23 maart 2022

Hoe vinden gemeenten de balans tussen informatieveiligheid en werkbaarheid

Bij informatiebeveiliging zoeken gemeenten continu naar een goede balans tussen techniek en organisatie. Vanuit IT-veiligheid wil je het liefst alles dichttimmeren, maar wat blijft er dan nog over aan gebruiksvriendelijkheid? Hoe kunnen gemeenten veiligheidsincidenten voorkomen en tegelijk hun processen werkbaar houden en hun dienstverlening verder digitaliseren? Met aan de ene kant een complex en verSaaSt 
IT-ecosysteem, niet altijd zeer IT-minded medewerkers en besluitvorming die soms politiek gemotiveerd is, en aan de andere kant steeds geavanceerdere cyberaanvallen. Hoe vind je die balans?

Bij de online Ronde Tafel Gemeenten van Solvinity en Quarant, op woensdag 9 maart 2022, lag dat vraagstuk centraal op tafel. Onder de titel ‘Informatiebeveiliging: breng je organisatie en techniek in balans’ gingen I&A-verantwoordelijken van gemeenten en experts met elkaar in gesprek. Dit was de tweede keer dat deze Ronde Tafel werd gehouden. De eerste editie in oktober 2021 was een succes, met een grote opkomst en een gemiddelde waardering van 8,8.

Ook deze editie werd druk bezocht. Het blijkt een urgent en zeer relevant onderwerp voor gemeenten, die aangeven behoefte te hebben aan advies en (praktijk)kennis. De urgentie van het onderwerp werd nog extra geïllustreerd door de case van gemeente Hof van Twente. Jaap de Jonge, beleidsmedewerker informatievoorziening van die gemeente, gaf een fascinerend kijkje achter de schermen bij de hack en het herstel van de IT-systemen van Hof van Twente.

" De aandacht van de gemeente ging uit naar de I-ambities, zoals digitalisering van dienstverlening en bedrijfsvoering en informatiegedreven werken, en niet echt naar het technische fundament en de veiligheid daarvan."
Jaap de Jonge
Beleidsmedewerker informatievoorziening bij Gemeente Hof van Twente

Weinig aandacht voor het fundament

Op 1 december 2020 werd gemeente Hof van Twente getroffen door een ransomware-aanval. Alle lokale systemen bleken niet meer benaderbaar, de cloudsystemen nog wel. De enige back-up was versleuteld. De aanval had een enorme impact op de gemeente. De kosten als gevolg van de hack en het herstel liggen tussen de 3 en 4 miljoen euro en nu nog – ruim een jaar later – zijn de gevolgen merkbaar.

Een van de oorzaken dat Hof van Twente slachtoffer werd, is volgens Jaap onvoldoende risicobewustzijn. “De aandacht van de gemeente ging uit naar de I-ambities, zoals digitalisering van dienstverlening en bedrijfsvoering en informatiegedreven werken en niet echt naar het technische fundament en de veiligheid daarvan.”

Die strijd tussen ‘wat eigenlijk zou moeten’ en ‘hoe het in de praktijk gaat’ was voor veel deelnemers herkenbaar. Er worden enerzijds vaak gevechten geleverd om af te wijken van de beveiligingsprotocollen, om processen te versnellen of te vergemakkelijken. Bovendien zijn medewerkers niet altijd zorgvuldig – of deskundig – genoeg om de regels te volgen. Anderzijds is de besluitvorming niet per se inhoudelijk.

Een college van B&W kan, zeker in aanloop naar verkiezingen, soms keuzes maken die meer met de beeldvorming dan met de actuele noodzaak te maken hebben, aldus deelnemers. En het zit volgens Jaap de Jonge ook in de aard van mensen om te optimistisch te zijn. “Er heerst al snel het idee: ons overkomt dat niet. Zelfs bij ons, na wat ons is overkomen, zie ik dat de alertheid nu alweer verslapt.”

" Investeer continu in kennis en training en schakel experts in waar actuele kennis ontbreekt. Juist bij gemeenten, met een complex multi-cloud applicatielandschap en verschillende leveranciers en dienstverleners, is de hulp van specialisten meestal onontbeerlijk."

