Hoe veilig zijn gegevens bij de IBD?

De informatie die tussen gemeenten en de IBD wordt gedeeld wordt verwerkt met het doel om gericht kwetsbaarheidswaarschuwingen te kunnen sturen naar gemeenten. De gegevens van gemeenten worden door de IBD als sectorale CERT namens alle Nederlandse gemeenten gematcht met waarschuwingen van het Nationaal Cyber Securitycentrum (NCSC) en andere bronnen, bijvoorbeeld waarschuwingen van leveranciers of responsible disclosure meldingen.

Beveiligde opslag

Uw gegevens zijn opgeslagen in de beveiligde omgeving van de IBD. Een set aan technische, fysieke en organisatorische maatregelen voorkomt dat onbevoegden bij deze informatie kunnen komen. Hierbij voldoet de IBD aan de terzake relevante normen uit de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG) alsook aan internationale regelgeving die van toepassing is op een geaccrediteerde CERT/CSIRT.

Beveiligd transport

De IBD maakt gebruik van STARTTLS (in combinatie met DKIM, SPF & DMARC), e-mailcommunicatie met de IBD is tijdens transport versleuteld mits de gemeente ook STARTTLS gebruikt. Indien gewenst kan de e-mail ook door middel van PGP worden versleuteld. Bijlagen kunnen in een zip-bestand versleuteld worden door middel van een wachtwoord dat u telefonisch doorgeeft aan de IBD-helpdesk (zie ook het Informatieblad Versleutelen informatie in de communicatie met de IBD).

Geheimhouding medewerkers en screening incidenthandlers IBD

De incidenthandlers van de IBD hebben allen een verklaring van geen bezwaar naar aanleiding van een veiligheidsonderzoek door de AIVD. Alle medewerkers van de IBD hebben een geheimhoudingsverklaring ondertekend.

Pentest

Jaarlijks wordt door middel van een penetratietest gecontroleerd of de beveiligingsmaatregelen afdoende zijn. Het rapport van deze jaarlijkse test is voor vertrouwde contactpersonen informatiebeveiliging (VCIB’s) op vertoon van geldige legitimatie in te zien op locatie van de IBD.

Alleen aanleveren tbv waarschuwingen

Het is niet noodzakelijk om een volledig overzicht van de ICT omgeving op te geven. Gemeenten geven slechts de componenten op waarover zij kwetsbaarheidswaarschuwingen wensen te ontvangen.

De inleesfunctie uit de softwarecatalogus van KING is een hulpmiddel bij het opstellen van een overzicht in het kader van stap 4. Gegevens van gemeenten worden niet gedeeld met KING VNG of andere partijen.