Informatiebeveiliging 2017

En terugblik op informatiebeveiliging

2016

Missie

• Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is.

• Voldoen aan wet- en regelgeving en bijbehorende kaders op het gebied van informatiebeveiliging en privacybescherming.

Kaders voor informatiebeveiliging en privacybescherming

Twee belangrijke kaders: BIG en AVG

• Baseline Informatiebeveiliging Gemeenten (BIG) is een vertaling van ISO 27007-2 voor gemeenten en geeft de normen aan waaraan informatiebeveiliging bij gemeenten moet voldoen. Volledige implementatie voorzien in 2018 (conform afspraak BALV VNG 2013).

• Algemene Verordening Gegevensbescherming (AVG) is de Europese privacy verordening die in mei 2016 is vastgesteld. De verordening moet in mei 2018 zijn geïmplementeerd door de lidstaten en heeft rechtstreekse werking. De AVG vervangt dan de Wet Bescherming Persoonsgegevens (WBP).

Risico’s

In hoofdzaak worden betrouwbaarheid, integriteit en beschikbaarheid van gegevens bedreigd door:

• Externe dreigingen

• Processen en procedures die niet robuust genoeg ingericht zijn

• Onzorgvuldig en onwetend gedrag

Dreigingen en gedrag worden zichtbaar in incidenten, audits geven zicht op slecht ingerichte processen en procedures.

Externe dreigingen

Jaarbericht 2016 IBD: • grote toename van ransomware-aanvallen, • verschillende en meer geavanceerde phishing methoden • kwetsbaarheden in software, bijvoorbeeld https-protocollen

NCSC – Cybersecuritybeeld Nederland 2016: • Ransomware is gemeengoed en nog geavanceerder geworden. Criminelen

hebben zich het afgelopen jaar massaal toegelegd op ransomware en de organisatiegraad van criminele campagnes wordt steeds hoger.

• Net als vorig jaar zijn in het afgelopen jaar veel DDoS-aanvallen waargenomen • Het up-to-date houden van (mobiele) apparaten en software blijft een

uitdaging • Naast technische kwetsbaarheden, de achilleshiel van digitale veiligheid, blijft

ook de mens kwetsbaar. Beveiligingsbewustzijn van de gebruikers kan de ontwikkeling van social engineering niet bijhouden.

‘GÊNANT SLECHTE’ BEVEILIGING E-MAIL

'GEMEENTEN TE LANGZAAM MET INTERNETSTANDAARDEN'

TOCH VERPLICHTE BEVEILIGING OVERHEIDSWEBSITES

De achilleshiel van digitale veiligheid

Technische kwetsbaarheden : een risico met een hoge impact

Zowel IBD als NCSC zien als gevolg hiervan een ontwikkeling naar beheersing van dit risico door een Computer Emergency Response Team (CERT):

Een gespecialiseerd team van ICT-professionals dat in staat is snel te handelen in geval van een informatiebeveiligingsincident, met als doel om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie.

0

20

40

60

80

100

120

januari februari maart april mei juni juli augustus september oktober november december

Meldingen Beveiligingsincidenten Topdesk en registratie datalekken Gemeente Delft 2016

Spam-/phishing Telefonische phishing Meldingen incident Datalekken

Incidenten (dreigingen die realiteit zijn geworden)

De grote golf phishing mail heeft geleid tot 1 geval van ransomware in een deel

van de organisatie.

Resultaat:

geen schade aan de data,

maar veel capaciteit nodig voor de afhandeling van het incident

Totaal aantal meldingen 21 Meldingen Autoriteit Persoonsgegevens 4

Datalekken

2016 was het eerste jaar van uitvoering van de wet Meldplicht Datalekken.

Delft heeft 4 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP)

Ter vergelijking:

Volgens het jaarbericht 2016 van de AP zijn in totaal 5500 meldingen gedaan waarvan in de sector Overheid 15% (875).

4000 meldingen zijn in onderzoek. Meldingen Delft hebben niet geleid tot onderzoek AP.

De aard van de meldingen wordt door de AP alleen algemeen aangeduid: onbevoegd inzien van gegevens, gegevensdrager kwijtgeraakt, email of brief verstuurd aan de verkeerde ontvanger.

