2008 - Zakboekje Preventie Cybercrime
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View 2008 - Zakboekje Preventie Cybercrime as PDF for free.
More details
- Words: 7,595
- Pages: 38
Zakboekje preventie cybercrime Voor management en bestuur van gemeenten
Zakboekje preventie cybercrime Voor management en bestuur van gemeenten
ZAKBOEKJE PREVENTIE CYBERCRIME – Voor management en bestuur van gemeenten OPDRACHTGEVER Annemarie Zielstra, NICC/ICTU AUTEURS Marcel Spruit, HEC Boudien Glashouwer, HEC Den Haag, Stichting Het Expertise Centrum ISBN-978-90-75239-33-1 KLANKBORDGROEP Ruud Groenendijk, EGEM Ton de Haar, Coördinatiepunt ICT Gemeenten CP-ICT Gerard van Kruining, Gemeente Albrandswaard, VIAG Antoinette van Leeuwen, Gemeente Zeist, VIAG Jan Lucius, Optimisd John Otten, Getronics PinkRoccade Erik Slingerland, Centric Gerard Stroeve, Centric 1e druk, april 2008 ONTWERP OMSLAG EN BINNENWERK Smidswater, Den Haag/Breda LITHOGRAFIE / DRUK Veenman Drukkers, Rotterdam
© 2008 Stichting Het Expertise Centrum Niets uit dit werk mag worden verveelvoudigd en / of openbaar gemaakt door middel van druk, fotokopie, microfilm, elektronisch of op welke andere wijze dan ook, daaronder mede begrepen gehele of gedeeltelijke bewerking van het werk, zonder voorafgaande schriftelijke toestemming van Stichting Het Expertise Centrum.
Zakboekje preventie cybercrime Voor management en bestuur van gemeenten
Marcel Spruit Boudien Glashouwer (HEC)
Voorwoord De Nederlandse gemeenten zijn druk bezig met het opzetten en uitbreiden van hun elektronische dienstverlening. Steeds meer gegevens worden uitgewisseld met burgers en bedrijven. Het voor iedereen toegankelijke Internet biedt hiervoor een snel en goedkoop medium. De brede toe gankelijkheid van het Internet heeft echter een keerzijde. Zonder adequate beveiliging kunnen gegevens, bijvoorbeeld de belastinggegevens van burgers, ‘op straat’ belanden. Veel vitale gemeentelijke objecten, zoals sluizen en waterzuiverings installaties, worden op afstand bestuurd. In eerste instantie werden hiervoor huurlijnen gebruikt die specifiek voor de te besturen objecten aangelegd waren. Het Internet biedt hiervoor een goedkoop alternatief. Daarom worden de huurlijnen steeds meer vervangen door goedkopere internetverbindingen. Dat maakt deze systemen echter ook bereikbaar voor cybercriminelen en terroristen. Bij onvoldoende aandacht voor ICT- en informatiebeveiliging kan zelfs de fysieke veiligheid van de bevolking in gevaar komen. Beveiliging van de gemeentelijke informatievoorziening is een randvoor waarde voor de elektronische dienstverlening en het op afstand besturen van vitale objecten. Goede documentatie hierover, zoals het Handboek Informatiebeveiliging van de VIAG, is weliswaar beschikbaar, maar deze documentatie is vooral geschreven voor degenen die de informatie beveiliging uit moeten voeren en niet voor degenen die hierover moeten beslissen. Om deze lacune te dichten, wordt in dit boekje een aantal handvatten voor het inrichten en aansturen van informatiebeveiliging beschreven. Daarmee kan de beheersing van de risico's van cybercrime worden verbeterd. Het boekje is geschreven voor het gemeentelijke management, maar ook voor de burgemeester en wethouders, de gemeenteraad, de accountant en de lokale rekenkamer. De praktische tips kunnen helpen informatiebeveiliging op niveau te krijgen en te houden.
6
ZAKBOEKJE PREVENTIE CYBERCRIME
Inhoudsopgave Voorwoord
Hoofdstuk 1
Inleiding
7
Hoofdstuk 2
Bedreigingen, risico’s en maatregelen
4
9
Hoofdstuk 3
Het organiseren van informatiebeveiliging
11
3.1 De rol van het management
11
3.2 De informatiebeveiligingsfunctionaris
12
3.3 De stuurgroep informatiebeveiliging
13
3.4 De informatiebeveiligingsauditor
13
3.5 Het projectteam informatiebeveiliging
13
Hoofdstuk 4
Twee sporen voor informatiebeveiliging
15
4.1 Grote gaten dichten
15
4.2 Baseline voor de informatiebeveiliging
16
4.3 Kritische informatiesystemen beveiligen
17
Hoofdstuk 5
Informatiebeveiliging en uitbesteding
19
5.1 Uitbesteden van informatiebeveiliging
19
5.2 De regieorganisatie
21
Hoofdstuk 6
Praktische tips
23
6.1 Controleer uw beeld
6.2 Koester goede mensen
23
6.3 Werk aan bewustwording
24
6.4 Integreer informatiebeveiliging
25
6.5 Inventariseer wet- en regelgeving
25
6.6 Gebruik standaarden
26
6.7 Leer van incidenten
27
6.8 Leer van anderen
28
ZAKBOEKJE PREVENTIE CYBERCRIME
23
7
Hoofdstuk 7
Checklist voor de manager
29
7.1 Informatiebeveiliging op niveau krijgen
29
7.2 Informatiebeveiliging op niveau houden
30
Hoofdstuk 8
Tot slot
31
Literatuurlijst
33
Trefwoordenlijst
34
8
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 1
Inleiding
Het programma Nationale Infrastructuur Cybercrime (NICC), onder gebracht bij ICTU, heeft als doel te komen tot een nationale infrastructuur ter bestrijding van cybercrime. De huidige opzet van de bestrijding van cybercrime in Nederland is te gefragmenteerd. Op diverse plaatsen en in verschillende maatschappelijke sectoren worden functies ter bestrijding van cybercrime ingevuld, maar van een geïntegreerde aanpak is onvoldoen de sprake. Het programma NICC stelt zich tot doel om door middel van publiekprivate experimenten de opzet en inrichting van een geïntegreerde aanpak, oftewel een nationale infrastructuur voor cybercrimebestrijding in Nederland, te stimuleren. Overheidsorganisaties maken momenteel werk van het op elektronische wijze bedienen van burgers en bedrijven. Een papieren aangifte wordt een uitzondering. Het Internet is daarbij onontbeerlijk. Uit vooronderzoek is gebleken dat gemeenten op het niveau van management en bestuur nog te weinig aandacht hebben voor het beveiligen van informatie en het integreren hiervan in de bedrijfsvoering. Toch is informatie een cruciaal bedrijfsmiddel, dat net als andere bedrijfsmiddelen waarde heeft voor de organisatie en voortdurend moet zijn beschermd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. De verantwoordelijkheid hiervoor hoort dan ook bij het management thuis. Uit onderzoek van het NICC bleek dat informatiebeveiliging nog te veel gezien wordt als een zaak van de gemeentelijke ICT-afdeling. Het manage ment houdt zich nog te veel afzijdig van dit belangrijke onderwerp. Dit leidt ertoe dat de inrichting van de informatiebeveiliging te weinig effectief is. Dit uit zich onder meer in kwetsbaarheid voor cybercrime, oftewel computer criminaliteit waarbij gebruik gemaakt wordt van het Internet. De meeste gemeenten bleken in meerdere of mindere mate kwetsbaar te zijn voor cybercrime. Ontwikkelingen die gaande zijn, zoals het invoeren van mid office-systemen en het besturen van vitale objecten via internetverbindingen, kunnen deze kwetsbaarheid verder vergroten.
ZAKBOEKJE PREVENTIE CYBERCRIME
9
Uit bovengenoemd onderzoek bleek ook dat praktische handvatten voor het management en het bestuur van gemeenten zou kunnen helpen om tot actie over te gaan. Dit boekje beoogt hieraan tegemoet te komen. Het richt zich op de managementaspecten van informatiebeveiliging, zonder gebruik van vakjargon en 'overbodige' details. Met name het management staat aan de lat voor het opstellen van een gemeentelijk beveiligingsbeleid en het definiëren van een basis beveiligingsniveau. Hoe meer aandacht u heeft voor fouten die medewerkers maken en hoe moeilijker u het criminelen maakt, hoe minder kwetsbaar u zult zijn. Het adresseren van dit onderwerp hoeft niet veel tijd te kosten als u de juiste opmerkingen maakt, de juiste rapportages vraagt en vragen aan de juiste personen in uw organisatie stelt. Dit boekje helpt u daarbij op weg.
10
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 2
Bedreigingen, risico’s en maatregelen
In elke organisatie, dus ook in een gemeente, is een grote variëteit aan gegevens te vinden. Een groot deel hiervan is digitaal. Digitale gegevens bevinden zich in computersystemen, maar ook in PDA’s, mobieltjes, USB-sticks, MP3-spelers, toegangspassen, etc. De gegevens zijn nodig voor de administratieve processen, zoals planning en control, financiën en bevolkingsadministratie, voor de interactie met burgers en bedrijven, via de website, e-mail, geprinte brieven en formulieren en voor het besturen van vitale objecten, zoals bruggen, sluizen, stoplichten en waterzuivering. In een gemeentelijke organisatie zijn veel van de digitale gegevens zo belangrijk dat de organisatie niet meer zonder deze gegevens kan functio neren. De grote diversiteit van de gegevens en de gegevensdragers maken deze gegevens echter kwetsbaar voor bedreigingen. Denk bijvoorbeeld aan verlies, diefstal, vervalsing en fraude, maar ook aan brand, bliksem, waterschade en elektriciteitsstoring. Niet elke bedreiging is even erg. Sommige bedreigingen komen zelden voor, of leiden tot marginale schade. Maar andere bedreigingen komen wel vaak voor en leiden misschien ook nog tot grote schade in verschillende vormen. Daarom is het niet zinvol om zomaar tegen alle bedreigingen maatregelen te treffen. Beter is het om de ergste bedreigingen te identificeren en daar tegen maatregelen te treffen. Om die bedreigingen te vinden, moet men niet naar de bedreigingen kijken, maar naar de risico’s. De risico’s zijn namelijk een maat voor de schade die men kan verwachten door toedoen van de bedreigingen. De schade kan financieel zijn, maar kan ook betrek king hebben op andere negatieve gevolgen, zoals imagoschade, of slacht offers bij ongelukken.
ZAKBOEKJE PREVENTIE CYBERCRIME
11
Som van risico’s
Onacceptabel Acceptabel
Kosten van maatregelen Figuur 1. De relatie tussen risico’s en de kosten van maatregelen
Door beveiligingsmaatregelen te treffen, kan men de schade door bedreigin gen die zich manifesteren reduceren. De som van de resterende risico’s neemt dan af. Maar er zijn wel kosten verbonden aan het treffen van maat regelen, zowel voor het invoeren van de maatregelen, als voor het onder houden ervan. Als er echter te weinig maatregelen getroffen worden, dan kunnen bedreigingen tot onacceptabele situaties leiden. Daar staat tegen over dat als er te veel maatregelen getroffen worden, dat de organisatie dan ‘penny wise, pound foolish’ bezig is; men geeft euro’s uit om dubbeltjes te beschermen. Dit laatste lijkt misschien niet zo erg, maar het is niet alleen te duur; het hindert ook de medewerkers bij het uitvoeren van hun werk. Al met al is het treffen van een combinatie van passende maatregelen geen sinecure. Het selecteren van de juiste maatregelen is al lastig. Daarbij spe len beveiligingsbaselines en risicoanalyses een rol. Ook bij het zoeken naar het optimum tussen te weinig en te veel maatregelen. Na het selecteren van de maatregelen moeten ze goed ingevoerd en onderhouden worden. Ook dit gaat niet vanzelf en vergt aan de ene kant kennis en inzicht en aan de andere kant tijd en geld. Dit maakt informatiebeveiliging een lastige discipline, die echter broodnodig is voor de goede gang van zaken binnen een gemeente.
12
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 3
Het organiseren van informatiebeveiliging
3.1 De rol van het management Informatiebeveiliging moet voor de goede gang van zaken binnen een gemeente goed uitgevoerd worden. Het management speelt daarbij een cruciale rol. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management het beleid voor informatiebeveiliging op, draagt het uit naar de organisatie en onder steunt en bewaakt de uitvoering ervan. Het management moet informatiebeveiliging zien als een integraal onder deel van de bedrijfsvoering, specifiek gericht op het beheersen van de risico’s ten aanzien van de informatiesystemen en de ICT-infrastructuur. En net als de andere onderdelen van de bedrijfsvoering heeft de informatie beveiliging regelmatig aandacht van het management nodig. Het management zal enige kennis en inzicht op het gebied van informatie beveiliging moeten hebben om de juiste keuzes te kunnen maken. Het management kan weliswaar allerlei werk op het gebied van informatie beveiliging delegeren of uitbesteden, maar de eindverantwoordelijkheid voor informatiebeveiliging en het maken van de primaire keuzes blijft op het bordje van het management liggen. Ook het aanwijzen van de medewerkers die een rol krijgen bij de informatie beveiliging en het toewijzen van de daarbij behorende taken, verantwoorde lijkheden en bevoegdheden gebeurt door het management. Hiermee maakt het management een begin met de invulling van informatiebeveiliging. Een goed begin is het halve werk. In dit geval komt dat neer op het toewijzen van taken, verantwoordelijkheden en bevoegdheden aan capabele mede werkers die voldoende tijd en middelen krijgen om hun taken serieus uit te voeren. Bovendien moeten de betreffende medewerkers kunnen rekenen op voldoende ruggensteun van het management en moet er serieus aandacht worden besteed aan de rapportages over incidenten en de behaalde resultaten.