55% heeft voldoende weerstand tegen hacks

Bij een peiling vooraf onder de deelnemers gaf iets meer dan de helft aan dat de eigen organisatie op volwassenheidsniveau 3 (van 5) zit van de Baseline informatiebeveiliging Overheid (BIO). Als het gaat om informatiebeveiliging vindt men vooral het borgen van de bedrijfscontinuïteit en het monitoren, beoordelen en auditten van IT-leveranciers lastig. Op de vraag ‘Kan jouw organisatie voldoende weerstand bieden tegen cybercriminaliteit?’ zegt 55 procent ja en 45 procent nee. De nee-zeggers willen het interne beveiligingsteam uitbreiden. De ja-zeggers denken dat de investering in de kennis van medewerkers een belangrijk wapen in de strijd tegen cybercriminaliteit is.

“Als we het hebben over digitale transformatie, dan moeten we het naar mijn overtuiging ook hebben over een transformatie van de personele formatie. Nieuwe rollen ontstaan. En er moet iets aan de cultuur veranderen”, zei Wim Hoekstra, Strategisch Adviseur I&A van Quarant.

Volgens Rob van Ewijck, Business Manager bij Solvinity, moet informatiebeveiliging van iedereen zijn. Het bestuur en de directie moeten de noodzaak en urgentie actief uitdragen en security voldoende budget en prioriteit geven. De IT-organisatie zal Security by Design en Zero Trust als uitgangspunt moeten nemen en voorbereid moeten zijn op incidenten – wat betreft business continuity en disaster recovery.

“Investeer continu in kennis en training en schakel experts in waar actuele kennis ontbreekt. Juist bij gemeenten, met een complex multi-cloud applicatielandschap en verschillende leveranciers en dienstverleners (in 2025 is volgens onderzoek 60% van de gemeentelijke software verSaaSt), is de hulp van specialisten meestal onontbeerlijk.” Een deelnemer noemde de ervaring van veel collega’s over gebrekkig inzicht in (de beveiliging van) de eigen IT-omgeving en de achterblijvende expertise van medewerkers met enig sarcasme ‘een feest van herkenning’. Kennelijk is er bij veel gemeenten nog een hoop werk te verzetten.

Bewustzijn, bewustzijn, bewustzijn

Uiteindelijk blijft de mens toch de zwakste schakel. Ook dat is een breed gedragen constatering. Rob van Ewijck: “Bij de eindgebruiker gaat het vooral om drie aspecten: bewustzijn, bewustzijn, bewustzijn. Je vindt nooit een goede balans tussen techniek en organisatie als eindgebruikers zich niet bewust zijn van het enorme risico dat een gemeente loopt en de rol die zij zelf spelen in het beperken daarvan.”

Zelf aan de slag?

Dit zijn de belangrijkste aandachtspunten bij informatiebeveiliging:

  • Bestuur - stel de juiste en voldoende middelen ter beschikking
  • IT-organisatie - richt je processen, sourcingstrategie en techniek in
  • Medewerkers - investeer in next-level kennis en vaardigheden
  • Samenwerking - werk intensiever samen met je omgeving
  • Kennis – maak (meer) gebruik van kennis en ervaring op de markt

 

En niet in de laatste plaats: maak vooral een einde aan de vrijblijvendheid van dit soort maatregelen.

Wil jij er de volgende keer ook bij zijn? Meld je aan voor de nieuwsbrieven van Solvinity en Quarant.

Wil je verder in gesprek over het thema informatiebeveiliging of andere IT-gerelateerde zaken? Neem contact op met Pieter Kuijer* via (06) 22 88 88 01, pieter.kuijer@solvinity.com of met Wim Hoekstra via 06 21 26 06 38, wim.hoekstra@quarant.nl.

* Rob van Ewijck is per 1 april 2022 gestart met een nieuwe uitdaging. Pieter Kuijer heeft zijn rol overgenomen.

Meld je aan voor de Solvinity Nieuwsbrief

Ontvang het laatste nieuws, blogs, artikelen en events.

Lees ook

Meer