Paragrafen

Bedrijfsvoering

Informatiebeveiliging

De dreiging, veroorzaakt door toenemende criminaliteit op internet, was in 2022 onverminderd hoog. Uit de media komt het beeld naar voren dat organisaties steeds vaker slachtoffer worden van afpersingspraktijken door het gijzelen van hun informatievoorziening. De cybercriminelen worden steeds professioneler en ICT-systemen bevatten steeds meer kwetsbaarheden doordat ze uitgebreider en complexer worden. Veelal maken deze ICT-systemen onderdeel uit van ketens waarbij verschillende organisaties betrokken zijn. Dit speelt in belangrijke mate bij de overheid. In 2022 is er een nieuw dreigingsbeeld gepubliceerd door de informatiebeveiligingsdienst (IBD), waarin op deze aspecten de nadruk ligt.
De speerpunten die de gemeente Velsen voor 2022 heeft geformuleerd sluiten aan bij dit dreigingsbeeld. Helaas is het niet mogelijk gebleken om ze ook allemaal in dat jaar te realiseren.

  • Patchmanagement: het adequaat up-to-date houden van softwaresystemen, met name als de updates belangrijke beveiligingsproblemen verhelpen. Hardening: het dichtmaken en houden van alle digitale deuren naar het internet die niet strikt noodzakelijk zijn. In 2022 zijn deze maatregelen op orde geweest. Kritieke beveiligingsupdates zijn snel geïnstalleerd en indien deze niet meteen voorhanden waren zijn snel maatregelen getroffen om het risico te minimaliseren. ICT-beheerder OGD heeft processen ingericht om digitale deuren naar internet gesloten te houden. Wat nog ontbreekt is vastgesteld beleid waarmee de verwachtingen over en weer helder gemaakt zijn.
  • Security Information and Event Management (SIEM): het geautomatiseerd uitlezen en analyseren van logbestanden waarmee verdacht netwerkverkeer kan worden gedetecteerd om daarvoor waarschuwingen af te kunnen geven. Security Operations Centre (SOC): team van specialisten die de waarschuwingen vanuit het SIEM-systeem analyseren en adviseren over de te ondernemen acties. Helaas is het niet gelukt om hier in 2022 een start mee te maken. Vanwege de afhankelijkheid van het project om de bestaande antivirussoftware te vervangen door Microsoft Defender is dit uitgesteld. Het SIEM-systeem is eveneens een product van Microsoft en biedt een veel betere integratie met Defender dan met de oorspronkelijke antivirussoftware.
  • Back-up: maken van reservekopieën. Deze kopieën moeten voor een deel buiten het netwerk worden gehouden en op een andere locatie bewaard worden om ze niet bloot te stellen aan kwaadaardige acties vanaf internet en/of lokale calamiteiten. Zeer belangrijk is dat getest wordt of de informatievoorziening kan worden hersteld met de gemaakte reservekopieën. Ook dit is een maatregel die op orde is. Back-ups worden dagelijks op tapes gemaakt die vervolgens uit het systeem worden gehaald en veilig worden opgeslagen. Ze zijn dan niet bereikbaar voor cybercriminelen, via internet. In theorie kan hiermee de hele informatievoorziening hersteld worden wanneer deze geheel onbruikbaar is geworden. Dit is echter nog nooit in zijn volle omvang getest omdat dit een grote investering en capaciteitsbeslag zou vergen. Aangezien Velsen in 2024 naar een volledig nieuwe werkplekomgeving gaat die wordt gefaciliteerd door de ICT-beheerder zou dit een desinvestering betekenen. Ook de wijze van het maken van back-ups wijzigt dan ingrijpend en komt geheel in handen te liggen van OGD. Beter is het om garanties van OGD te verkrijgen over het volledige herstel van de informatievoorziening na een desastreus incident.
  • Netwerksegmentering: compartimentering van het netwerk waarbij het verkeer tussen de compartimenten beperkt is en aan strikte beveiligingsregels is gebonden. Het netwerk van de gemeente Velsen is opgedeeld in segmenten maar er is ruimte voor verbetering. Dit zal echter planmatig moeten gebeuren waarbij heldere keuzes worden gemaakt. De uitvoering brengt vervolgens investering met zich mee. Ook hiervoor geldt dat, in het licht van de komende overgang naar de nieuwe werkplekomgeving, het beter is om hiervoor, in samenspraak met OGD, een plan te maken voor de nieuwe situatie en het dan (in 2024) uit te voeren.
  • Risicobewustzijn: het besef bij alle medewerkers, inclusief management en bestuur dat zij een sleutel tot de informatievoorziening hebben en zich daarom bewust zijn van de risico’s die dat met zich mee brengt. Dit moet er toe leiden dat zij altijd zo handelen dat de risico’s beperkt blijven. De directie heeft dit jaar besloten om trainingen op het gebied van informatiebeveiliging niet meer vrijblijvend aan te bieden maar deelname te verplichten. Dit jaar is de training Phishing, op die basis aan alle medewerkers aangeboden. Ondanks het verplichte karakter blijkt het bijzonder moeilijk te zijn om mensen te motiveren. Er zijn gesprekken gevoerd met de domeinmanagers. Zij stimuleren hun medewerkers om alsnog de training te doen maar het is de vraag of deze wijze van het kweken van risicobewustzijn de juiste weg is.

