IBD Jaaroverzicht 2017

2017 gaat de geschiedenis in als het jaar waarin enorme malware-aanvallen als WannaCry, (Non)Petya en BadRabbit wereldwijd enorme economische schade aanrichtten. Gelukkig gingen deze grote aanvallen aan de lokale overheid in Nederland voorbij. Maar incidenten hoeven niet groot te zijn om toch schade aan te richten. Een goed ingericht proces van incidentmanagement is hierbij van groot belang. De IBD speelt hierin bij gemeenten een belangrijke rol. Het netwerk van contactpersonen van de IBD bij alle 388 gemeenten wordt bij dreiging of uitbraak van incidenten razendsnel geactiveerd zodat specifieke tegenmaatregelen kunnen worden genomen. Vijf jaar na de oprichting van de IBD bewijst het netwerk van algemene en vertrouwde contactpersonen (ACIB’s en VCIB’s) dagelijks zijn waarde. Naast gemeenten behoren inmiddels ook intergemeentelijke sociale diensten en belastingsamenwerkingen tot de directe doelgroep van de IBD. Ook zijn de gemeentelijke ICT-leveranciers voor een belangrijk deel aangehaakt. In 2017 is het netwerk van de IBD daarmee verder versterkt.

Het jaar in cijfers

Er zijn in 2017 in totaal 1618 vragen waaronder 236 incidentmeldingen binnengekomen (daarover verder in dit jaaroverzicht meer). In de afgelopen twaalf maanden zijn 2413 kwetsbaarheidswaarschuwingen verstuurd, waarvan er 62 geclassificeerd zijn als ernstig (dwz. Een hoge kans op misbruik en een hoge impact) en zijn 172 ACIB- en VCIB-mails verstuurd door de IBD.

Verhoogde aandacht voor informatiebeveiliging: AVG en ENSIA

Gemeenten hebben in 2013 de gemeenschappelijke normen afgesproken waaraan de gemeentelijke informatiebeveiliging dient te voldoen. Deze normen zijn vastgelegd in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). In de BIG staat op hoofdlijnen alles beschreven dat nodig is om de gemeentelijke informatie en informatiesystemen veilig te maken en te houden.

De implementatie van maatregelen uit de BIG is in volle gang en langzamerhand komt het besef ook buiten de doelgroep van informatiebeveiligers dat informatiebeveiliging meer is dan alleen ICT en niet los gezien kan worden van het werk, de mensen, de aansturing en de besturing van de gemeente. Er is nog veel te winnen door dit besef aan te wakkeren bij procesmanagers / afdelingshoofden die verantwoordelijk zijn voor de beveiliging van hun werkprocessen.

Twee grote drijvende krachten achter verhoogde aandacht voor informatiebeveiliging zijn de invoering van de verantwoordingssystematiek ENSIA en het feit dat per 25 mei 2018 de Algemene Verordening Gegevensbescherming rechtstreeks van toepassing is. Voor beiden geldt dat de toepassing van de BIG voor gemeenten een belangrijk fundament is. De bescherming van persoonsgegevens is voor een groot deel afhankelijk van een juiste inrichting van de informatiebeveiliging en de informatiebeveiligingsprocessen zoals het ISMS (Information security management system).

Belang van CISO-functie groeit

Er moet meer bestuurlijke aandacht komen voor informatieveiligheid, met een hechtere verbinding tussen bestuurder en de chief information security officer (CISO). De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om ervoor te kunnen zorgen dat de juiste acties worden genomen ten aanzien van de informatiebeveiliging. Dat concludeert de Visitatiecommissie Informatieveiligheid na het bezoeken van de colleges en CISO’s van 120 gemeenten. De visitatiecommissie ziet na de bestuurdersronde een belangrijke rol voor de IBD bij het versterken van de positie en de rol van de CISO. Hierop heeft de IBD de CISO Toolkit ontwikkeld, een set aan gereedschappen die de CISO kan gebruiken om zijn taken richting management en bestuur goed te vervullen. Zo is een aantal workshops in het land gehouden voor CISO’s en hebben we in samenwerking met de VNG Academie een training adviesvaardigheden ontwikkeld.

