van de dienstverlening. “Ter verbetering daarvan worden steeds meer processen gedigitaliseerd. De burger moet de overheid kunnen vertrouwen dat die processen goed verlopen en dat de informatie die zij geven veilig is.”

Handelingsperspectief
Burgemeester Wouter de Jong van Houten gaf in een reactie aan behoefte te hebben aan een handelingsperspectief. “Wij zijn ons zeer bewust van de mogelijke problemen. Nu hoor ik graag wat we eraan kunnen doen.”
Volgens Spanninga biedt de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeenten' al de nodige aanknopingspunten. Deze bleek tijdens de Buitengewone Algemene Ledenvergadering (BALV) van 29 november 2013 op brede steun van de leden van de VNG te kunnen rekenen. “In de resolutie staat een handelingsperspectief met stappen die je als gemeente kunt nemen om de informatieveiligheid te vergroten. Voer een GAP-analyse uit (vergelijking tussen de huidige en de gewenste situatie, red.). Check of je gemeente werkt met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Controleer of de gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Zoniet, meldt u dan aan. Stel een beleidsplan informatieveiligheid vast. En richt het beleid omtrent informatieveiligheid vooral ook op managementniveau in, als ware het een regulier bedrijfsmiddel.”
Backhuijs voegde daar aan toe dat gemeenten ook de samenwerking met elkaar moeten opzoeken. “Door gezamenlijk op te trekken kunnen we de zaken beter regelen.” Het leidde nog tijdens de bijeenkomst tot concrete plannen.