Dat komt overeen met de ervaringen in Delft.

Audits

Suwinet

DiGiD Logius

BRP rijksdienst Identiteitsdocumenten

EDP-audit accountantscontrole BDO

met aandachtspunten

opvolging aanbevelingen audit 2015 uitgevoerd, controle EDP-auditor volgt nog

Bevindingen uit audits worden meegenomen in het programma van 2017

Wat hebben we gedaan?

Inzet met name op:

• meldingenprocedure op orde;

• bewustwording;

• audits;

• implementatie Wet meldplicht datalekken.

En minder op:

• geplande maatregelen implementatie BIG – nieuwe dataclassificatie eind 2016 uitbesteed;

– richtlijnen informatiebeveiliging bij uitbesteding nog niet gerealiseerd.

Implementatie Wet meldplicht datalekken

• Procedure melding en afhandeling datalekken ingericht en uitgevoerd.

• Alle bekende externe bewerkers (67) van persoonsgegevens aangeschreven over de uitvoering van de meldplicht

• 24 actuele bewerkersovereenkomsten gerealiseerd, nog 43 te gaan en er komen nog steeds nieuwe bewerkers bij....

• Bewustwordingscampagne toegespitst op specifieke risicogebieden.

Doel voor 2017

Doel in 2017 is om te komen tot een meer structurele aanpak van informatiebeveiliging en privacybescherming, en het niveau van vooral

incidentenafhandeling te ontstijgen.

Digitalisering groeit in omvang en belang, terwijl ook bedreigingen van

informatieveiligheid toenemen.

Meer persoonsgegevens worden verwerkt onder verantwoordelijkheid gemeente, terwijl de regelgeving op het gebied van

bescherming van persoonsgegevens strenger is geworden.

Dat maakt informatiebeveiliging en privacybescherming een urgent thema voor

2017 en volgende jaren.

Meer aandacht voor:

Implementatie

BIG en beleid

Versterken van technische informatie-beveiliging

Interne audit en introductie

ENSIA

Op hetzelfde niveau aandacht voor:

Bewustwording

Specifieke aandacht voor

thema’s veilig werken (zoals veilig mailen en het

gebruik van cloudapplicaties)

Snel en adequaat

afhandelen meldingen

beveiligings- incidenten

Trends en prioriteiten voor 2017 informatiebeveiliging

Implementatie BIG en beleid

• Beperkte herziening strategie en beleid (2-jaarlijks, verplicht)

• Dataclassificatie opnieuw tegen het licht houden

• Richtlijnen opstellen: – informatiebeveiliging bij uitbesteding van taken

– werken met applicaties in de cloud

• MDM-beleid (mobile devices management)

Technische informatiebeveiliging

• Snel en adequaat reageren op toename van dreigingen (CERT)

• Programma ontwikkeling technische informatiebeveiliging onder meer: – omgaan met ransomware

– beveiliging e-mailservices

– beveiliging websites

– up to date software

• Periodiek testen (B&R-test, PEN-test)

• Doorlichten procedures zoals changemanagement

Audits

• intern controleprogramma opzetten voor EDP-audits (autorisatie, logische toegangsbeveiliging)

• uitvoeren audits Suwinet, DiGiD en BRP

• voorbereiden invoering ENSIA (2e helft 2017)

Eenduidige Normatiek Single Information Audit

• pre-audit op Implementatie BIG

Meer aandacht voor:

• Implementatie Algemene Verordening Gegevensbescherming

Meer aandacht

voor:

• Inventarisatie verwerkingen persoonsgegevens vanuit dataclassificatie

• Afsluiten van alle benodigde bewerkersovereenkomsten of vergelijkbare afspraken over de omgang met persoonsgegevens

• Afhandeling datalekken conform wettelijke eisen

• Gerichte bewustwordingscampagne op risicogebieden voor privacy

Op hetzelfde

niveau aandacht

voor:

Trends en prioriteiten voor 2017 privacybescherming

implementatie AVG

meer informatie?

• Jaaroverzicht 2016 IBD www.ibdgemeenten.nl

• Cybersecuritybeeld Nederland 2016 www.ncsc.nl

• 1 jaar meldplicht datalekken: facts & figures 2016 www.autoriteitpersoonsgegevens.nl