Verslag online Ronde Tafel ‘Informatiebeveiliging’ voor gemeenten – Deel I

Solvinity en Quarant brachten woensdagochtend 13 oktober de I&A-verantwoordelijken van gemeenten en experts online bijeen voor de Ronde Tafel ‘Informatiebeveiliging: breng je organisatie en techniek in balans’. De bijeenkomst werd beoordeeld met een gemiddeld cijfer 8,8.

In dit eerste deel doen we verslag van de resultaten van het vooronderzoek dat is afgenomen onder de deelnemers, en vind je aanbevelingen vanuit de praktijkcasus van Hof van Twente. In het volgende deel kun je meer lezen over de belangrijkste inzichten die op zijn gedaan tijdens de break-outsessies en de aanbevelingen vanuit Solvinity en Quarant over wat gemeenten kunnen doen om hun informatiebeveiliging te verbeteren.

Informatiebeveiliging: breng je organisatie en techniek in balans – Deel I

Op 1 december 2020 ‘viel de bom’ bij Hof van Twente. Waar alle organisaties bang voor zijn, gebeurde bij deze gemeente. Hackers drongen de IT-omgeving binnen en bleken alle on-premises systemen te hebben gewist en de enige online back-up versleuteld. Hoe was dit mogelijk en hoe reageerde de gemeente? De casus van Hof van Twente was een treffende aanleiding om met gemeenten het thema informatiebeveiliging te bespreken. Hoe staan zij ervoor, waar lopen zij tegenaan, hoe organiseren zij informatieveiligheid nu de cyberdreiging groter dan ooit is?

Net als een half jaar geleden, tijdens de succesvolle Ronde Tafel over het gemeentelijk I&A-beleid in het post-coronatijdperk, was het een geanimeerde bijeenkomst over een actueel en urgent onderwerp. Er is vrijwel dagelijks nieuws over gehackte bedrijven en systemen, en ransomwareaanvallen. Het technische aspect is interessant: hoe houd je de poort gesloten? Maar, zou Jaap de Jonge van gemeente Hof van Twente bij zijn presentatie zeggen: “Techniek is makkelijk.” De factoren mens en organisatie zijn veel weerbarstiger. Een goede balans tussen deze drie componenten is essentieel voor het informatiebeveiligingsbeleid.

"40% doet een beroep op externe specialisten. De reden om hulp in te roepen is vooral de zorg om de bedrijfscontinuïteit."

Volwassenheid informatiebeveiliging

Om de thema’s van de Ronde Tafel zo goed mogelijk aan te laten sluiten op de behoeften van de deelnemers is vooraf een digitaal vooronderzoek afgenomen. Hierin gaf de helft aan op volwassenheidsniveau 3 (op een schaal van 5) te zitten van de Baseline informatiebeveiliging Overheid (BIO), het door de BIO geadviseerde minimum. De andere helft zit op 1 en 2. Uitdagingen zitten volgens de deelnemers in het regie houden over uitbestede diensten, het beschermen tegen en monitoren van malware en online bedreigingen, en het garanderen van de bedrijfscontinuïteit (back-ups, redundante systemen). Hoe ga je de toenemende cyberdreiging tegen? Ruim een kwart wil dat doen door het interne beveiligingsteam uit te breiden. 40% doet een beroep op externe specialisten. De reden om hulp in te roepen is vooral de zorg om de bedrijfscontinuïteit. Gevraagd naar in hoeverre medewerkers betrokken worden bij de informatiebescherming, geven de meesten aan dat dat beperkt blijft tot cursussen en e-learnings. Bij 70% maakt informatieveiligheid geen deel uit van de functioneringscyclus.

Na het presenteren van de belangrijkste onderzoeksresultaten nam beleidsmedewerker informatievoorziening Jaap de Jonge van gemeente Hof van Twente het virtuele podium. Jaap besprak de casus van Hof van Twente en gaf een bijzondere inkijk uit eerste hand in de hack en het herstel bij de gemeente. Niet alleen in wat er technisch fout ging, maar ook wat het in bredere context teweeg bracht. “Maak niet de fouten die wij gemaakt hebben”, was vooral zijn boodschap.

"Vertrouwen is goed, controle is beter."

Principieel besluit: niet betalen

De oorzaak van de hack was kortweg een combinatie van een FTP-server die van buitenaf bereikbaar was en een admin-account met een te simpel wachtwoord. Verder bleek er geen DMZ (demilitarized zone – een ‘niemandsland’ als barrière) te zijn en was de IT-omgeving nauwelijks gesegmenteerd, waardoor de hackers – eenmaal binnen – vrijwel overal bij konden. Alle on-premises systemen (applicatie-, database- en fileservers) plus virtuele desktops waren gewist en de online back-up (de enige) was versleuteld. Na onderzoek bleek overigens dat de hackers anderhalve maand eerder al binnen waren gekomen.

Na de eerste ‘volledige ontreddering’ werd het systeem weer opnieuw opgebouwd. De gemeente nam een principieel besluit om de hackers niet te betalen. Een vraag van een deelnemer was of dit geen mooie aanleiding was om meteen het applicatielandschap volledig te vernieuwen. Jaap gaf aan dat de chaos en ontreddering te groot waren om de organisatie ook nog te belasten met de invoering van nieuwe applicaties.

Een aantal aanbevelingen van Jaap de Jonge:

Vertrouwen is goed, controle is beter.
Werk onder IT-architectuur.
Wees een lerende organisatie.
Zorg voor voldoende mandaat van de technisch IB-verantwoordelijke.
Accepteer als kleinere gemeente dat de kosten voor informatiebeveiliging relatief hoog zijn.
Hou er rekening mee dat outsourcing en SaaS kwetsbaarheid in de ‘eigen’ formatie en kennis oplost, maar ook nieuwe uitdagingen oplevert.
Moet informatiebeveiliging niet een zaak van landelijk belang worden? Defensie regel je immers ook niet per gemeente.

De case van Hof van Twente en het verhaal van Jaap de Jonge lieten met name zien hoe groot het belang van informatieveiligheid is en illustreerden dat het niet alleen een kwestie van technologie is maar ook (of misschien wel juist) een organisatorische uitdaging. Gaat het mis, dan is de impact enorm. De schade van Hof van Twente ligt tussen de 3 en 4 miljoen euro out-of-pocket kosten en nu, bijna een jaar later, merkt de gemeente nog de gevolgen.

Lees hier verder voor deel II van het verslag over de belangrijkste inzichten die op zijn gedaan tijdens de break-outsessies en de aanbevelingen vanuit Solvinity en Quarant over wat gemeenten kunnen doen om hun informatiebeveiliging te verbeteren.