Uiteraard is het ook zaak om de gehele interne beheersing op basis van de Baseline Informatiebeveiliging Overheid (BIO) op orde te krijgen en te houden. Over de stand van zaken wordt de gemeenteraad geïnformeerd met een rapportage die separaat wordt aangeboden.
De ministeries van BZK en SZW vereisen een diepgaander en onafhankelijk onderzoek naar de beveiligingsmaatregelen rondom het gebruik van Suwinet en DigiD. Suwinet is een systeem dat wordt gebruikt voor het domein werk en inkomen en bevat gevoelige persoonsgegevens. Het onderzoek wordt uitgevoerd door een IT-auditor. Uit de gehouden pré-audit blijkt dat de gemeente Velsen aan alle gestelde normen voldoet. Ook hierover wordt de gemeenteraad geïnformeerd via de, eerder vermelde rapportage. Het college legt, uiterlijk 1 mei 2023, een verklaring af aan de ministeries over DigiD en Suwinet.

Privacy

Het implementeren van de Algemene Verordening Gegevensbescherming (AVG)  en de Wet Politiegegevens (Wpg) is een proces dat inzet en tijd kost. De organisatie heeft dit jaar opnieuw stappen gezet bij deze implementatie. Zo is de externe WPG-audit uitgevoerd. Op basis van de resultaten is er een verbeterplan opgesteld. Dit plan wordt tevens, zoals vereist, bij de Autoriteit Persoonsgegevens (AP) aangeboden.

Sinds de invoering van de AVG speelt privacy management een steeds belangrijkere rol. Het beschermen van persoonsgegevens is een noodzakelijk onderdeel geworden van het beveiligen en bewaren van informatie. Grip hebben op een privacy bestendige inrichting van processen en systemen is daarmee cruciaal. Om de implementatie en naleving van de privacywetgeving te borgen, is voor privacy de plan-do-check-act (PDCA) cyclus geïmplementeerd. Ook zijn er dit jaar weer regelmatig berichten gepost op het intranet om aandacht te vragen voor privacy. Denk hierbij aan het delen van vastgestelde procedures, leuke facts en uitleg over diverse onderwerpen zoals bijvoorbeeld datalekken.

In 2021 is er een rekenkameronderzoek uitgevoerd naar privacy en informatiebeveiliging. De uitkomst van het rapport werd dit jaar gepubliceerd. In het rapport zijn aanbevelingen opgenomen waar in 2023 aan gewerkt zal gaan worden. De privacycontactpersonen hebben zich verder ontwikkeld. Zij komen periodiek bijeen met de privacy officer om kennis uit te wisselen, resultaten te bespreken en de koers met elkaar te bepalen. Dit jaar is de focus gelegd op het uitvoeren van de dataprotection privacy impact analyses (DPIA’s, analyses om privacyrisico’s in kaart te brengen) en het actualiseren van het verwerkingsregister. De winst hiervan is terug te zien in de toename in het aantal opgeleverde DPIA’s. In 2022 is er nieuw privacybeleid voor de gemeente Velsen opgesteld. Daarnaast is er een procedure voor rechten van betrokkenen vastgesteld en wordt er hard gewerkt aan het opstellen van een procedure voor het uitvoeren van een DPIA. De procedures scheppen duidelijkheid over de verantwoordelijkheden van de proceseigenaren, de uit te voeren processtappen en dragen bij aan een uniforme werkwijze.

Deze pagina is gebouwd op 08/29/2023 15:54:47 met de export van 08/29/2023 15:34:32