ZAKBOEKJE PREVENTIE CYBERCRIME
13
Vanzelfsprekend dienen incidenten dan ook te worden gemeten en moet duidelijk zijn hoe moet worden gehandeld als zij zich voordoen. Snel en in beslotenheid handelen is dan cruciaal. Anders zijn sporen al uitgewist. Bij het toewijzen van taken, verantwoordelijkheden en bevoegdheden spelen twee aspecten een rol: 1) het eigenaarschap van processen en informatie systemen en 2) de beveiligingstaken. Als de informatiebeveiliging in project vorm op een hoger niveau getild wordt, dan is daarnaast nog een projectorganisatie nodig. Het eigenaarschap van processen en informatiesystemen ligt in het algemeen bij lijnmanagers. Een lijnmanager is eigenaar van de processen en systemen binnen zijn organisatieonderdeel. Als eigenaar moet de betreffende lijnmanager er onder meer voor zorgen dat zijn processen en informatiesystemen voldoende beveiligd zijn. De taken die hiervoor uitgevoerd moeten worden, kan de manager delegeren of uitbesteden. De belangrijkste beveiligingsfunctie is het management. Het management is uiteindelijk verantwoordelijk voor de centrale coördinatie en aansturing van de informatiebeveiliging. Binnen het managementteam is in het algemeen één persoon de portefeuillehouder voor informatiebeveiliging. De overige beveiligingstaken komen grotendeels terecht bij verschillende beveiligingsfuncties. De belangrijkste hiervan zijn: • De informatiebeveiligingsfunctionaris. • De stuurgroep informatiebeveiliging. • De informatiebeveiligingsauditor. • Het projectteam informatiebeveiliging.
3.2 De informatiebeveiligingsfunctionaris De informatiebeveiligingsfunctionaris is een deskundige op het gebied van informatiebeveiliging en adviseur van het management. De informatie beveiligingsfunctionaris ondersteunt bij de informatiebeveiliging, maar is niet verantwoordelijk voor de informatiebeveiliging. De verantwoordelijk heid blijft bij het management liggen. De informatiebeveiligingsfunctionaris ondersteunt het management bij het opstellen van het informatiebeveiligingsbeleid, het uitdragen van dit beleid en het bewaken van de naleving ervan. Bovendien is de informatie beveiligingsfunctionaris het aanspreekpunt op het gebied van informatie beveiliging voor de lijnmanagers. Daarnaast ondersteunt de informatiebeveiligingsfunctionaris de organisatie bij het uitvoeren van risicoanalyses, het ontwerpen van beveiligingsmaatregelen, het installeren en onderhouden
14
ZAKBOEKJE PREVENTIE CYBERCRIME
van beveiligingsapparatuur, het registreren van beveiligingsincidenten, het uitvoeren van self-assessments en het overleggen met externe beveiligingspartijen. De informatiebeveiligingsfunctionaris wordt in het algemeen in een staf positie geplaatst. De functiewaardering en de omvang van de functie kan per gemeente verschillen door grootte en complexiteit van de problematiek. Globaal wordt gedacht aan ten minste HBO-niveau met een aanvullende informatiebeveiligingsopleiding en projectleiders- en communicatie vaardigheden.
3.3 De stuurgroep informatiebeveiliging Het is in het algemeen nuttig een stuurgroep voor informatiebeveiliging in te stellen, onder voorzitterschap van de portefeuillehouder voor informatie beveiliging uit het managementteam. In de stuurgroep zitten vertegen woordigers van verschillende groepen uit de organisatie met mogelijk verschillende belangen ten aanzien van informatiebeveiliging. In de stuur groep kunnen nieuwe ontwikkelingen en problemen op het gebied van informatiebeveiliging besproken en bediscussieerd worden. Doordat ver schillende groepen uit de organisatie in de stuurgroep vertegenwoordigd zijn, is er in het algemeen een breder draagvlak voor beslissingen die in de stuurgroep genomen worden.
3.4 De informatiebeveiligingsauditor De informatiebeveiligingsauditor ondersteunt het management bij het vormen van een oordeel over informatiebeveiligingsaangelegenheden. Het is wenselijk deze verantwoordelijkheid niet bij de informatiebeveiligings functionaris te beleggen, omdat de laatste een belangrijke rol speelt bij het realiseren van de informatiebeveiliging. Vanuit een oogpunt van onafhanke lijke oordeelsvorming is het beter om beide functies gescheiden te houden.
3.5 Het projectteam informatiebeveiliging Als informatiebeveiliging in projectvorm op een hoger niveau getild moet worden, dan is voor het ontwerp en de inrichting van de informatie beveiliging een projectorganisatie nodig. Dit is in ieder geval nodig als het verbeteren van de informatiebeveiliging niet door de beschikbare mensen naast hun dagelijkse werkzaamheden uitgevoerd kan worden. Dit is veelal het geval als informatiebeveiliging vanuit een duidelijke achterstandspositie op een redelijk niveau gebracht moet worden. Binnen het project team moet dan voldoende oog zijn voor het integreren van informatiebeveiliging in de organisatie.
ZAKBOEKJE PREVENTIE CYBERCRIME
15
16
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 4
Twee sporen voor informatiebeveiliging
Eerder is al aangegeven dat informatiebeveiliging begint bij het manage ment. Het management stelt het beleid hiervoor op, draagt het uit, wijst taken, verantwoordelijkheden en bevoegdheden toe en bewaakt de gang van zaken. Als de informatiebeveiliging goed geregeld is dan krijgt het manage ment een pluim en moet ze vooral doorgaan op de ingeslagen weg. Als de informatiebeveiliging echter nog niet goed geregeld is, dan ligt er in eerste instantie werk voor het management. De volgorde van de globaal te nemen stappen wordt in figuur 2 getoond.
Grote gaten dichten Spoor 1 Baseline-beveiliging Spoor 2
Prioriteit
Kritische systemen beveiligen
1 mnd
1 jaar
Tijd
Figuur 2. De tweesporenaanpak
4.1 Grote gaten dichten Wanneer informatiebeveiliging nog niet goed geregeld is, is het nodig om eerst de urgente ‘grote gaten’ te dichten. Dit heeft betrekking op de bedrei gingen die morgen al tot een ernstig incident zouden kunnen leiden en waarvoor de beveiligingsmaatregelen echt niet kunnen wachten. De porte feuillehouder voor informatiebeveiliging uit het managementteam kan, in overleg met de ervaren informatiebeveiligingsfunctionaris, in korte tijd een
ZAKBOEKJE PREVENTIE CYBERCRIME
17
eerste inschatting maken welke bedreigingen tot onacceptabele risico’s leiden en daarom met spoed aangepakt moeten worden. Tegen deze bedreigingen moeten direct maatregelen getroffen worden, zonder over bodige rompslomp. In de categorie ‘grote gaten’ vallen bedreigingen zoals fraude, misbruik, hacking, virus en systeemuitval. Bijbehorende maatregelen zijn bijvoorbeeld functiescheiding, een autorisatiesysteem met logging, een firewall, anti virussoftware en backup. Als er nog geen ervaren informatiebeveiligings functionaris is, dan valt dat ook in deze categorie en moet er haast gemaakt worden met het zoeken en aanstellen van een geschikte functionaris. Zo nodig kan tijdelijk een externe voor deze positie ingezet worden. De volgende stap heeft tot doel de informatiebeveiliging goed op de rails te zetten. Hierin kunnen we twee sporen onderscheiden. Het eerste spoor richt zich op het realiseren van een zogenaamde baseline voor de informatiebeveiliging. Het tweede spoor richt zich op het grondig onder de loep nemen van de kritische informatiesystemen om te kijken of voor die systemen aanvullende beveiliging nodig is.
4.2 Baseline voor de informatiebeveiliging Nadat de grote gaten gedicht zijn kan de informatiebeveiliging op de rails gezet worden. Het eerste spoor daarin is het realiseren van een zogenaamde baseline voor de informatiebeveiliging. Dit is een samenhangende verzame ling maatregelen die organisatiebreed ingevoerd worden. Voor een brede invoering kunnen verschillende redenen zijn: • Sommige maatregelen werken van zichzelf organisatiebreed, zoals bijvoorbeeld toegangspoortjes bij de ingang. • Sommige maatregelen gelden normaal gesproken voor alle medewerkers, zoals bijvoorbeeld gedragsregels. • Sommige maatregelen werken effectiever of efficiënter als ze organisatie breed ingevoerd worden, zoals bijvoorbeeld een centrale firewall. De baseline voor de informatiebeveiliging kan beschouwd worden als een minimumniveau voor de informatiebeveiliging. In de praktijk is gebleken dat een baseline voor verschillende organisaties ongeveer op dezelfde lijst maatregelen uitkomt, zelfs voor organisaties uit verschillende branches. Vandaar dat er richtlijnen verschenen zijn, waarin beschreven staat welke maatregelen normaal gesproken in de baseline opgenomen zouden moeten worden.
18
ZAKBOEKJE PREVENTIE CYBERCRIME
De meest bekende richtlijn voor de baseline voor informatiebeveiliging is de ‘Code voor informatiebeveiliging’. Inmiddels is deze richtlijn een inter nationale ISO-standaard geworden, met het nummer ISO/IEC 27002 (voorheen 17799). De Code voor informatiebeveiliging kan men hanteren als een checklist waarmee met controleert of alle relevante maatregelen getroffen zijn. Een bijkomend voordeel van het toepassen van de Code voor informatie beveiliging is dat de inrichting van de informatiebeveiliging vergelijkbaar en afstembaar is met die van andere organisaties, bijvoorbeeld ketenpartijen. De wereld verandert voortdurend, zodat regelmatig gecontroleerd moet worden of de maatregelen in de baseline nog wel voldoen. Het is raadzaam om informatiebeveiliging op een natuurlijke manier in te bedden in de activiteiten van de organisatie, zodat informatiebeveiliging mee kan liften met de onderhoudsprocessen in de organisatie.
4.3 Kritische informatiesystemen beveiligen Het tweede spoor richt zich op de informatiesystemen die zo belangrijk voor de organisatie zijn dat een stagnatie in deze systemen al snel leidt tot onacceptabele schade. Dit kunnen administratieve informatiesystemen zijn, zoals de GBA, of het financiële systeem, maar ook procesbesturings systemen voor bijvoorbeeld de waterzuivering, de riolering en het besturen van bruggen en sluizen. Stagnatie in dergelijke systemen kan leiden tot grote schade voor de gemeente zelf, of voor de omgeving. Daarom worden hoge eisen gesteld aan de beveiliging ervan. De eisen zijn zo hoog dat men er niet op voorhand van uit kan gaan dat de baseline voor de informatie beveiliging ook voor deze systemen een voldoende beveiligingsniveau biedt. Het is daarom nodig om deze informatiesystemen en de risico’s die daaraan kleven nader te analyseren. Hiervoor maakt men gebruik van risico analyse. Binnen de overheid wordt vaak de methode ‘Afhankelijkheids- en Kwetsbaarheidsanalyse’, oftewel A&K-analyse, toegepast. Net als bij andere methoden voor risicoanalyse, is het uitvoeren van een A&K-analyse specialistenwerk. De gebruikelijke gang van zaken is dat eerst door het management bepaald wordt welke processen kritisch zijn voor de organisatie of de omgeving. Ieder van deze processen heeft, of krijgt, een manager die als eigenaar van het proces beschouwd kan worden. De eigenaar stuurt zijn proces aan en is aanspreekbaar voor de goede gang van zaken in het proces. De eigenaar van een kritisch proces bepaalt welke informatiesystemen het betreffende proces kunnen verstoren.
ZAKBOEKJE PREVENTIE CYBERCRIME
19
Voor ieder van deze informatiesystemen wordt een risicoanalyse uitgevoerd. De eigenaar van het proces is daarvoor verantwoordelijk. Elke risicoanalyse resulteert in een lijst met maatregelen die nodig zijn om het onderzochte systeem te beveiligen. Alle maatregelen die nog niet in de baseline voor de informatiebeveiliging zitten, moeten als aanvulling daarop getroffen worden. De aanvullende maatregelen vallen vervolgens onder dezelfde beveiligings- en onderhoudsprocessen als de maatregelen in de baseline. Ook voor de kritische systemen verandert de wereld voortdurend, zodat regelmatig, bijvoorbeeld jaarlijks, gecontroleerd moet worden of de risico analyses en de daaruit voortvloeiende maatregelen nog wel actueel zijn.
20
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 5
Informatiebeveiliging en uitbesteding
Het goed realiseren van informatiebeveiliging in een gemeente is lastig. Sommige managers besteden dit bij voorkeur uit. Vooral als de automati sering al geheel of gedeeltelijk uitbesteed is aan een externe partij, dan leeft er al gauw het idee dat ‘zij de beveiliging er wel bij kunnen doen’. Daar zitten echter twee adders onder het gras. Ten eerste is informatiebeveiliging meer dan het treffen van beveiligings maatregelen in de automatisering. Informatiebeveiliging omvat ook het aansturen en coördineren van de informatiebeveiliging en tevens het beveiligen van de niet-geautomatiseerde informatiesystemen. Dit valt allemaal niet onder de automatisering en kan dan ook niet neergelegd worden bij de externe partij waaraan de automatisering uitbesteed is. Ten tweede is uitbesteden geen wondermiddel. Uitbesteden betekent niet dat alleen de dienstverlener werk verricht, maar dat beide partijen inspanning leveren, dus ook de opdrachtgever, in dit geval de gemeente. De regieorganisatie speelt hierbij een belangrijke rol. Het werk van de regieorganisatie is niet uit te besteden.
5.1 Uitbesteden van informatiebeveiliging Uitbesteden is weliswaar geen wondermiddel, maar kan in veel situaties zeer nuttig zijn. Ook voor informatiebeveiliging binnen een gemeente is uitbesteden een reële optie, zij het dat niet de hele informatiebeveiliging uit te besteden is. Bij het uitbesteden van delen van de informatiebeveiliging moet onderscheid gemaakt tussen de volgende twee zaken: • Het uitbesteden van informatiebeveiligingstaken of -diensten. Een voor beeld hiervan is het uitbesteden van de inrichting en het beheer van de firewall aan een daarin gespecialiseerd beveiligingsbedrijf. • Het (mee) uitbesteden van het aspect informatiebeveiliging. Een voor beeld hiervan is het uitbesteden van (een deel van) de automatisering. Normaal gesproken zorgt de externe dienstverlener dan ook voor het beveiligen van deze automatisering.
