De impact van (maatregelen rondom) het coronavirus op informatiebeveiliging en privacy

Het coronavirus en de bijbehorende maatregelen grijpen diep in op het kantoorleven. Kantoren zijn gesloten, medewerkers werken zo veel als mogelijk vanuit huis. Veranderende omstandigheden betekenen meestal veranderende risico’s. Om deze risico’s te kunnen duiden en om te kijken of onze producten en dienstverlening aansluiten bij de behoefte van gemeenten voerde de IBD een korte enquête uit onder gemeentelijke CISO’s en FG’s/Privacyfunctionarissen. De resultaten zijn globaal als volgt*:

Risico’s van ziekte en verzuim

Informatiebeveiliging gaat over beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). Het op peil houden van de beschikbaarheid en het zorgen voor maatregelen om de integriteit en vertrouwelijkheid te waarborgen is mensenwerk. Als grote groepen mensen ziek zijn kan het voorkomen dat essentiële (ICT-beheer)werkzaamheden niet of minder worden uitgevoerd. Onvoldoende spreiding van kennis en competenties (of te grote afhankelijkheid van enkele medewerkers) vergroot dit risico.

Technische risico’s van massaal thuiswerken

De risico’s van thuiswerken verschillen in technische zin niet veel van werken op kantoor. Een managed laptop op kantoor werkt hetzelfde op kantoor als thuis en een bring your own device apparaat is net zo (on)veilig als eerst. Wel is er sprake van afhankelijkheid van eigen netwerkfaciliteiten. De kwaliteit van de verbinding (denk aan wegvallende wifi-verbindingen) en de beschikbare bandbreedte hebben invloed op de beschikbaarheid van informatiesystemen voor de individuele medewerkers. Thuiswerken en op afstand vergaderen met behulp van videoverbindingen hoeft geen grote extra risico’s met zich mee te brengen mits een aantal spelregels wordt gehanteerd. Zie de nieuwsberichten ‘ Voorzorgsmaatregelen thuiswerken ivm COVID-19/het Coronavirus‘  en ‘ Vragen over videoconferencingtools‘.

Uitrol maatregelen vertraagd

Het risico bestaat dat geplande maatregelen als gevolg van massaal thuiswerken vertraagd worden. Het uitrollen van essentiële basismaatregelen (zie ook het ondersteuningsprogramma Verhogen Digitale Weerbaarheid module 1)  zoals multifactor- authenticatie vereist vaak begeleiding van gebruikers bij het instellen ervan. Dit is op kantoor eenvoudiger te organiseren dan wanneer mensen thuiswerken.

Schaduw IT

Medewerkers zijn bij thuiswerken naar verwachting meer geneigd om gebruik te maken van schaduw-IT, systemen en applicaties buiten het zicht van de werkgever. Schaduw-IT zorgt voor risico’s met betrekking tot vertrouwelijkheid en integriteit van gegevens (verschillende versies van informatiesets op verschillende plekken met kans op fouten). Dit risico neemt af naarmate de werkgever voorziet in systemen die het (eenvoudig) mogelijk maken om op afstand samen te werken, te vergaderen en informatie uit te wisselen.

Phishing

De IBD heeft geen indicaties dat phishing significant toeneemt. Wel spelen criminelen met phishing-campagnes in op de (corona)actualiteit. Gemeenten werken met gerichte campagnes aan bewustwording onder medewerkers. Multifactor-authenticatie voorkomt in grote mate misbruik van inloggegevens die onverhoopt toch in verkeerde handen zijn gevallen.

De factor mens en gezin

Niet alleen de medewerkers van gemeenten werken thuis, ook hun gezinsleden kunnen niet allemaal naar het werk en thuiswonende kinderen volgen school vanuit huis. Afhankelijk van de thuissituatie en de faciliteiten thuis kan het zijn dat vertrouwelijkheid van informatie (bijvoorbeeld telefoongesprekken en documenten) minder goed is gewaarborgd dan op kantoor. De afgesproken geheimhouding blijft gelden en we mogen van medewerkers van gemeenten de gebruikelijke professionaliteit verwachten. Echt vertrouwelijke gesprekken kunnen eventueel op kantoor plaatsvinden. Met gerichte berichten vanuit het management en de eerdergenoemde bewustwordingscampagnes kunnen medewerkers worden gewezen op de risico’s. Voor veelgestelde vragen over corona in combinatie met informatiebeveiliging en privacy verwijzen we naar de FAQ-pagina op onze website.

* Per gemeente is de impact verschillend, wij schetsen hier een algemeen beeld.