Invullen van de lege ICT-foto
Per dag worden honderden verschillende kwetsbaarheden in hard- en software bekend. De IBD stuurt deze kwetsbaarheden aan gemeenten. Om dit gericht te kunnen doen is het van belang dat u aangeeft over welke hard- en software u de kwetsbaarheidswaarschuwingen wenst te ontvangen. Deze informatie, in feite een filter dat u zelf opstelt, wordt door de ‘gemeentelijke ICT-foto’ genoemd.
Een gemeente die de foto inlevert ontvangt relevante beveiligingsadviezen uit honderden nationale en internationale bronnen. De relevantie van die informatie wordt onderzocht en van een risicoclassificatie voorzien. Hierin werkt de IBD samen met het Nationaal Cyber Security Centrum (NCSC).
Waarom is de foto belangrijk?
Als de IBD beschikt over de ICT-foto van uw gemeente, dan kan de IBD haar dienstverlening hierop afstemmen. Zo krijgt u vervolgens kwetsbaarheidswaarschuwingen over hard- en software die u zelf in huis heeft, hoeft u niet zelf actief de adviezen op te zoeken op de websites van NCSC of leveranciers en wordt u alleen gewaarschuwd als er een ernstige kwetsbaarheid is waar uw gemeente last van kan krijgen.
Hoe komt de lege ICT-foto tot stand?
De lege ICT-foto is een spreadsheet met veel voorkomende hard- en softwareproducten. Het is een selectie uit de productenlijst van het Amerikaanse normalisatieinstituut NIST die is aangevuld met specifieke gemeentelijke software uit o.a. de Gemma softwarecatalogus.
Hoe vul ik de ICT-foto?
Idealiter beschikt de gemeente over een actuele en volledige CMDB die de benodigde informatie voor de ICT-foto eenvoudig en snel kan leveren.
In dit geval verloopt het proces als volgt:
- De IBD levert de lege ICT-foto (stuur een mail naar [email protected])
- De gemeente vergelijkt dit bestand met de gemeentelijke CMDB en plaatst in het lege fotobestand in de kolom ‘aanwezig J/N’ een ‘J’ bij de items die in gebruik zijn. Standaard staat in deze kolom een ‘N’. Deze kan dus veranderd worden in een ‘J’.
- De gemeente vult in dit bestand ook in naar welke e-mailadressen de kwetsbaarheidswaarschuwingen en het weekoverzicht gestuurd moeten worden.
Is er geen volledige CMDB voorhanden dan heeft u als gemeente nog de volgende mogelijkheden om zonder veel moeite de lege ICT-foto te vullen:
- Combineer afzonderlijke overzichten (inkoop, contractbeheer, facturen, losse databases bij netwerkbeheer of servicedesk, licentiebeheer, verzekeringsoverzichten e.d.)
- Gebruik tooling (scanning, spider) om uw componenten geautomatiseerd in kaart te brengen
- Maak een rondje langs netwerk- en systeembeheerders met de lege ICT-foto
- Denk van buiten naar binnen, welke systemen komen eventuele hackers als eerste tegen?
- Zorg er in ieder geval voor dat die systemen vermeld staan in de lege ICT-foto
Gebruikt u producten die niet in de lege ICT-foto staan?
Heeft u producten in gebruik die niet voorkomen in de, door de IBD verstrekte, lege ICT-foto dan is het mogelijk om deze producten toe te voegen aan het bestand. Doet u dit, gebruik dan bij het invullen de meest generieke naam voor een product.
Voor de onderstaande producten schrijven wij over het algemeen géén kwetsbaarheids-waarschuwingen. Het heeft dus ook geen zin deze op te nemen in de ICT-foto:
- printers (m.u.v. multifunctionals)
- badge/cardprinters
- labelprinters
- rsi tools
- spelletjes
Geen versienummers
- Vermijd het gebruik van versienummers. Meestal is het zo dat een security researcher alleen een bepaalde versie van een product test en een kwetsbaarheid constateert. Andere versies zijn dan niet getest maar bevatten toch mogelijk dezelfde kwetsbaarheid.
Hoe vaak moet ik een nieuwe ICT-foto aanleveren?
De IBD adviseert u om de ICT-foto jaarlijks te actualiseren. Bij grote wijzigingen aan de infrastructuur of operatingsystemen is het raadzaam om vlak hierna een nieuwe ICT-foto te leveren aan de IBD.
Hoe werkt dat bij gemeentelijke samenwerkingsverbanden?
Als u onderdeel uitmaakt van een samenwerkingsverband van verschillende gemeenten en u beheert de gehele ICT van alle gemeenten in één omgeving, dan hoeft u maar één ICT-foto aan te leveren bij de IBD. Als u inlogt als samenwerkingsverband in de softwarecatalogus kunt u de gegevens voor de ICT-foto van dat samenwerkingsverband in één keer exporteren.
Beheert u meerdere afzonderlijke omgevingen voor verschillende gemeenten dan kunt u er ook voor kiezen om per gemeente een afzonderlijke ICT-foto te leveren. Denk er dan wel aan om ook afzonderlijke aansluitformulieren kwetsbaarheidswaarschuwingen in te vullen met per omgeving een apart e-mailadres. Op die manier kunt u makkelijk onderscheiden welke kwetsbaarheidswaarschuwing op welke gemeente van toepassing is.
Hoe moet ik de ICT-foto aanleveren?
We willen graag dat u de ICT-foto versleuteld aan ons stuurt. Hiervoor zijn veel mogelijkheden zoals PGP (onze sleutel is te vinden op de website) en diverse veilige mailoplossingen. De meeste gemeenten gebruiken 7Zip om de ICT-foto te versturen, dit kunt u doen door onderstaande stappen te doorlopen.
- Plaats de te versleutelen documenten in een subfolder
- Open 7-Zip file manager
- Rechts klikken op de subfolder en kies voor 7-Zip – toevoegen aan archief
- Ga naar het veld wachtwoord ingeven en voer een sterk wachtwoord in
- Herhaal dit wachtwoord in het veld wachtwoord bevestigen en klik op OK
- Verstuur het versleutelde bestand naar de IBD ([email protected]) en vergeet niet uw telefoonnummer in deze e-mail te vermelden. De IBD neemt dan contact met u op voor het wachtwoord.
Hoeveel waarschuwingen krijg ik?
Na het verwerken van de foto door de IBD gaat de gemeente kwetsbaarheidswaarschuwingen ontvangen (NB: vergeet daarom niet het tabblad ‘Kwetsbaarheidswaarschuwingen’ in te vullen). Een gemiddelde gemeente ontvangt zo’n 10 van die waarschuwingen per week. Het is dus zaak dat u een proces inricht om de meldingen te registreren en op te volgen. Veel gemeenten kiezen ervoor om de meldingen bij een servicedesk binnen te laten komen die de meldingen vervolgens registreert en verdeelt.
Vragen?
Heeft u nog vragen over het invullen van de foto of wilt u de lege ICT-foto ontvangen, neem dan contact op met de IBD-Helpdesk tel: 070 204 55 11.