ZAKBOEKJE PREVENTIE CYBERCRIME
21
Uitbesteden kan gebeuren aan een commerciële externe marktpartij, maar kan ook gebeuren aan een Shared Services Organisatie, of aan een andere gemeente. In alle gevallen is, gezien vanuit de uitbestedende gemeente, sprake van een externe partij. Uitbesteden heeft voordelen, maar ook nadelen. Voordelen zijn onder meer dat een in informatiebeveiliging gespecialiseerde leverancier informatie beveiliging beter kan regelen, en wellicht, door schaalvoordelen, ook nog goedkoper. De eigen organisatie kan zich dan weer toeleggen op haar kern taken. Uitbesteden heeft echter ook nadelen, zoals afhankelijkheid van de dienstverlener, inflexibiliteit door ‘afspraak is afspraak’ en extra kosten voor onder andere winst- en risicomarge. In de praktijk rekenen veel organisa ties, ook gemeenten, zich rijk bij het maken van plannen voor uitbesteding. Als de uitbesteding eenmaal gerealiseerd is, blijkt de situatie veel minder rooskleurig te zijn. Dan blijkt bijvoorbeeld een informatiebeveiligingsdienst niet zo goed(koop) te zijn als gedacht, of bij een automatiseringsdienst blijkt de beveiliging niet ingecalculeerd te zijn. Voor uitbesteden geldt: ‘bezint eer ge begint’. Als een gemeente delen van de informatiebeveiliging wil uitbesteden, dan start het uitbestedingsproces op. Dit proces doorloopt achtereenvolgens de besluitvormingsfase, de selectiefase, de transitiefase en de dienstverleningsfase. In de besluitvormingsfase wordt aan de hand van een businesscase beoor deeld of, en in welke mate, uitbesteding zinvol is. In de selectiefase wordt een geschikte dienstverlener geselecteerd en daar worden afspraken mee gemaakt. De afspraken komen in een formeel document, een Service Level Agreement (SLA). Als de uitbesteding betrekking heeft op het aspect informatiebeveiliging van, bijvoorbeeld, uit te besteden automatisering, dan komen in de SLA voor de betreffende automatisering de afspraken over de beveiliging ervan te staan. Aangezien de gemeente eindverantwoordelijk is voor de informatiebeveiliging, moet zij zelf aangeven welk beveiligings niveau nodig is. Na het afsluiten van de SLA vindt de transitie plaats naar de uitbestede situatie. In de dienstverleningsfase is de uitbesteding een feit en levert de dienstverlener de overeengekomen diensten. In de dienstverleningsfase is de dienstverlener verantwoordelijk voor de te leveren diensten. Toch is het nodig dat de gemeente, als opdrachtgever, ook zelf bewaakt dat de dienstverlener blijft voldoen aan de afspraken, en de dienstverlener direct informeert als er afwijkingen geconstateerd worden.
22
ZAKBOEKJE PREVENTIE CYBERCRIME
Daarnaast moet de gemeente eventuele wijzigingen in de eigen situatie tijdig doorgeven aan de dienstverlener, zodat de dienstverlener de mogelijk heid heeft om de dienstverlening aan te passen aan de gewijzigde behoefte.
5.2 De regieorganisatie Het bewaken van de dienstverlening en het aansturen van de dienstverlener is een continue activiteit die belegd wordt bij een specifiek organisatie onderdeel, de regieorganisatie. Gemeenten hebben het aansturen van hun externe partijen veelal ondergebracht in één regieorganisatie, maar er kunnen ook meerdere regieorganisaties zijn. In de regieorganisatie voor de partijen die informatiebeveiligingsdiensten leveren, zitten medewerkers met kennis en inzicht op het gebied van informatiebeveiliging, en kennis en inzicht op het gebied van aansturing van externe partijen. Het goed aansturen van externe partijen wordt vaak onderschat, zowel in belang als in moeilijkheidsgraad. Het is belangrijk dat in de regieorganisatie capabele medewerkers zitten met voldoende tijd en middelen voor hun taken. Om de dienstverlening bij de dienstverlener op locatie te kunnen contro leren, kan de regieorganisatie zelf audits uitvoeren, of een onafhankelijke auditorganisatie audits uit laten voeren. In beide gevallen moeten hierover duidelijke afspraken gemaakt zijn in de SLA. Bovendien moeten afspraken gemaakt zijn over hoe beide partijen omgaan met de geconstateerde gebreken en deze ook managen (SLM).
ZAKBOEKJE PREVENTIE CYBERCRIME
23
24
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 6
Praktische tips
6.1 Controleer uw beeld Informatiebeveiliging is noodzakelijk. Onderzoeken uit de praktijk laten zien dat veel cybercrime en bedreigingen op een gemeente afkomen. Als manager sta je hier veelal niet bij stil. Zonder beveiligingsmaatregelen zouden aan de lopende band incidenten optreden. Gelukkig zijn er binnen vrijwel elke gemeente op ad hoc basis al heel wat maatregelen getroffen. Vaak geïnitieerd door de betrokken uitvoerende medewerkers, zoals ICTen personeelsfunctionarissen. Veel incidenten worden hierdoor al voor komen. Maar niet allemaal. Dat ene ernstige incident dat juist niet voorkomen wordt, kan morgen optreden. In de praktijk treden al veel, meestal kleine, incidenten op, ondanks de getroffen maatregelen. Op basis van het ad hoc karakter van informatiebeveiliging kan geen enkele garantie gegeven worden dat er effectief en efficiënt tegen bedreigingen opgetreden wordt. Managers krijgen in het algemeen te weinig informatie over informatie beveiliging, zodat zij hun ideeën over wat er kan gebeuren, en de ernst ervan, te weinig kunnen baseren op objectieve feiten. Daardoor onderschatten ze veelal het belang en laten het ad hoc karakter van informatiebeveiliging toe. Het gaat te ver om van alle managers te vragen om zich op de hoogte te stellen van de laatste onderzoeksrapporten, maar managers kunnen zich wel kort en bondig op de hoogte laten stellen door deskundigen van binnen of van buiten de organisatie. Dit bevordert bovendien de dialoog over infor matiebeveiliging tussen het management en andere medewerkers met taken op het gebied van informatiebeveiliging.
6.2 Koester goede mensen Informatiebeveiliging is lastig en tijdrovend. Te lastig en tijdrovend om helemaal op het bordje van het management te liggen. Daarom hebben managers goede medewerkers voor informatiebeveiliging nodig. Deze kunnen de managers ondersteunen en werk uit handen nemen, zodat de managers hun handen vrij hebben voor visie, beleid, coördinatie en aansturing op het gebied van informatiebeveiliging. De managers
ZAKBOEKJE PREVENTIE CYBERCRIME
25
hebben hier hun handen vol aan. De medewerkers kunnen het uitvoerende werk voor informatiebeveiliging doen. In de praktijk blijkt echter dat managers informatiebeveiligingstaken nogal eens toewijzen aan mede werkers die daar niet voldoende tijd voor hebben en bovendien de benodigde integrale kennis en inzicht missen om informatiebeveiliging effectief en efficiënt aan te pakken. Daardoor ondersteunen deze mede werkers het management onvoldoende en bovendien maken ze sneller fouten, wat weer tot incidenten kan leiden. Managers moeten voldoende aandacht hebben voor het vinden en aannemen van goede en goed geschoolde medewerkers. Goede medewerkers vinden en aannemen is cruciaal voor informatie beveiliging, maar nog niet voldoende. Goede medewerkers kunnen overal werk vinden. Daarom is het belangrijk om deze mensen aan de organisatie te binden met uitdagend werk, voldoende autonomie, goede ontplooiings mogelijkheden en een redelijke beloning. Bovendien is het nodig om medewerkers ook op langere termijn op niveau te houden, zowel voor de ontplooiing van de medewerkers, als voor de effectiviteit van de mede werkers. Daarom hebben medewerkers regelmatig training, bijscholing en stimulans nodig; daar moet wel tijd voor vrijgemaakt worden. Door de waan van de dag lijkt er nooit een goed moment voor opleiding te zijn, daarom moet dit soort activiteiten stringent ingeroosterd worden, met volledig commitment van het management.
6.3 Werk aan bewustwording Informatiebeveiliging is een zaak van managers en medewerkers. Medewerkers zijn in principe van goede wil, maar kijken wel naar de managers. De managers moeten het goede voorbeeld geven. Goed voorbeeld doet goed volgen, slecht voorbeeld doet slecht volgen. Het geven van het goede voorbeeld is noodzakelijk voor de medewerking van de medewerkers, maar er komt nog meer bij kijken. Informatiebeveiliging staat of valt met het draagvlak voor de maatregelen die getroffen worden. Het draagvlak wordt gelegd door de medewerkers te betrekken bij het selec teren en implementeren van maatregelen. Aan de andere medewerkers moet de redelijkheid van de maatregelen uitgelegd kunnen worden. Vervolgens moeten de maatregelen natuurlijk wel ingevoerd worden zoals ze besproken en uitgelegd zijn naar de medewerkers.
26
ZAKBOEKJE PREVENTIE CYBERCRIME
Incidenten zijn veelal terug te leiden tot het overtreden van procedures. Procedures uit het verleden, die wellicht ooit goed ingevuld zijn, maar die al jaren niet nageleefd worden. En als de procedures gevolgd zouden worden, dan draaien de primaire processen in de soep. Aan zulke procedures heeft de organisatie niets; ze zijn alleen te gebruiken voor het zwartepieten na een incident. Ook informatiebeveiliging komt met zulke procedures geen stap verder. Procedures zijn alleen zinvol als ze kort en duidelijk zijn, nodig zijn, passen bij de organisatie en de processen, gedragen worden door de medewerkers en geregeld geactualiseerd worden. Wellicht dat nog niet alle procedures in uw gemeente hieraan voldoen.
6.4 Integreer informatiebeveiliging Informatiebeveiliging staat niet op zichzelf. Informatiebeveiliging moet op een natuurlijke manier ingebed zijn in de activiteiten van de organisatie en het handelen van de medewerkers. Informatiebeveiliging kan daarvoor het beste worden meegenomen in de normale jaarplanning van bedrijfs activiteiten. Hierdoor wordt informatiebeveiliging een vanzelfsprekend onderdeel van de organisatie. Voor het informatiebeveiligingsbeleid gelden dan dezelfde regels als voor de overige activiteiten die de organisatie draai ende moeten houden: er wordt jaarlijks beleid bijgesteld, bij de budget aanvraag wordt een kosten/baten-afweging gemaakt, acties worden benoemd en de benodigde mensen en middelen zijn inzichtelijk gemaakt. Hierbij kan het beste zoveel mogelijk gebruik gemaakt worden van bestaan de procedures. Bovendien kan in de periodieke risicoanalyse van de pri maire processen de kwetsbaarheid van de primaire processen meegenomen worden. Daaruit komen immers de eisen voor de informatiebeveiliging.
6.5 Inventariseer wet- en regelgeving Elke organisatie moet zich houden aan de wet. Er is inmiddels een hele verzameling wet- en regelgeving van toepassing op informatiesystemen en informatiebeveiliging, zoals: • De Telecommunicatiewet. • De Auteurswet. • De Wet Bescherming Persoonsgegevens. • De Wet Computercriminaliteit II. • Etc.
ZAKBOEKJE PREVENTIE CYBERCRIME
27
Voor gemeenten komt daar nog andere wet- en regelgeving bij, zoals: • De Gemeentewet. • De Comptabiliteitswet. • De Wet Gemeentelijke Basisadministratie Persoonsgegevens. • De Archiefwet. • Etc. Het is verstandig om vroegtijdig de relevante wet- en regelgeving te inventa riseren en de informatiesystemen en informatiebeveiliging daarop af te stemmen. Een bijkomend voordeel is, dat het dan ook mogelijk is om de benodigde inspanningen en producten voor de verschillende wet- en regel geving op elkaar af te stemmen. Bovendien hoeft men niet meer bang te zijn op enig moment verrast te worden door een controlerende instantie.
6.6 Gebruik standaarden Informatiebeveiliging heeft een lange historie. In de loop van de tijd hebben veel organisaties hun ervaringen gebundeld in richtlijnen. Bij voldoende brede erkenning kunnen deze doorgroeien tot standaarden. Gemeenten hoeven geen wielen uit te vinden. Het is beter om geschikte standaarden te zoeken en die te gebruiken. Dat heeft als bijkomend voordeel dat de informatiebeveiliging te vergelijken is met die van andere organisaties die dezelfde standaarden gebruiken. Op het gebied van informatiebeveiliging springen een paar standaarden er qua relevantie uit. De belangrijkste hiervan zijn ISO/IEC 27001 en 27002. Deze standaarden zijn in het Nederlands te verkrijgen en zijn binnen een gemeente zeer goed toepasbaar. De ISO/IEC 27002 is bekend als de ‘Code voor informatiebeveiliging’. Deze standaard schetst een reeks maat regelen met een organisatiebrede scope op de volgende aandachtsgebieden: • Beveiligingsbeleid. • Organisatie van informatiebeveiliging. • Beheer van bedrijfsmiddelen. • Beveiligingseisen ten aanzien van personeel. • Fysieke beveiliging en beveiliging van de omgeving. • Beheer van communicatie- en bedieningsprocessen. • Toegangsbeveiliging. • Verwerving, ontwikkeling en onderhoud van informatiesystemen. • Beheer van informatiebeveiligingsincidenten. • Bedrijfscontinuïteitsbeheer. • Naleving.
28
ZAKBOEKJE PREVENTIE CYBERCRIME
6.7 Leer van incidenten Incidenten laten de zwakke kanten van de informatiebeveiliging zien. Als de informatiebeveiliging nog niet op orde is, dan geven de incidenten boven dien een indicatie van de bedreigingen die zoal voorkomen. Veel (kleine) incidenten zullen echter niet eens opgemerkt worden, omdat daarvoor geen detectie geregeld is. En als ze wel opgemerkt worden, dan is het onvoorspel baar waar de meldingen daarover terechtkomen en of er überhaupt iets mee gedaan wordt. Bovendien zijn medewerkers zich er vaak niet van bewust dat ze naast elkaar slachtoffer zijn van dezelfde bedreigingen. En ieder voor zich maken ze daar geen melding van. Daardoor ligt het werkelijke aantal incidenten en de daaruit resulterende schade in de praktijk meestal bedui dend hoger dan het management denkt. Er kan zelfs een volledig misplaatst gevoel van veiligheid ontstaan, omdat ‘bij ons nooit wat gebeurt’. Het lijkt of de informatiebeveiliging wel op orde is, terwijl het tegendeel het geval is. Een goede registratie van incidenten, klein en groot, kan het inzicht in de bedreigingen, incidenten en opgelopen schade verbeteren. Dit kan helpen bij het beter stellen van prioriteiten. Eventuele gaten in de informatiebeveiliging kunnen ook zichtbaar gemaakt worden met penetratietesten (ethische hacking) en social engineering (mystery guests). Met een penetratietest wordt door een deskundige van buitenaf via het Internet getest hoe goed de beveiliging van de gemeente lijke informatiesystemen is. Met social engineering wordt door een deskun dige getest in hoeverre de medewerkers van de gemeente bestand zijn tegen aanvallers die misbruik maken van menselijke zwakheden. Een bijzondere plaats nemen ernstige incidenten op het gebied van infor matiebeveiliging in. Uiteraard komt ieder incident ongelegen. Toch zit er ook een positief kantje aan. Een incident kan namelijk gebruikt worden om de medewerkers met hun neus op de feiten te drukken. Een incident, en vooral een ernstig incident, geeft aan dat er wat schort aan de informatie beveiliging. De meeste medewerkers onderkennen in een dergelijke situatie het falen van de informatiebeveiliging en zijn bereid daar wat aan te doen. Meestal zijn ze zelfs bereid om zich ook nog extra in te spannen voor het verbeteren van andere aspecten van de informatiebeveiliging. Deze bereid heid duurt echter maar enkele dagen tot weken en verdwijnt dan weer. Na een ernstig incident zal dus snel gereageerd moeten worden om van dit effect te kunnen profiteren.