De IBD maandmonitor biedt maandelijks een overzicht van relevante ontwikkelingen op het terrein van informatiebeveiliging in de gemeentelijke context. De IBD geeft in de maandmonitor algemene adviezen in lijn met de BIG. De IBD stuurt iedere maand de maandmonitor aan ACIB’s en de VCIB’s.

Meldingen en Incidenten

In 2017 zijn 236 unieke incidenten gemeld ten opzichte van 248 in 2016. Wat opvalt is gemeenten ook melden in die gevallen waarin de gemeente het incident geheel zelf kan afhandelen of heeft afgehandeld. Melden blijft belangrijk omdat op deze manier een eenduidig dreigingsbeeld ontstaat. In 2017 is het aantal meldingen van ransomware significant afgenomen. Dit terwijl experts begin 2017 wereldwijd een toename verwachtten. Gemeenten hebben maatregelen genomen om besmetting te voorkomen en ze hebben vooral gewerkt aan bewustwording onder medewerkers.

In 2017 heeft de IBD een toename gezien van het aantal responsible disclosuremeldingen over systemen van gemeenten. De IBD beloont de melders met een kleine attentie zoals een set stickers of een T-shirt. We hebben een Hall of Fame op de website gezet en dit stimuleert een gezonde strijd tussen de ethisch hackers om meer te vinden en te melden. De IBD werkt samen met gemeenten om de meldingen te analyseren en een oplossing te vinden. Gemeenten omarmen de meldingen en steeds meer gemeenten hanteren zelf ook een responsible disclosurebeleid.

Incidenten houden zich niet aan kantoortijden en regelmatig stuurt de IBD ’s avonds en in het weekend per e-mail kwetsbaarheidswaarschuwingen of meldingen van incidenten aan gemeenten. De IBD is daarnaast, op verzoek van gemeenten, in 2017 gestart met een SMS-dienst voor die gevallen waarin snelheid geboden is. Deze SMS verwijst altijd naar de e-mail die is verstuurd. In de SMS zelf staan geen vertrouwelijke gegevens.

Begin 2018 publiceert de IBD het gemeentelijk dreigingsbeeld met hierin een uitgebreide analyse van de dreigingen en incidenten.

Datalekken in de keten

De datalekken die bij de IBD zijn gemeld waren vooral complex van aard. Datalekken ontstaan niet alleen in de eigen organisatie maar ook bij ketenpartners en toeleveranciers. Het maken van afspraken over de verwerking van persoonsgegevens is in veel gevallen verplicht maar bijna altijd aan te bevelen. In maart bracht de IBD hiervoor de factsheet verwerkersovereenkomsten uit met hierin handvatten voor het maken van afspraken met verwerkers zoals ketenpartners en leveranciers. In 2016 heeft de VNG de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) vastgesteld, deze inkoopvoorwaarden bevatten ook een stevige component informatiebeveiliging. Dit zorgt ervoor dat al bij de inkoop van nieuwe producten of diensten de informatiebeveiliging juist wordt ingeregeld.

Projecten

De IBD heeft in 2017 een verkenning uitgevoerd naar de mogelijkheden om ICT omgevingen te monitoren (SIEM/SOC) en om dreigingsinformatie uit te wisselen (Threat Intelligence). De IBD verwacht dat uitbreiding hierop nodig is om de digitale weerbaarheid bij gemeenten nog verder te verhogen. Na publicatie van twee factsheets heeft de IBD een nulmeting uitgezet om het volwassenheidsniveau en de behoeften op deze onderwerpen van gemeenten te peilen. De nulmeting laat zien dat nog niet alle gemeenten voldoen aan de randvoorwaarden om te starten met het opschalen van monitoring en detectie. De capaciteit binnen gemeenten is schaars en dient doeltreffend te worden ingezet. In 2018 zal de IBD gemeenten actief ondersteunen bij het op orde brengen van de randvoorwaarden ofwel het faciliteren van gemeenten die met monitoring en respons willen starten.

De IBD heeft veelvuldig bijgedragen aan projecten van de VNG en KING (m.i.v. 2018 VNG Realisatie). De omgevingswet, projecten van de Digitale Agenda 2020 en Privacy waren hierbij het meest in het oog springend.