ZAKBOEKJE PREVENTIE CYBERCRIME
29
6.8 Leer van anderen Informatiebeveiliging is een onderwerp waar elke gemeente, net als elke andere organisatie, aan moet werken. Veel organisaties hebben al waardevolle ervaringen opgedaan met informatiebeveiliging in de praktijk. Veelal zijn deze organisaties bereid hun ervaringen met u te delen. Dat geldt vooral voor andere gemeenten en publieke organisaties. Start het overleg op, wissel ervaringen uit en laat u zo nodig bijstaan door een onafhankelijke adviseur.
30
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 7
Checklist voor de manager
7.1 Informatiebeveiliging op niveau krijgen De volgende vragen kan de manager of bestuurder van een gemeente zich stellen ten aanzien van het op niveau krijgen van de informatiebeveiliging: • Heeft u geïnventariseerd waar mogelijk ‘grote gaten’ in de informatie beveiliging zitten en heeft u die allemaal gedicht? • Heeft u een beleid voor informatiebeveiliging opgezet en naar de organisatie uitgedragen? • Besteedt u voldoende aandacht aan informatiebeveiliging en geeft u zelf het goede voorbeeld? • Is het eigenaarschap van alle processen en informatiesystemen duidelijk belegd en zijn de betreffende managers zich bewust van de consequenties daarvan? • Heeft u een baseline voor de informatiebeveiliging ingevoerd en is het onderhoud hiervan in de organisatie belegd? • Heeft u geïnventariseerd welke informatiesystemen kritisch zijn en worden daar risicoanalyses voor uitgevoerd? • Heeft u ervaren medewerkers, waaronder een informatiebeveiligings functionaris, die u kunnen ondersteunen bij het ontwerpen en inrichten van informatiebeveiliging? • Worden de andere medewerkers voldoende betrokken bij het selecteren en implementeren van maatregelen voor informatiebeveiliging? • Zijn alle procedures kort en duidelijk, nodig, passend bij de organisatie en de processen, gedragen door de medewerkers en worden ze geregeld geactualiseerd? • Als u gebruik maakt, of wil gaan maken, van uitbesteding, heeft u daarvoor dan een goede businesscase en een adequate regieorganisatie? • Heeft u geïnventariseerd welke wet- en regelgeving voor uw organisatie relevant is en voldoen de organisatie en eventuele externe dienstverleners daar ook aan? • Maakt u gebruik van standaarden, zoals de ISO/IEC 27001 en 27002?
ZAKBOEKJE PREVENTIE CYBERCRIME
31
7.2 Informatiebeveiliging op niveau houden De volgende vragen kan de manager of bestuurder van een gemeente zich stellen ten aanzien van het op niveau houden van de informatiebeveiliging: • Heeft u regelmatig contact met deskundigen van binnen en van buiten de organisatie om u op de hoogte laten stellen van de status van de informatiebeveiliging? • Besteedt u voldoende aandacht aan informatiebeveiliging en geeft u zelf het goede voorbeeld? • Heeft u ervaren medewerkers, waaronder een informatiebeveiligings functionaris, die u kunnen ondersteunen bij het op niveau houden van informatiebeveiliging? • Is informatiebeveiliging op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers? • Heeft u een accurate registratie van alle gesignaleerde incidenten, klein en groot, zodat u lering kunt trekken uit de opgetreden incidenten? • Worden audits uitgevoerd op de informatiebeveiliging binnen de gemeente, en indien van toepassing bij de externe dienstverleners? • Heeft u overleg met andere gemeenten en overheidsorganisaties om regelmatig ervaringen op het gebied van informatiebeveiliging uit te wisselen?
32
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 8
Tot slot
Informatiebeveiliging is geen keuze; informatiebeveiliging moet. Bij onvol doende aandacht voor informatiebeveiliging kunnen gegevens over burgers en bedrijven aangetast raken, of in verkeerde handen komen. De fysieke veiligheid van de bevolking kan zelfs in gevaar komen. Met een toenemend gebruik van het Internet, ook door gemeenten, zijn er nieuwe bedreigingen bijgekomen. Cybercrime maakt hier deel van uit. Mede daardoor neemt de kans op incidenten met een grote impact toe. Dit soort incidenten kan het vertrouwen van burgers en bedrijven in de gemeente en andere publieke organisaties aantasten. Dat kan een gemeente zich niet permitteren. Voldoende aandacht voor informatiebeveiliging is dan ook broodnodig. Informatiebeveiliging kent vele technische, organisatorische en menselijke aspecten. Het is verre van triviaal. Aan de andere kant verschilt het aan sturen ervan niet zo erg veel van het aansturen van andere bedrijfsproces sen. Eigenlijk stoelt het aansturen van informatiebeveiliging vooral op gezond verstand en het inzetten van goede mensen. Veel tijd hoeft dat het management niet te kosten, maar op zijn tijd enige gerichte aandacht is wel noodzakelijk. Hoewel de verleiding misschien groot is, is het niet verstandig te bezuini gen op de capaciteit en vooral ook de kwaliteit van de medewerkers voor informatiebeveiliging. Het functioneren van uw organisatie is dusdanig afhankelijk van betrouwbare informatie dat u en de burger de zekerheid moeten hebben dat deze in goede handen is. In dit boekje hebben we de belangrijkste ins en outs van informatie beveiliging voor u als manager geschetst. Als u uw informatiebeveiliging goed op de rails heeft, dan hoeven ook relatief nieuwe bedreigingen zoals cybercrime voor u geen probleem te zijn. Bedenk echter wel dat informatie beveiliging geen eenmalige exercitie is; het is een continu proces dat steeds gerichte aandacht nodig heeft.
ZAKBOEKJE PREVENTIE CYBERCRIME
33
34
ZAKBOEKJE PREVENTIE CYBERCRIME
Literatuurlijst 1. Een twee-sporenaanpak voor informatiebeveiliging, M. Spruit en M. de Graaf, Management Executive, nr. 1, 2004, blz. 34-37. 2. Handboek informatiebeveiliging, E. Cardoza en anderen (redactie), VIAG, Culemborg, 2005. 3. Handboek Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken / ACIB, Den Haag, 1995. 4. Informatiebeveiliging bij de overheid: een veranderproces, B. Glashouwer en P. Wielaard, Informatiebeveiliging, nr. 2, 2002, blz. 10-14. 5. Informatiebeveiliging onder controle, P. Overbeek, E. Roos Lindgreen en M. Spruit, Pearson, Amsterdam, 2005. 6. Informatiebeveiliging voor de overheid; een praktische aanpak, B. Glashouwer en anderen, HEC, Den Haag, 2002. 7. Integratie van informatiebeveiliging, M. Spruit, Informatie, nr. 8, 2006, blz. 8-11. 8. NEN-ISO/IEC 27001: 2005 nl, Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen, NNI, Delft, 2005. 9. NEN-ISO/IEC 27002: 2007 nl, Informatietechnologie - Beveiligingstechnieken - Code voor informatiebeveiliging, NNI, Delft, 2007. 10. Opgeruimd staat netjes? Uitbesteden van ICT in de publieke sector, C. Wauters, M. Spruit en M. Vermeulen, SDU, Den Haag, 2008. 11. Organisatiefouten vaak oorzaak van menselijk falen, M. Spruit, TIEM, nr. 16, 2006, blz. 8-11.
ZAKBOEKJE PREVENTIE CYBERCRIME
35
Trefwoordenlijst Trefwoord
Beschrijving
Audit
Een onderzoek naar de kwaliteit van een product, proces of organisatie door een onafhankelijke partij.
Baseline
Een samenhangende verzameling maatregelen die organisatiebreed ingevoerd worden.
Bedreiging
Een gebeurtenis of een proces die in potentie tot een incident kan leiden.
Beschikbaarheid
De mate waarin informatie op de juiste momenten beschikbaar is voor gebruikers.
Beveiligingsmaatregel
Een product of proces dat beoogt te voorkomen dat een bedreiging tot een incident leidt, of anders de schade beperkt.
Business case
Een document waarin alle motieven, voor- en nadelen, risico’s en keuzemogelijkheden van een te nemen beslissing zorgvuldig zijn beschreven en gewogen.
Contract
Een formeel document waarin twee of meer partijen afspraken vastleggen.
Cybercrime
Computercriminaliteit waarbij gebruik gemaakt wordt van het Internet.
ICT
Informatie- en communicatietechnologie.
Impact
De gevolgen van een bedreiging die zich manifesteert.
Incident
Een ongewenste gebeurtenis die tot schade – financieel of anderszins – heeft geleid.
Informatiebeveiliging
Het treffen en onderhouden van een samenhangend pakket maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te borgen.
Informatiesysteem
Een systeem voor het verzamelen, bewerken, opslaan, distribueren en presenteren van gegevens.
Informatievoorziening
De verzameling informatiesystemen en de daarvoor benodigde infrastructuur.
Integriteit
De mate waarin informatie is, zoals die bedoeld is.
36
ZAKBOEKJE PREVENTIE CYBERCRIME
Trefwoord
Beschrijving
Opdrachtgever
Een organisatie die een gegeven partij een formele opdracht geeft, bijvoorbeeld voor uitbesteding.
Preventie
Het voorkómen van een incident.
Regieorganisatie
Het organisatieonderdeel waar de regievoering belegd is, oftewel de aansturing vanuit de opdrachtgever.
Repressie
Het reduceren van de schade na een opgetreden incident.
Risico
De jaarlijks te verwachten schade door het manifesteren van bedreigingen.
Risicoanalyse
Een methode die inventariseert welke risico’s er zijn, welke daarvan onacceptabel zijn en welke maatregelen de risico’s kunnen reduceren.
Risicomanagement
Het proces dat beoogt risico’s te inventariseren en te beheersen.
Schade
De negatieve gevolgen van een incident, financieel of anderszins. Schade omvat de directe schade, bijvoorbeeld om een beschadigd onderdeel te vervangen, als ook de gevolgschade, bijvoorbeeld het verlies van klanten.
Service Level Agreement (SLA)
Een formele overeenkomst waarin het kwaliteitsniveau van te leveren diensten beschreven staat. Een SLA kan deel uitmaken van een contract.
Service Level Management
Het proces of de functie waarin de afstemming tussen de klant en de dienstverlener zich afspeelt.
Shared service organisatie (SSO)
Een organisatie die ontstaat als meerdere partijen een deel van hun activiteiten samenvoegen en al dan niet op afstand plaatsen.
Uitbesteding
Het beleggen van taken en verantwoordelijkheden bij één of meerdere externe dienstverleners.
Vertrouwelijkheid
De mate waarin de toegang tot informatie beperkt is tot degenen die daartoe bevoegd zijn.
ZAKBOEKJE PREVENTIE CYBERCRIME
37
HET EXPERTISE CENTRUM
Een vastgelopen project, een mislukte definitiestudie, een uit de hand gelopen budget… Kunnen dit soort problemen voorkomen worden? En zo ja, hoe? Complexe vraagstukken. Enkele van de vele. Want het wordt steeds ingewikkelder om de organisatie van de informatievoorziening goed te regelen. Daarom zijn experts gewenst. Deze experts werken bij Het Expertise Centrum. Het Expertise Centrum is een onafhankelijk adviesbureau dat zich bezighoudt met overheids informatisering. Het bureau kenmerkt zich door onafhankelijkheid bij het aannemen en uitvoeren van opdrachten. Dat waarborgen wij door de stichtingsvorm. Maar ook door alleen rechtstreeks voor de opdrachtgever te werken en niet als onderaannemer. Onze consultants kennen de overheidscultuur van zeer dichtbij. Niet alleen van het Rijk, maar ook van de provincies, gemeenten, waterschappen en verzelfstandigde organisaties. Zij hebben daardoor als geen ander inzicht in de bestuurlijke en organisatorische aspecten van de informatievoorziening. En zij kunnen u bijstaan bij problemen van vandaag en het voorkomen van problemen van morgen. Wat kunnen wij voor u doen? • Strategische advisering; • Contra-expertise; • Programma- en procesmanagement; • Projectadvisering; • Audit en review; • Opleiding en traineeprogramma’s. [ www.hec.nl ] NICC Nationale infrastructuur tegen cybercrime Het Programma NICC is een publiekprivate samenwerking bedoeld om de bestrijding van cybercrime te verbeteren. Het NICC onderneemt zelf niets tegen cybercrime. Binnen en buiten de overheid werkt een groot aantal partijen aan die bestrijding. Als die partijen optimaal samenwerken zal deze bestrijding veel effectiever worden. Daarom brengt het NICC die partijen bij elkaar in een Nationale Infrastructuur ter bestrijding van Cybercrime.
[www.samentegencybercrime.nl] VIAG
De VIAG is in 1991 opgericht en komt voort uit een initiatief van een aantal gemeentelijke coördinatoren I&A. Daarmee is gehoor gegeven aan een behoefte om overlegstructuren te bundelen en de functie van de coördinator I&A te voorzien van een heldere omkadering, waardoor die functie meer erkenning krijgt. Deze behoefte is nog steeds actueel, al zien wij een verschuiving naar de rol van informatiemakelaar, informatiearchitect en/of informatiemanager. De Viag richt zich met name op Gemeente tot 100+ inwoners. [www.viag.nl]
ISBN–978-90-75239-33-1
Zakboekje preventie cybercrime Voor management en bestuur van gemeenten
ZAKBOEKJE PREVENTIE CYBERCRIME – Voor management en bestuur van gemeenten OPDRACHTGEVER Annemarie Zielstra, NICC/ICTU AUTEURS Marcel Spruit, HEC Boudien Glashouwer, HEC Den Haag, Stichting Het Expertise Centrum ISBN-978-90-75239-33-1 KLANKBORDGROEP Ruud Groenendijk, EGEM Ton de Haar, Coördinatiepunt ICT Gemeenten CP-ICT Gerard van Kruining, Gemeente Albrandswaard, VIAG Antoinette van Leeuwen, Gemeente Zeist, VIAG Jan Lucius, Optimisd John Otten, Getronics PinkRoccade Erik Slingerland, Centric Gerard Stroeve, Centric 1e druk, april 2008 ONTWERP OMSLAG EN BINNENWERK Smidswater, Den Haag/Breda LITHOGRAFIE / DRUK Veenman Drukkers, Rotterdam
© 2008 Stichting Het Expertise Centrum Niets uit dit werk mag worden verveelvoudigd en / of openbaar gemaakt door middel van druk, fotokopie, microfilm, elektronisch of op welke andere wijze dan ook, daaronder mede begrepen gehele of gedeeltelijke bewerking van het werk, zonder voorafgaande schriftelijke toestemming van Stichting Het Expertise Centrum.
Zakboekje preventie cybercrime Voor management en bestuur van gemeenten
Marcel Spruit Boudien Glashouwer (HEC)
Voorwoord De Nederlandse gemeenten zijn druk bezig met het opzetten en uitbreiden van hun elektronische dienstverlening. Steeds meer gegevens worden uitgewisseld met burgers en bedrijven. Het voor iedereen toegankelijke Internet biedt hiervoor een snel en goedkoop medium. De brede toe gankelijkheid van het Internet heeft echter een keerzijde. Zonder adequate beveiliging kunnen gegevens, bijvoorbeeld de belastinggegevens van burgers, ‘op straat’ belanden. Veel vitale gemeentelijke objecten, zoals sluizen en waterzuiverings installaties, worden op afstand bestuurd. In eerste instantie werden hiervoor huurlijnen gebruikt die specifiek voor de te besturen objecten aangelegd waren. Het Internet biedt hiervoor een goedkoop alternatief. Daarom worden de huurlijnen steeds meer vervangen door goedkopere internetverbindingen. Dat maakt deze systemen echter ook bereikbaar voor cybercriminelen en terroristen. Bij onvoldoende aandacht voor ICT- en informatiebeveiliging kan zelfs de fysieke veiligheid van de bevolking in gevaar komen. Beveiliging van de gemeentelijke informatievoorziening is een randvoor waarde voor de elektronische dienstverlening en het op afstand besturen van vitale objecten. Goede documentatie hierover, zoals het Handboek Informatiebeveiliging van de VIAG, is weliswaar beschikbaar, maar deze documentatie is vooral geschreven voor degenen die de informatie beveiliging uit moeten voeren en niet voor degenen die hierover moeten beslissen. Om deze lacune te dichten, wordt in dit boekje een aantal handvatten voor het inrichten en aansturen van informatiebeveiliging beschreven. Daarmee kan de beheersing van de risico's van cybercrime worden verbeterd. Het boekje is geschreven voor het gemeentelijke management, maar ook voor de burgemeester en wethouders, de gemeenteraad, de accountant en de lokale rekenkamer. De praktische tips kunnen helpen informatiebeveiliging op niveau te krijgen en te houden.
6
ZAKBOEKJE PREVENTIE CYBERCRIME
Inhoudsopgave Voorwoord
Hoofdstuk 1
Inleiding
7
Hoofdstuk 2
Bedreigingen, risico’s en maatregelen
4
9
Hoofdstuk 3
Het organiseren van informatiebeveiliging
11
3.1 De rol van het management
11
3.2 De informatiebeveiligingsfunctionaris
12
3.3 De stuurgroep informatiebeveiliging
13
3.4 De informatiebeveiligingsauditor
13
3.5 Het projectteam informatiebeveiliging
13
Hoofdstuk 4
Twee sporen voor informatiebeveiliging
15
4.1 Grote gaten dichten
15
4.2 Baseline voor de informatiebeveiliging
16
4.3 Kritische informatiesystemen beveiligen
17
Hoofdstuk 5
Informatiebeveiliging en uitbesteding
19
5.1 Uitbesteden van informatiebeveiliging
19
5.2 De regieorganisatie
21
Hoofdstuk 6
Praktische tips
23
6.1 Controleer uw beeld
6.2 Koester goede mensen
23
6.3 Werk aan bewustwording
24
6.4 Integreer informatiebeveiliging
25
6.5 Inventariseer wet- en regelgeving
25
6.6 Gebruik standaarden
26
6.7 Leer van incidenten
27
6.8 Leer van anderen
28
ZAKBOEKJE PREVENTIE CYBERCRIME
23
7
Hoofdstuk 7
Checklist voor de manager
29
7.1 Informatiebeveiliging op niveau krijgen
29
7.2 Informatiebeveiliging op niveau houden
30
Hoofdstuk 8
Tot slot
31
Literatuurlijst
33
Trefwoordenlijst
34
8
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 1
Inleiding
Het programma Nationale Infrastructuur Cybercrime (NICC), onder gebracht bij ICTU, heeft als doel te komen tot een nationale infrastructuur ter bestrijding van cybercrime. De huidige opzet van de bestrijding van cybercrime in Nederland is te gefragmenteerd. Op diverse plaatsen en in verschillende maatschappelijke sectoren worden functies ter bestrijding van cybercrime ingevuld, maar van een geïntegreerde aanpak is onvoldoen de sprake. Het programma NICC stelt zich tot doel om door middel van publiekprivate experimenten de opzet en inrichting van een geïntegreerde aanpak, oftewel een nationale infrastructuur voor cybercrimebestrijding in Nederland, te stimuleren. Overheidsorganisaties maken momenteel werk van het op elektronische wijze bedienen van burgers en bedrijven. Een papieren aangifte wordt een uitzondering. Het Internet is daarbij onontbeerlijk. Uit vooronderzoek is gebleken dat gemeenten op het niveau van management en bestuur nog te weinig aandacht hebben voor het beveiligen van informatie en het integreren hiervan in de bedrijfsvoering. Toch is informatie een cruciaal bedrijfsmiddel, dat net als andere bedrijfsmiddelen waarde heeft voor de organisatie en voortdurend moet zijn beschermd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. De verantwoordelijkheid hiervoor hoort dan ook bij het management thuis. Uit onderzoek van het NICC bleek dat informatiebeveiliging nog te veel gezien wordt als een zaak van de gemeentelijke ICT-afdeling. Het manage ment houdt zich nog te veel afzijdig van dit belangrijke onderwerp. Dit leidt ertoe dat de inrichting van de informatiebeveiliging te weinig effectief is. Dit uit zich onder meer in kwetsbaarheid voor cybercrime, oftewel computer criminaliteit waarbij gebruik gemaakt wordt van het Internet. De meeste gemeenten bleken in meerdere of mindere mate kwetsbaar te zijn voor cybercrime. Ontwikkelingen die gaande zijn, zoals het invoeren van mid office-systemen en het besturen van vitale objecten via internetverbindingen, kunnen deze kwetsbaarheid verder vergroten.
ZAKBOEKJE PREVENTIE CYBERCRIME
9
Uit bovengenoemd onderzoek bleek ook dat praktische handvatten voor het management en het bestuur van gemeenten zou kunnen helpen om tot actie over te gaan. Dit boekje beoogt hieraan tegemoet te komen. Het richt zich op de managementaspecten van informatiebeveiliging, zonder gebruik van vakjargon en 'overbodige' details. Met name het management staat aan de lat voor het opstellen van een gemeentelijk beveiligingsbeleid en het definiëren van een basis beveiligingsniveau. Hoe meer aandacht u heeft voor fouten die medewerkers maken en hoe moeilijker u het criminelen maakt, hoe minder kwetsbaar u zult zijn. Het adresseren van dit onderwerp hoeft niet veel tijd te kosten als u de juiste opmerkingen maakt, de juiste rapportages vraagt en vragen aan de juiste personen in uw organisatie stelt. Dit boekje helpt u daarbij op weg.
10
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 2
Bedreigingen, risico’s en maatregelen
In elke organisatie, dus ook in een gemeente, is een grote variëteit aan gegevens te vinden. Een groot deel hiervan is digitaal. Digitale gegevens bevinden zich in computersystemen, maar ook in PDA’s, mobieltjes, USB-sticks, MP3-spelers, toegangspassen, etc. De gegevens zijn nodig voor de administratieve processen, zoals planning en control, financiën en bevolkingsadministratie, voor de interactie met burgers en bedrijven, via de website, e-mail, geprinte brieven en formulieren en voor het besturen van vitale objecten, zoals bruggen, sluizen, stoplichten en waterzuivering. In een gemeentelijke organisatie zijn veel van de digitale gegevens zo belangrijk dat de organisatie niet meer zonder deze gegevens kan functio neren. De grote diversiteit van de gegevens en de gegevensdragers maken deze gegevens echter kwetsbaar voor bedreigingen. Denk bijvoorbeeld aan verlies, diefstal, vervalsing en fraude, maar ook aan brand, bliksem, waterschade en elektriciteitsstoring. Niet elke bedreiging is even erg. Sommige bedreigingen komen zelden voor, of leiden tot marginale schade. Maar andere bedreigingen komen wel vaak voor en leiden misschien ook nog tot grote schade in verschillende vormen. Daarom is het niet zinvol om zomaar tegen alle bedreigingen maatregelen te treffen. Beter is het om de ergste bedreigingen te identificeren en daar tegen maatregelen te treffen. Om die bedreigingen te vinden, moet men niet naar de bedreigingen kijken, maar naar de risico’s. De risico’s zijn namelijk een maat voor de schade die men kan verwachten door toedoen van de bedreigingen. De schade kan financieel zijn, maar kan ook betrek king hebben op andere negatieve gevolgen, zoals imagoschade, of slacht offers bij ongelukken.
ZAKBOEKJE PREVENTIE CYBERCRIME
11
Som van risico’s
Onacceptabel Acceptabel
Kosten van maatregelen Figuur 1. De relatie tussen risico’s en de kosten van maatregelen
Door beveiligingsmaatregelen te treffen, kan men de schade door bedreigin gen die zich manifesteren reduceren. De som van de resterende risico’s neemt dan af. Maar er zijn wel kosten verbonden aan het treffen van maat regelen, zowel voor het invoeren van de maatregelen, als voor het onder houden ervan. Als er echter te weinig maatregelen getroffen worden, dan kunnen bedreigingen tot onacceptabele situaties leiden. Daar staat tegen over dat als er te veel maatregelen getroffen worden, dat de organisatie dan ‘penny wise, pound foolish’ bezig is; men geeft euro’s uit om dubbeltjes te beschermen. Dit laatste lijkt misschien niet zo erg, maar het is niet alleen te duur; het hindert ook de medewerkers bij het uitvoeren van hun werk. Al met al is het treffen van een combinatie van passende maatregelen geen sinecure. Het selecteren van de juiste maatregelen is al lastig. Daarbij spe len beveiligingsbaselines en risicoanalyses een rol. Ook bij het zoeken naar het optimum tussen te weinig en te veel maatregelen. Na het selecteren van de maatregelen moeten ze goed ingevoerd en onderhouden worden. Ook dit gaat niet vanzelf en vergt aan de ene kant kennis en inzicht en aan de andere kant tijd en geld. Dit maakt informatiebeveiliging een lastige discipline, die echter broodnodig is voor de goede gang van zaken binnen een gemeente.
12
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 3
Het organiseren van informatiebeveiliging
3.1 De rol van het management Informatiebeveiliging moet voor de goede gang van zaken binnen een gemeente goed uitgevoerd worden. Het management speelt daarbij een cruciale rol. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management het beleid voor informatiebeveiliging op, draagt het uit naar de organisatie en onder steunt en bewaakt de uitvoering ervan. Het management moet informatiebeveiliging zien als een integraal onder deel van de bedrijfsvoering, specifiek gericht op het beheersen van de risico’s ten aanzien van de informatiesystemen en de ICT-infrastructuur. En net als de andere onderdelen van de bedrijfsvoering heeft de informatie beveiliging regelmatig aandacht van het management nodig. Het management zal enige kennis en inzicht op het gebied van informatie beveiliging moeten hebben om de juiste keuzes te kunnen maken. Het management kan weliswaar allerlei werk op het gebied van informatie beveiliging delegeren of uitbesteden, maar de eindverantwoordelijkheid voor informatiebeveiliging en het maken van de primaire keuzes blijft op het bordje van het management liggen. Ook het aanwijzen van de medewerkers die een rol krijgen bij de informatie beveiliging en het toewijzen van de daarbij behorende taken, verantwoorde lijkheden en bevoegdheden gebeurt door het management. Hiermee maakt het management een begin met de invulling van informatiebeveiliging. Een goed begin is het halve werk. In dit geval komt dat neer op het toewijzen van taken, verantwoordelijkheden en bevoegdheden aan capabele mede werkers die voldoende tijd en middelen krijgen om hun taken serieus uit te voeren. Bovendien moeten de betreffende medewerkers kunnen rekenen op voldoende ruggensteun van het management en moet er serieus aandacht worden besteed aan de rapportages over incidenten en de behaalde resultaten.
ZAKBOEKJE PREVENTIE CYBERCRIME
13
Vanzelfsprekend dienen incidenten dan ook te worden gemeten en moet duidelijk zijn hoe moet worden gehandeld als zij zich voordoen. Snel en in beslotenheid handelen is dan cruciaal. Anders zijn sporen al uitgewist. Bij het toewijzen van taken, verantwoordelijkheden en bevoegdheden spelen twee aspecten een rol: 1) het eigenaarschap van processen en informatie systemen en 2) de beveiligingstaken. Als de informatiebeveiliging in project vorm op een hoger niveau getild wordt, dan is daarnaast nog een projectorganisatie nodig. Het eigenaarschap van processen en informatiesystemen ligt in het algemeen bij lijnmanagers. Een lijnmanager is eigenaar van de processen en systemen binnen zijn organisatieonderdeel. Als eigenaar moet de betreffende lijnmanager er onder meer voor zorgen dat zijn processen en informatiesystemen voldoende beveiligd zijn. De taken die hiervoor uitgevoerd moeten worden, kan de manager delegeren of uitbesteden. De belangrijkste beveiligingsfunctie is het management. Het management is uiteindelijk verantwoordelijk voor de centrale coördinatie en aansturing van de informatiebeveiliging. Binnen het managementteam is in het algemeen één persoon de portefeuillehouder voor informatiebeveiliging. De overige beveiligingstaken komen grotendeels terecht bij verschillende beveiligingsfuncties. De belangrijkste hiervan zijn: • De informatiebeveiligingsfunctionaris. • De stuurgroep informatiebeveiliging. • De informatiebeveiligingsauditor. • Het projectteam informatiebeveiliging.