Samenwerkingen

De IBD heeft in 2017 de banden aangehaald met eigen ketenpartners. Zo hebben de IMG100.000+ en VIAG een begin gemaakt met de opzet van een Vakgroep Informatieveiligheid. In aanvulling hierop heeft de IBD een CISO-register op de Community geactiveerd. In samenwerking met de Vereniging van Gemeentesecretarissen werkte de IBD in 2017 aan een factsheet informatiebeveiliging voor gemeentesecretarissen die begin 2018 zal verschijnen.

De IBD blijft ook in de komende jaren voor gemeenten het schakelpunt met het nationaal cybersecurity centrum (NCSC). De wet gegevensverwerking en meldplicht cybersecurity (WGMC) geldt weliswaar niet voor gemeenten, maar de IBD heeft wel een belangrijke positie binnen het netwerk van het NCSC om gemeenten te informeren over dreigingen en incidenten. De IBD neemt ook deel aan het Nationaal Responsnetwerk (NRN) samen met de CERT’s van de Belastingdienst, Defensie, Rijkswaterstaat en Universiteiten & Hogescholen (Surf). De IBD heeft regelmatig overleg met de nieuw opgerichte CERT voor de zorgsector (ZorgCERT).

Kennisdelen en kennisvermeerderen

Een van de kerntaken van de IBD is het faciliteren van kennisdeling en kennisvermeerdering. Gemeenten kunnen kennis en ervaringen uitwisselen via o.a. de IBD-community en de regiobijeenkomsten. Gemeenten helpen elkaar door het bespreken van ervaringen met de afhandeling van incidenten maar ook met voorbeelddocumenten en het opstellen van beleid. Op de community was dit jaar sprake van een levendige ruil van bewustwordingsmateriaal tussen gemeenten. De IBD kwam in 2017 ook naar gemeenten toe. De IBD sloot in het afgelopen jaar ook graag aan bij initiatieven van gemeenten zelf. Dat kon in de vorm van één van de IBD-workshops, de IBD-crisisgame of door aanwezigheid bij een overleg van gemeentelijke CISO’s. Ook in 2018 blijft dit mogelijk.

Vooruitblik naar 2018

Gemeenten hebben de beweging ingezet van Samen Organiseren. Onder aanvoering van de taskforce Samen Organiseren bepalen gemeenten de gezamenlijke uitvoeringsagenda. De nieuwe werkwijze kenmerkt zich door een grote betrokkenheid en sturing van gemeenten zelf. De IBD is in dit kader per 2018 ondergebracht bij VNG Realisatie. De IBD is in 2018 als adviseur nauw betrokken bij nagenoeg alle projecten van Samen Organiseren.

De adviesraad adviseert VNG over de huidige en toekomstige dienstverlening van de IBD. De adviesraad IBD heeft een adviserende rol op basis van signalen van de werkvloer. Ook zijn adviesraadleden ambassadeur voor het onderwerp informatiebeveiliging en de IBD.

Directe verbinding met gemeenten

In lijn met de beweging die is ingezet met Samen Organiseren wil de IBD nauwe samenwerkingen aangaan met gemeenten. Onder andere door plaats te maken voor gemeentelijke CISO’s die voor kortere of langere tijd één dag per week meedraaien binnen het IBD team. Daarnaast zou de IBD graag een gemeentelijke klankbordgroep organiseren dicht tegen de dienstverlening van de IBD.

Verkiezingen

In 2018 vinden de gemeenteraadsverkiezingen plaats. Het is van groot belang dat de integriteit en de betrouwbaarheid van de verkiezingsuitslag boven elke twijfel is verheven. In samenwerking met het ministerie van BZK, het NCSC en de VNG ondersteunt de IBD gemeenten bij de informatiebeveiliging rond de verkiezingen.

Verhogen digitale weerbaarheid

Hoewel gemeenten zonder uitzondering grote stappen hebben gezet, moet blijvend worden gewerkt aan de digitale weerbaarheid. Om de volgende stap naar meer monitoring, response en detectie mogelijk te maken, ondersteunt de IBD gemeenten in 2018 extra om de basis op een gemeenschappelijk niveau te krijgen. Dat vereist een gestandaardiseerde aanpak waar alle gemeenten hun eigen elementen kunnen kiezen. Tegelijkertijd ondersteunt de IBD ook de koplopergemeenten met kennis(deling) en expertise op de doorontwikkeling van monitoring en detectie.