3.2 De informatiebeveiligingsfunctionaris De informatiebeveiligingsfunctionaris is een deskundige op het gebied van informatiebeveiliging en adviseur van het management. De informatie beveiligingsfunctionaris ondersteunt bij de informatiebeveiliging, maar is niet verantwoordelijk voor de informatiebeveiliging. De verantwoordelijk heid blijft bij het management liggen. De informatiebeveiligingsfunctionaris ondersteunt het management bij het opstellen van het informatiebeveiligingsbeleid, het uitdragen van dit beleid en het bewaken van de naleving ervan. Bovendien is de informatie beveiligingsfunctionaris het aanspreekpunt op het gebied van informatie beveiliging voor de lijnmanagers. Daarnaast ondersteunt de informatiebeveiligingsfunctionaris de organisatie bij het uitvoeren van risicoanalyses, het ontwerpen van beveiligingsmaatregelen, het installeren en onderhouden
14
ZAKBOEKJE PREVENTIE CYBERCRIME
van beveiligingsapparatuur, het registreren van beveiligingsincidenten, het uitvoeren van self-assessments en het overleggen met externe beveiligingspartijen. De informatiebeveiligingsfunctionaris wordt in het algemeen in een staf positie geplaatst. De functiewaardering en de omvang van de functie kan per gemeente verschillen door grootte en complexiteit van de problematiek. Globaal wordt gedacht aan ten minste HBO-niveau met een aanvullende informatiebeveiligingsopleiding en projectleiders- en communicatie vaardigheden.
3.3 De stuurgroep informatiebeveiliging Het is in het algemeen nuttig een stuurgroep voor informatiebeveiliging in te stellen, onder voorzitterschap van de portefeuillehouder voor informatie beveiliging uit het managementteam. In de stuurgroep zitten vertegen woordigers van verschillende groepen uit de organisatie met mogelijk verschillende belangen ten aanzien van informatiebeveiliging. In de stuur groep kunnen nieuwe ontwikkelingen en problemen op het gebied van informatiebeveiliging besproken en bediscussieerd worden. Doordat ver schillende groepen uit de organisatie in de stuurgroep vertegenwoordigd zijn, is er in het algemeen een breder draagvlak voor beslissingen die in de stuurgroep genomen worden.
3.4 De informatiebeveiligingsauditor De informatiebeveiligingsauditor ondersteunt het management bij het vormen van een oordeel over informatiebeveiligingsaangelegenheden. Het is wenselijk deze verantwoordelijkheid niet bij de informatiebeveiligings functionaris te beleggen, omdat de laatste een belangrijke rol speelt bij het realiseren van de informatiebeveiliging. Vanuit een oogpunt van onafhanke lijke oordeelsvorming is het beter om beide functies gescheiden te houden.
3.5 Het projectteam informatiebeveiliging Als informatiebeveiliging in projectvorm op een hoger niveau getild moet worden, dan is voor het ontwerp en de inrichting van de informatie beveiliging een projectorganisatie nodig. Dit is in ieder geval nodig als het verbeteren van de informatiebeveiliging niet door de beschikbare mensen naast hun dagelijkse werkzaamheden uitgevoerd kan worden. Dit is veelal het geval als informatiebeveiliging vanuit een duidelijke achterstandspositie op een redelijk niveau gebracht moet worden. Binnen het project team moet dan voldoende oog zijn voor het integreren van informatiebeveiliging in de organisatie.
ZAKBOEKJE PREVENTIE CYBERCRIME
15
16
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 4
Twee sporen voor informatiebeveiliging
Eerder is al aangegeven dat informatiebeveiliging begint bij het manage ment. Het management stelt het beleid hiervoor op, draagt het uit, wijst taken, verantwoordelijkheden en bevoegdheden toe en bewaakt de gang van zaken. Als de informatiebeveiliging goed geregeld is dan krijgt het manage ment een pluim en moet ze vooral doorgaan op de ingeslagen weg. Als de informatiebeveiliging echter nog niet goed geregeld is, dan ligt er in eerste instantie werk voor het management. De volgorde van de globaal te nemen stappen wordt in figuur 2 getoond.
Grote gaten dichten Spoor 1 Baseline-beveiliging Spoor 2
Prioriteit
Kritische systemen beveiligen
1 mnd
1 jaar
Tijd
Figuur 2. De tweesporenaanpak
4.1 Grote gaten dichten Wanneer informatiebeveiliging nog niet goed geregeld is, is het nodig om eerst de urgente ‘grote gaten’ te dichten. Dit heeft betrekking op de bedrei gingen die morgen al tot een ernstig incident zouden kunnen leiden en waarvoor de beveiligingsmaatregelen echt niet kunnen wachten. De porte feuillehouder voor informatiebeveiliging uit het managementteam kan, in overleg met de ervaren informatiebeveiligingsfunctionaris, in korte tijd een
ZAKBOEKJE PREVENTIE CYBERCRIME
17
eerste inschatting maken welke bedreigingen tot onacceptabele risico’s leiden en daarom met spoed aangepakt moeten worden. Tegen deze bedreigingen moeten direct maatregelen getroffen worden, zonder over bodige rompslomp. In de categorie ‘grote gaten’ vallen bedreigingen zoals fraude, misbruik, hacking, virus en systeemuitval. Bijbehorende maatregelen zijn bijvoorbeeld functiescheiding, een autorisatiesysteem met logging, een firewall, anti virussoftware en backup. Als er nog geen ervaren informatiebeveiligings functionaris is, dan valt dat ook in deze categorie en moet er haast gemaakt worden met het zoeken en aanstellen van een geschikte functionaris. Zo nodig kan tijdelijk een externe voor deze positie ingezet worden. De volgende stap heeft tot doel de informatiebeveiliging goed op de rails te zetten. Hierin kunnen we twee sporen onderscheiden. Het eerste spoor richt zich op het realiseren van een zogenaamde baseline voor de informatiebeveiliging. Het tweede spoor richt zich op het grondig onder de loep nemen van de kritische informatiesystemen om te kijken of voor die systemen aanvullende beveiliging nodig is.
4.2 Baseline voor de informatiebeveiliging Nadat de grote gaten gedicht zijn kan de informatiebeveiliging op de rails gezet worden. Het eerste spoor daarin is het realiseren van een zogenaamde baseline voor de informatiebeveiliging. Dit is een samenhangende verzame ling maatregelen die organisatiebreed ingevoerd worden. Voor een brede invoering kunnen verschillende redenen zijn: • Sommige maatregelen werken van zichzelf organisatiebreed, zoals bijvoorbeeld toegangspoortjes bij de ingang. • Sommige maatregelen gelden normaal gesproken voor alle medewerkers, zoals bijvoorbeeld gedragsregels. • Sommige maatregelen werken effectiever of efficiënter als ze organisatie breed ingevoerd worden, zoals bijvoorbeeld een centrale firewall. De baseline voor de informatiebeveiliging kan beschouwd worden als een minimumniveau voor de informatiebeveiliging. In de praktijk is gebleken dat een baseline voor verschillende organisaties ongeveer op dezelfde lijst maatregelen uitkomt, zelfs voor organisaties uit verschillende branches. Vandaar dat er richtlijnen verschenen zijn, waarin beschreven staat welke maatregelen normaal gesproken in de baseline opgenomen zouden moeten worden.
18
ZAKBOEKJE PREVENTIE CYBERCRIME
De meest bekende richtlijn voor de baseline voor informatiebeveiliging is de ‘Code voor informatiebeveiliging’. Inmiddels is deze richtlijn een inter nationale ISO-standaard geworden, met het nummer ISO/IEC 27002 (voorheen 17799). De Code voor informatiebeveiliging kan men hanteren als een checklist waarmee met controleert of alle relevante maatregelen getroffen zijn. Een bijkomend voordeel van het toepassen van de Code voor informatie beveiliging is dat de inrichting van de informatiebeveiliging vergelijkbaar en afstembaar is met die van andere organisaties, bijvoorbeeld ketenpartijen. De wereld verandert voortdurend, zodat regelmatig gecontroleerd moet worden of de maatregelen in de baseline nog wel voldoen. Het is raadzaam om informatiebeveiliging op een natuurlijke manier in te bedden in de activiteiten van de organisatie, zodat informatiebeveiliging mee kan liften met de onderhoudsprocessen in de organisatie.
4.3 Kritische informatiesystemen beveiligen Het tweede spoor richt zich op de informatiesystemen die zo belangrijk voor de organisatie zijn dat een stagnatie in deze systemen al snel leidt tot onacceptabele schade. Dit kunnen administratieve informatiesystemen zijn, zoals de GBA, of het financiële systeem, maar ook procesbesturings systemen voor bijvoorbeeld de waterzuivering, de riolering en het besturen van bruggen en sluizen. Stagnatie in dergelijke systemen kan leiden tot grote schade voor de gemeente zelf, of voor de omgeving. Daarom worden hoge eisen gesteld aan de beveiliging ervan. De eisen zijn zo hoog dat men er niet op voorhand van uit kan gaan dat de baseline voor de informatie beveiliging ook voor deze systemen een voldoende beveiligingsniveau biedt. Het is daarom nodig om deze informatiesystemen en de risico’s die daaraan kleven nader te analyseren. Hiervoor maakt men gebruik van risico analyse. Binnen de overheid wordt vaak de methode ‘Afhankelijkheids- en Kwetsbaarheidsanalyse’, oftewel A&K-analyse, toegepast. Net als bij andere methoden voor risicoanalyse, is het uitvoeren van een A&K-analyse specialistenwerk. De gebruikelijke gang van zaken is dat eerst door het management bepaald wordt welke processen kritisch zijn voor de organisatie of de omgeving. Ieder van deze processen heeft, of krijgt, een manager die als eigenaar van het proces beschouwd kan worden. De eigenaar stuurt zijn proces aan en is aanspreekbaar voor de goede gang van zaken in het proces. De eigenaar van een kritisch proces bepaalt welke informatiesystemen het betreffende proces kunnen verstoren.
ZAKBOEKJE PREVENTIE CYBERCRIME
19
Voor ieder van deze informatiesystemen wordt een risicoanalyse uitgevoerd. De eigenaar van het proces is daarvoor verantwoordelijk. Elke risicoanalyse resulteert in een lijst met maatregelen die nodig zijn om het onderzochte systeem te beveiligen. Alle maatregelen die nog niet in de baseline voor de informatiebeveiliging zitten, moeten als aanvulling daarop getroffen worden. De aanvullende maatregelen vallen vervolgens onder dezelfde beveiligings- en onderhoudsprocessen als de maatregelen in de baseline. Ook voor de kritische systemen verandert de wereld voortdurend, zodat regelmatig, bijvoorbeeld jaarlijks, gecontroleerd moet worden of de risico analyses en de daaruit voortvloeiende maatregelen nog wel actueel zijn.
20
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 5
Informatiebeveiliging en uitbesteding
Het goed realiseren van informatiebeveiliging in een gemeente is lastig. Sommige managers besteden dit bij voorkeur uit. Vooral als de automati sering al geheel of gedeeltelijk uitbesteed is aan een externe partij, dan leeft er al gauw het idee dat ‘zij de beveiliging er wel bij kunnen doen’. Daar zitten echter twee adders onder het gras. Ten eerste is informatiebeveiliging meer dan het treffen van beveiligings maatregelen in de automatisering. Informatiebeveiliging omvat ook het aansturen en coördineren van de informatiebeveiliging en tevens het beveiligen van de niet-geautomatiseerde informatiesystemen. Dit valt allemaal niet onder de automatisering en kan dan ook niet neergelegd worden bij de externe partij waaraan de automatisering uitbesteed is. Ten tweede is uitbesteden geen wondermiddel. Uitbesteden betekent niet dat alleen de dienstverlener werk verricht, maar dat beide partijen inspanning leveren, dus ook de opdrachtgever, in dit geval de gemeente. De regieorganisatie speelt hierbij een belangrijke rol. Het werk van de regieorganisatie is niet uit te besteden.
5.1 Uitbesteden van informatiebeveiliging Uitbesteden is weliswaar geen wondermiddel, maar kan in veel situaties zeer nuttig zijn. Ook voor informatiebeveiliging binnen een gemeente is uitbesteden een reële optie, zij het dat niet de hele informatiebeveiliging uit te besteden is. Bij het uitbesteden van delen van de informatiebeveiliging moet onderscheid gemaakt tussen de volgende twee zaken: • Het uitbesteden van informatiebeveiligingstaken of -diensten. Een voor beeld hiervan is het uitbesteden van de inrichting en het beheer van de firewall aan een daarin gespecialiseerd beveiligingsbedrijf. • Het (mee) uitbesteden van het aspect informatiebeveiliging. Een voor beeld hiervan is het uitbesteden van (een deel van) de automatisering. Normaal gesproken zorgt de externe dienstverlener dan ook voor het beveiligen van deze automatisering.
ZAKBOEKJE PREVENTIE CYBERCRIME
21
Uitbesteden kan gebeuren aan een commerciële externe marktpartij, maar kan ook gebeuren aan een Shared Services Organisatie, of aan een andere gemeente. In alle gevallen is, gezien vanuit de uitbestedende gemeente, sprake van een externe partij. Uitbesteden heeft voordelen, maar ook nadelen. Voordelen zijn onder meer dat een in informatiebeveiliging gespecialiseerde leverancier informatie beveiliging beter kan regelen, en wellicht, door schaalvoordelen, ook nog goedkoper. De eigen organisatie kan zich dan weer toeleggen op haar kern taken. Uitbesteden heeft echter ook nadelen, zoals afhankelijkheid van de dienstverlener, inflexibiliteit door ‘afspraak is afspraak’ en extra kosten voor onder andere winst- en risicomarge. In de praktijk rekenen veel organisa ties, ook gemeenten, zich rijk bij het maken van plannen voor uitbesteding. Als de uitbesteding eenmaal gerealiseerd is, blijkt de situatie veel minder rooskleurig te zijn. Dan blijkt bijvoorbeeld een informatiebeveiligingsdienst niet zo goed(koop) te zijn als gedacht, of bij een automatiseringsdienst blijkt de beveiliging niet ingecalculeerd te zijn. Voor uitbesteden geldt: ‘bezint eer ge begint’. Als een gemeente delen van de informatiebeveiliging wil uitbesteden, dan start het uitbestedingsproces op. Dit proces doorloopt achtereenvolgens de besluitvormingsfase, de selectiefase, de transitiefase en de dienstverleningsfase. In de besluitvormingsfase wordt aan de hand van een businesscase beoor deeld of, en in welke mate, uitbesteding zinvol is. In de selectiefase wordt een geschikte dienstverlener geselecteerd en daar worden afspraken mee gemaakt. De afspraken komen in een formeel document, een Service Level Agreement (SLA). Als de uitbesteding betrekking heeft op het aspect informatiebeveiliging van, bijvoorbeeld, uit te besteden automatisering, dan komen in de SLA voor de betreffende automatisering de afspraken over de beveiliging ervan te staan. Aangezien de gemeente eindverantwoordelijk is voor de informatiebeveiliging, moet zij zelf aangeven welk beveiligings niveau nodig is. Na het afsluiten van de SLA vindt de transitie plaats naar de uitbestede situatie. In de dienstverleningsfase is de uitbesteding een feit en levert de dienstverlener de overeengekomen diensten. In de dienstverleningsfase is de dienstverlener verantwoordelijk voor de te leveren diensten. Toch is het nodig dat de gemeente, als opdrachtgever, ook zelf bewaakt dat de dienstverlener blijft voldoen aan de afspraken, en de dienstverlener direct informeert als er afwijkingen geconstateerd worden.
22
ZAKBOEKJE PREVENTIE CYBERCRIME
Daarnaast moet de gemeente eventuele wijzigingen in de eigen situatie tijdig doorgeven aan de dienstverlener, zodat de dienstverlener de mogelijk heid heeft om de dienstverlening aan te passen aan de gewijzigde behoefte.
5.2 De regieorganisatie Het bewaken van de dienstverlening en het aansturen van de dienstverlener is een continue activiteit die belegd wordt bij een specifiek organisatie onderdeel, de regieorganisatie. Gemeenten hebben het aansturen van hun externe partijen veelal ondergebracht in één regieorganisatie, maar er kunnen ook meerdere regieorganisaties zijn. In de regieorganisatie voor de partijen die informatiebeveiligingsdiensten leveren, zitten medewerkers met kennis en inzicht op het gebied van informatiebeveiliging, en kennis en inzicht op het gebied van aansturing van externe partijen. Het goed aansturen van externe partijen wordt vaak onderschat, zowel in belang als in moeilijkheidsgraad. Het is belangrijk dat in de regieorganisatie capabele medewerkers zitten met voldoende tijd en middelen voor hun taken. Om de dienstverlening bij de dienstverlener op locatie te kunnen contro leren, kan de regieorganisatie zelf audits uitvoeren, of een onafhankelijke auditorganisatie audits uit laten voeren. In beide gevallen moeten hierover duidelijke afspraken gemaakt zijn in de SLA. Bovendien moeten afspraken gemaakt zijn over hoe beide partijen omgaan met de geconstateerde gebreken en deze ook managen (SLM).
ZAKBOEKJE PREVENTIE CYBERCRIME
23
24
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 6
Praktische tips
6.1 Controleer uw beeld Informatiebeveiliging is noodzakelijk. Onderzoeken uit de praktijk laten zien dat veel cybercrime en bedreigingen op een gemeente afkomen. Als manager sta je hier veelal niet bij stil. Zonder beveiligingsmaatregelen zouden aan de lopende band incidenten optreden. Gelukkig zijn er binnen vrijwel elke gemeente op ad hoc basis al heel wat maatregelen getroffen. Vaak geïnitieerd door de betrokken uitvoerende medewerkers, zoals ICTen personeelsfunctionarissen. Veel incidenten worden hierdoor al voor komen. Maar niet allemaal. Dat ene ernstige incident dat juist niet voorkomen wordt, kan morgen optreden. In de praktijk treden al veel, meestal kleine, incidenten op, ondanks de getroffen maatregelen. Op basis van het ad hoc karakter van informatiebeveiliging kan geen enkele garantie gegeven worden dat er effectief en efficiënt tegen bedreigingen opgetreden wordt. Managers krijgen in het algemeen te weinig informatie over informatie beveiliging, zodat zij hun ideeën over wat er kan gebeuren, en de ernst ervan, te weinig kunnen baseren op objectieve feiten. Daardoor onderschatten ze veelal het belang en laten het ad hoc karakter van informatiebeveiliging toe. Het gaat te ver om van alle managers te vragen om zich op de hoogte te stellen van de laatste onderzoeksrapporten, maar managers kunnen zich wel kort en bondig op de hoogte laten stellen door deskundigen van binnen of van buiten de organisatie. Dit bevordert bovendien de dialoog over infor matiebeveiliging tussen het management en andere medewerkers met taken op het gebied van informatiebeveiliging.
6.2 Koester goede mensen Informatiebeveiliging is lastig en tijdrovend. Te lastig en tijdrovend om helemaal op het bordje van het management te liggen. Daarom hebben managers goede medewerkers voor informatiebeveiliging nodig. Deze kunnen de managers ondersteunen en werk uit handen nemen, zodat de managers hun handen vrij hebben voor visie, beleid, coördinatie en aansturing op het gebied van informatiebeveiliging. De managers
ZAKBOEKJE PREVENTIE CYBERCRIME
25
hebben hier hun handen vol aan. De medewerkers kunnen het uitvoerende werk voor informatiebeveiliging doen. In de praktijk blijkt echter dat managers informatiebeveiligingstaken nogal eens toewijzen aan mede werkers die daar niet voldoende tijd voor hebben en bovendien de benodigde integrale kennis en inzicht missen om informatiebeveiliging effectief en efficiënt aan te pakken. Daardoor ondersteunen deze mede werkers het management onvoldoende en bovendien maken ze sneller fouten, wat weer tot incidenten kan leiden. Managers moeten voldoende aandacht hebben voor het vinden en aannemen van goede en goed geschoolde medewerkers. Goede medewerkers vinden en aannemen is cruciaal voor informatie beveiliging, maar nog niet voldoende. Goede medewerkers kunnen overal werk vinden. Daarom is het belangrijk om deze mensen aan de organisatie te binden met uitdagend werk, voldoende autonomie, goede ontplooiings mogelijkheden en een redelijke beloning. Bovendien is het nodig om medewerkers ook op langere termijn op niveau te houden, zowel voor de ontplooiing van de medewerkers, als voor de effectiviteit van de mede werkers. Daarom hebben medewerkers regelmatig training, bijscholing en stimulans nodig; daar moet wel tijd voor vrijgemaakt worden. Door de waan van de dag lijkt er nooit een goed moment voor opleiding te zijn, daarom moet dit soort activiteiten stringent ingeroosterd worden, met volledig commitment van het management.
6.3 Werk aan bewustwording Informatiebeveiliging is een zaak van managers en medewerkers. Medewerkers zijn in principe van goede wil, maar kijken wel naar de managers. De managers moeten het goede voorbeeld geven. Goed voorbeeld doet goed volgen, slecht voorbeeld doet slecht volgen. Het geven van het goede voorbeeld is noodzakelijk voor de medewerking van de medewerkers, maar er komt nog meer bij kijken. Informatiebeveiliging staat of valt met het draagvlak voor de maatregelen die getroffen worden. Het draagvlak wordt gelegd door de medewerkers te betrekken bij het selec teren en implementeren van maatregelen. Aan de andere medewerkers moet de redelijkheid van de maatregelen uitgelegd kunnen worden. Vervolgens moeten de maatregelen natuurlijk wel ingevoerd worden zoals ze besproken en uitgelegd zijn naar de medewerkers.
26
ZAKBOEKJE PREVENTIE CYBERCRIME
Incidenten zijn veelal terug te leiden tot het overtreden van procedures. Procedures uit het verleden, die wellicht ooit goed ingevuld zijn, maar die al jaren niet nageleefd worden. En als de procedures gevolgd zouden worden, dan draaien de primaire processen in de soep. Aan zulke procedures heeft de organisatie niets; ze zijn alleen te gebruiken voor het zwartepieten na een incident. Ook informatiebeveiliging komt met zulke procedures geen stap verder. Procedures zijn alleen zinvol als ze kort en duidelijk zijn, nodig zijn, passen bij de organisatie en de processen, gedragen worden door de medewerkers en geregeld geactualiseerd worden. Wellicht dat nog niet alle procedures in uw gemeente hieraan voldoen.
6.4 Integreer informatiebeveiliging Informatiebeveiliging staat niet op zichzelf. Informatiebeveiliging moet op een natuurlijke manier ingebed zijn in de activiteiten van de organisatie en het handelen van de medewerkers. Informatiebeveiliging kan daarvoor het beste worden meegenomen in de normale jaarplanning van bedrijfs activiteiten. Hierdoor wordt informatiebeveiliging een vanzelfsprekend onderdeel van de organisatie. Voor het informatiebeveiligingsbeleid gelden dan dezelfde regels als voor de overige activiteiten die de organisatie draai ende moeten houden: er wordt jaarlijks beleid bijgesteld, bij de budget aanvraag wordt een kosten/baten-afweging gemaakt, acties worden benoemd en de benodigde mensen en middelen zijn inzichtelijk gemaakt. Hierbij kan het beste zoveel mogelijk gebruik gemaakt worden van bestaan de procedures. Bovendien kan in de periodieke risicoanalyse van de pri maire processen de kwetsbaarheid van de primaire processen meegenomen worden. Daaruit komen immers de eisen voor de informatiebeveiliging.
6.5 Inventariseer wet- en regelgeving Elke organisatie moet zich houden aan de wet. Er is inmiddels een hele verzameling wet- en regelgeving van toepassing op informatiesystemen en informatiebeveiliging, zoals: • De Telecommunicatiewet. • De Auteurswet. • De Wet Bescherming Persoonsgegevens. • De Wet Computercriminaliteit II. • Etc.
ZAKBOEKJE PREVENTIE CYBERCRIME
27
Voor gemeenten komt daar nog andere wet- en regelgeving bij, zoals: • De Gemeentewet. • De Comptabiliteitswet. • De Wet Gemeentelijke Basisadministratie Persoonsgegevens. • De Archiefwet. • Etc. Het is verstandig om vroegtijdig de relevante wet- en regelgeving te inventa riseren en de informatiesystemen en informatiebeveiliging daarop af te stemmen. Een bijkomend voordeel is, dat het dan ook mogelijk is om de benodigde inspanningen en producten voor de verschillende wet- en regel geving op elkaar af te stemmen. Bovendien hoeft men niet meer bang te zijn op enig moment verrast te worden door een controlerende instantie.
6.6 Gebruik standaarden Informatiebeveiliging heeft een lange historie. In de loop van de tijd hebben veel organisaties hun ervaringen gebundeld in richtlijnen. Bij voldoende brede erkenning kunnen deze doorgroeien tot standaarden. Gemeenten hoeven geen wielen uit te vinden. Het is beter om geschikte standaarden te zoeken en die te gebruiken. Dat heeft als bijkomend voordeel dat de informatiebeveiliging te vergelijken is met die van andere organisaties die dezelfde standaarden gebruiken. Op het gebied van informatiebeveiliging springen een paar standaarden er qua relevantie uit. De belangrijkste hiervan zijn ISO/IEC 27001 en 27002. Deze standaarden zijn in het Nederlands te verkrijgen en zijn binnen een gemeente zeer goed toepasbaar. De ISO/IEC 27002 is bekend als de ‘Code voor informatiebeveiliging’. Deze standaard schetst een reeks maat regelen met een organisatiebrede scope op de volgende aandachtsgebieden: • Beveiligingsbeleid. • Organisatie van informatiebeveiliging. • Beheer van bedrijfsmiddelen. • Beveiligingseisen ten aanzien van personeel. • Fysieke beveiliging en beveiliging van de omgeving. • Beheer van communicatie- en bedieningsprocessen. • Toegangsbeveiliging. • Verwerving, ontwikkeling en onderhoud van informatiesystemen. • Beheer van informatiebeveiligingsincidenten. • Bedrijfscontinuïteitsbeheer. • Naleving.
28
ZAKBOEKJE PREVENTIE CYBERCRIME
6.7 Leer van incidenten Incidenten laten de zwakke kanten van de informatiebeveiliging zien. Als de informatiebeveiliging nog niet op orde is, dan geven de incidenten boven dien een indicatie van de bedreigingen die zoal voorkomen. Veel (kleine) incidenten zullen echter niet eens opgemerkt worden, omdat daarvoor geen detectie geregeld is. En als ze wel opgemerkt worden, dan is het onvoorspel baar waar de meldingen daarover terechtkomen en of er überhaupt iets mee gedaan wordt. Bovendien zijn medewerkers zich er vaak niet van bewust dat ze naast elkaar slachtoffer zijn van dezelfde bedreigingen. En ieder voor zich maken ze daar geen melding van. Daardoor ligt het werkelijke aantal incidenten en de daaruit resulterende schade in de praktijk meestal bedui dend hoger dan het management denkt. Er kan zelfs een volledig misplaatst gevoel van veiligheid ontstaan, omdat ‘bij ons nooit wat gebeurt’. Het lijkt of de informatiebeveiliging wel op orde is, terwijl het tegendeel het geval is. Een goede registratie van incidenten, klein en groot, kan het inzicht in de bedreigingen, incidenten en opgelopen schade verbeteren. Dit kan helpen bij het beter stellen van prioriteiten. Eventuele gaten in de informatiebeveiliging kunnen ook zichtbaar gemaakt worden met penetratietesten (ethische hacking) en social engineering (mystery guests). Met een penetratietest wordt door een deskundige van buitenaf via het Internet getest hoe goed de beveiliging van de gemeente lijke informatiesystemen is. Met social engineering wordt door een deskun dige getest in hoeverre de medewerkers van de gemeente bestand zijn tegen aanvallers die misbruik maken van menselijke zwakheden. Een bijzondere plaats nemen ernstige incidenten op het gebied van infor matiebeveiliging in. Uiteraard komt ieder incident ongelegen. Toch zit er ook een positief kantje aan. Een incident kan namelijk gebruikt worden om de medewerkers met hun neus op de feiten te drukken. Een incident, en vooral een ernstig incident, geeft aan dat er wat schort aan de informatie beveiliging. De meeste medewerkers onderkennen in een dergelijke situatie het falen van de informatiebeveiliging en zijn bereid daar wat aan te doen. Meestal zijn ze zelfs bereid om zich ook nog extra in te spannen voor het verbeteren van andere aspecten van de informatiebeveiliging. Deze bereid heid duurt echter maar enkele dagen tot weken en verdwijnt dan weer. Na een ernstig incident zal dus snel gereageerd moeten worden om van dit effect te kunnen profiteren.
ZAKBOEKJE PREVENTIE CYBERCRIME
29
6.8 Leer van anderen Informatiebeveiliging is een onderwerp waar elke gemeente, net als elke andere organisatie, aan moet werken. Veel organisaties hebben al waardevolle ervaringen opgedaan met informatiebeveiliging in de praktijk. Veelal zijn deze organisaties bereid hun ervaringen met u te delen. Dat geldt vooral voor andere gemeenten en publieke organisaties. Start het overleg op, wissel ervaringen uit en laat u zo nodig bijstaan door een onafhankelijke adviseur.
30
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 7
Checklist voor de manager
7.1 Informatiebeveiliging op niveau krijgen De volgende vragen kan de manager of bestuurder van een gemeente zich stellen ten aanzien van het op niveau krijgen van de informatiebeveiliging: • Heeft u geïnventariseerd waar mogelijk ‘grote gaten’ in de informatie beveiliging zitten en heeft u die allemaal gedicht? • Heeft u een beleid voor informatiebeveiliging opgezet en naar de organisatie uitgedragen? • Besteedt u voldoende aandacht aan informatiebeveiliging en geeft u zelf het goede voorbeeld? • Is het eigenaarschap van alle processen en informatiesystemen duidelijk belegd en zijn de betreffende managers zich bewust van de consequenties daarvan? • Heeft u een baseline voor de informatiebeveiliging ingevoerd en is het onderhoud hiervan in de organisatie belegd? • Heeft u geïnventariseerd welke informatiesystemen kritisch zijn en worden daar risicoanalyses voor uitgevoerd? • Heeft u ervaren medewerkers, waaronder een informatiebeveiligings functionaris, die u kunnen ondersteunen bij het ontwerpen en inrichten van informatiebeveiliging? • Worden de andere medewerkers voldoende betrokken bij het selecteren en implementeren van maatregelen voor informatiebeveiliging? • Zijn alle procedures kort en duidelijk, nodig, passend bij de organisatie en de processen, gedragen door de medewerkers en worden ze geregeld geactualiseerd? • Als u gebruik maakt, of wil gaan maken, van uitbesteding, heeft u daarvoor dan een goede businesscase en een adequate regieorganisatie? • Heeft u geïnventariseerd welke wet- en regelgeving voor uw organisatie relevant is en voldoen de organisatie en eventuele externe dienstverleners daar ook aan? • Maakt u gebruik van standaarden, zoals de ISO/IEC 27001 en 27002?
ZAKBOEKJE PREVENTIE CYBERCRIME
31
7.2 Informatiebeveiliging op niveau houden De volgende vragen kan de manager of bestuurder van een gemeente zich stellen ten aanzien van het op niveau houden van de informatiebeveiliging: • Heeft u regelmatig contact met deskundigen van binnen en van buiten de organisatie om u op de hoogte laten stellen van de status van de informatiebeveiliging? • Besteedt u voldoende aandacht aan informatiebeveiliging en geeft u zelf het goede voorbeeld? • Heeft u ervaren medewerkers, waaronder een informatiebeveiligings functionaris, die u kunnen ondersteunen bij het op niveau houden van informatiebeveiliging? • Is informatiebeveiliging op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers? • Heeft u een accurate registratie van alle gesignaleerde incidenten, klein en groot, zodat u lering kunt trekken uit de opgetreden incidenten? • Worden audits uitgevoerd op de informatiebeveiliging binnen de gemeente, en indien van toepassing bij de externe dienstverleners? • Heeft u overleg met andere gemeenten en overheidsorganisaties om regelmatig ervaringen op het gebied van informatiebeveiliging uit te wisselen?
32
ZAKBOEKJE PREVENTIE CYBERCRIME
Hoofdstuk 8
Tot slot
Informatiebeveiliging is geen keuze; informatiebeveiliging moet. Bij onvol doende aandacht voor informatiebeveiliging kunnen gegevens over burgers en bedrijven aangetast raken, of in verkeerde handen komen. De fysieke veiligheid van de bevolking kan zelfs in gevaar komen. Met een toenemend gebruik van het Internet, ook door gemeenten, zijn er nieuwe bedreigingen bijgekomen. Cybercrime maakt hier deel van uit. Mede daardoor neemt de kans op incidenten met een grote impact toe. Dit soort incidenten kan het vertrouwen van burgers en bedrijven in de gemeente en andere publieke organisaties aantasten. Dat kan een gemeente zich niet permitteren. Voldoende aandacht voor informatiebeveiliging is dan ook broodnodig. Informatiebeveiliging kent vele technische, organisatorische en menselijke aspecten. Het is verre van triviaal. Aan de andere kant verschilt het aan sturen ervan niet zo erg veel van het aansturen van andere bedrijfsproces sen. Eigenlijk stoelt het aansturen van informatiebeveiliging vooral op gezond verstand en het inzetten van goede mensen. Veel tijd hoeft dat het management niet te kosten, maar op zijn tijd enige gerichte aandacht is wel noodzakelijk. Hoewel de verleiding misschien groot is, is het niet verstandig te bezuini gen op de capaciteit en vooral ook de kwaliteit van de medewerkers voor informatiebeveiliging. Het functioneren van uw organisatie is dusdanig afhankelijk van betrouwbare informatie dat u en de burger de zekerheid moeten hebben dat deze in goede handen is. In dit boekje hebben we de belangrijkste ins en outs van informatie beveiliging voor u als manager geschetst. Als u uw informatiebeveiliging goed op de rails heeft, dan hoeven ook relatief nieuwe bedreigingen zoals cybercrime voor u geen probleem te zijn. Bedenk echter wel dat informatie beveiliging geen eenmalige exercitie is; het is een continu proces dat steeds gerichte aandacht nodig heeft.
ZAKBOEKJE PREVENTIE CYBERCRIME
33
34
ZAKBOEKJE PREVENTIE CYBERCRIME
Literatuurlijst 1. Een twee-sporenaanpak voor informatiebeveiliging, M. Spruit en M. de Graaf, Management Executive, nr. 1, 2004, blz. 34-37. 2. Handboek informatiebeveiliging, E. Cardoza en anderen (redactie), VIAG, Culemborg, 2005. 3. Handboek Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken / ACIB, Den Haag, 1995. 4. Informatiebeveiliging bij de overheid: een veranderproces, B. Glashouwer en P. Wielaard, Informatiebeveiliging, nr. 2, 2002, blz. 10-14. 5. Informatiebeveiliging onder controle, P. Overbeek, E. Roos Lindgreen en M. Spruit, Pearson, Amsterdam, 2005. 6. Informatiebeveiliging voor de overheid; een praktische aanpak, B. Glashouwer en anderen, HEC, Den Haag, 2002. 7. Integratie van informatiebeveiliging, M. Spruit, Informatie, nr. 8, 2006, blz. 8-11. 8. NEN-ISO/IEC 27001: 2005 nl, Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen, NNI, Delft, 2005. 9. NEN-ISO/IEC 27002: 2007 nl, Informatietechnologie - Beveiligingstechnieken - Code voor informatiebeveiliging, NNI, Delft, 2007. 10. Opgeruimd staat netjes? Uitbesteden van ICT in de publieke sector, C. Wauters, M. Spruit en M. Vermeulen, SDU, Den Haag, 2008. 11. Organisatiefouten vaak oorzaak van menselijk falen, M. Spruit, TIEM, nr. 16, 2006, blz. 8-11.
ZAKBOEKJE PREVENTIE CYBERCRIME
35
Trefwoordenlijst Trefwoord
Beschrijving
Audit
Een onderzoek naar de kwaliteit van een product, proces of organisatie door een onafhankelijke partij.
Baseline
Een samenhangende verzameling maatregelen die organisatiebreed ingevoerd worden.
Bedreiging
Een gebeurtenis of een proces die in potentie tot een incident kan leiden.
Beschikbaarheid
De mate waarin informatie op de juiste momenten beschikbaar is voor gebruikers.
Beveiligingsmaatregel
Een product of proces dat beoogt te voorkomen dat een bedreiging tot een incident leidt, of anders de schade beperkt.
Business case
Een document waarin alle motieven, voor- en nadelen, risico’s en keuzemogelijkheden van een te nemen beslissing zorgvuldig zijn beschreven en gewogen.
Contract
Een formeel document waarin twee of meer partijen afspraken vastleggen.
Cybercrime
Computercriminaliteit waarbij gebruik gemaakt wordt van het Internet.
ICT
Informatie- en communicatietechnologie.
Impact
De gevolgen van een bedreiging die zich manifesteert.
Incident
Een ongewenste gebeurtenis die tot schade – financieel of anderszins – heeft geleid.
Informatiebeveiliging
Het treffen en onderhouden van een samenhangend pakket maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te borgen.
Informatiesysteem
Een systeem voor het verzamelen, bewerken, opslaan, distribueren en presenteren van gegevens.
Informatievoorziening
De verzameling informatiesystemen en de daarvoor benodigde infrastructuur.
Integriteit
De mate waarin informatie is, zoals die bedoeld is.
36
ZAKBOEKJE PREVENTIE CYBERCRIME
Trefwoord
Beschrijving
Opdrachtgever
Een organisatie die een gegeven partij een formele opdracht geeft, bijvoorbeeld voor uitbesteding.
Preventie
Het voorkómen van een incident.
Regieorganisatie
Het organisatieonderdeel waar de regievoering belegd is, oftewel de aansturing vanuit de opdrachtgever.
Repressie
Het reduceren van de schade na een opgetreden incident.
Risico
De jaarlijks te verwachten schade door het manifesteren van bedreigingen.
Risicoanalyse
Een methode die inventariseert welke risico’s er zijn, welke daarvan onacceptabel zijn en welke maatregelen de risico’s kunnen reduceren.
Risicomanagement
Het proces dat beoogt risico’s te inventariseren en te beheersen.
Schade
De negatieve gevolgen van een incident, financieel of anderszins. Schade omvat de directe schade, bijvoorbeeld om een beschadigd onderdeel te vervangen, als ook de gevolgschade, bijvoorbeeld het verlies van klanten.
Service Level Agreement (SLA)
Een formele overeenkomst waarin het kwaliteitsniveau van te leveren diensten beschreven staat. Een SLA kan deel uitmaken van een contract.
Service Level Management
Het proces of de functie waarin de afstemming tussen de klant en de dienstverlener zich afspeelt.
Shared service organisatie (SSO)
Een organisatie die ontstaat als meerdere partijen een deel van hun activiteiten samenvoegen en al dan niet op afstand plaatsen.
Uitbesteding
Het beleggen van taken en verantwoordelijkheden bij één of meerdere externe dienstverleners.
Vertrouwelijkheid
De mate waarin de toegang tot informatie beperkt is tot degenen die daartoe bevoegd zijn.
ZAKBOEKJE PREVENTIE CYBERCRIME
37
HET EXPERTISE CENTRUM
Een vastgelopen project, een mislukte definitiestudie, een uit de hand gelopen budget… Kunnen dit soort problemen voorkomen worden? En zo ja, hoe? Complexe vraagstukken. Enkele van de vele. Want het wordt steeds ingewikkelder om de organisatie van de informatievoorziening goed te regelen. Daarom zijn experts gewenst. Deze experts werken bij Het Expertise Centrum. Het Expertise Centrum is een onafhankelijk adviesbureau dat zich bezighoudt met overheids informatisering. Het bureau kenmerkt zich door onafhankelijkheid bij het aannemen en uitvoeren van opdrachten. Dat waarborgen wij door de stichtingsvorm. Maar ook door alleen rechtstreeks voor de opdrachtgever te werken en niet als onderaannemer. Onze consultants kennen de overheidscultuur van zeer dichtbij. Niet alleen van het Rijk, maar ook van de provincies, gemeenten, waterschappen en verzelfstandigde organisaties. Zij hebben daardoor als geen ander inzicht in de bestuurlijke en organisatorische aspecten van de informatievoorziening. En zij kunnen u bijstaan bij problemen van vandaag en het voorkomen van problemen van morgen. Wat kunnen wij voor u doen? • Strategische advisering; • Contra-expertise; • Programma- en procesmanagement; • Projectadvisering; • Audit en review; • Opleiding en traineeprogramma’s. [ www.hec.nl ] NICC Nationale infrastructuur tegen cybercrime Het Programma NICC is een publiekprivate samenwerking bedoeld om de bestrijding van cybercrime te verbeteren. Het NICC onderneemt zelf niets tegen cybercrime. Binnen en buiten de overheid werkt een groot aantal partijen aan die bestrijding. Als die partijen optimaal samenwerken zal deze bestrijding veel effectiever worden. Daarom brengt het NICC die partijen bij elkaar in een Nationale Infrastructuur ter bestrijding van Cybercrime.
[www.samentegencybercrime.nl] VIAG
De VIAG is in 1991 opgericht en komt voort uit een initiatief van een aantal gemeentelijke coördinatoren I&A. Daarmee is gehoor gegeven aan een behoefte om overlegstructuren te bundelen en de functie van de coördinator I&A te voorzien van een heldere omkadering, waardoor die functie meer erkenning krijgt. Deze behoefte is nog steeds actueel, al zien wij een verschuiving naar de rol van informatiemakelaar, informatiearchitect en/of informatiemanager. De Viag richt zich met name op Gemeente tot 100+ inwoners. [www.viag.nl]
ISBN–978-90-75239-33-1
Related Documents
2008 - Zakboekje Preventie Cybercrime
June 2020 4
Cybercrime Kelompok 1.pdf
October 2019 46
Preventie Si Masuri.docx
November 2019 4
The Cybercrime Prevention Act.docx
May 2020 5
Cybercrime Prevention Act.docx
June 2020 6