IBD Jaaroverzicht 2018

De inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) maakte 2018 op voorhand al het jaar van de privacy. Het deel van informatiebeveiliging dat gaat over de vertrouwelijkheid van (persoons)gegevens kreeg bij politiek en bestuur maar ook op de werkvloer en in de media grote aandacht. In 2018 legden gemeenten ook voor het eerst via de systematiek van ENSIA verantwoording af over hun informatiebeveiliging. De aandacht voor privacy was bij de IBD goed merkbaar aan het grote aantal privacyvragen van gemeenten en leveranciers. Maar natuurlijk gebeurde er meer dan de implementatie van de AVG, in dit jaaroverzicht treft u een beknopte opsomming. Voor een compleet overzicht van de producten en diensten van de IBD kunt u de in 2018 geïntroduceerde producten- en dienstencatalogus bekijken.

Jaar in cijfers

Dit jaar verzond de CERT (het Computer Emergency Response Team) van de IBD 2049 kwetsbaarheidswaarschuwingen waarvan er 18 een hoog risico hadden. Vanuit de CERT zijn 22 berichten gestuurd naar de algemene contactpersonen en 73 naar de vertrouwde contactpersonen. De SMS-alert is dit jaar niet ingezet. Er zijn 179 incidenten gemeld bij de IBD. Meer informatie over de risico’s en incidenten treft u in het dreigingsbeeld informatiebeveiliging Nederlandse gemeenten. De helpdesk ontving 1373 vragen, waarvan ca. 60% gerelateerd was aan privacy. De meeste van deze privacyvragen gingen over afspraken met leveranciers in het kader van de verwerking van persoonsgegevens en de ontwikkelde standaard verwerkersovereenkomst (zie de paragraaf standaard verwerkersovereenkomst).

Het begin van 2018 werd ingeluid met de zwakheden in chips die in nagenoeg alle computers en systemen voorkomen: Spectre en Meltdown. Vanwege de complexiteit duurde het enige tijd voordat alle leveranciers oplossingen hadden uitgebracht voor hun producten. 72 kwetsbaarheidswaarschuwingen van de 2049 hadden te maken met Spectre en Meltdown.

Advies en belangenbehartiging

De adviseurs van de IBD werkten mee aan een aantal grote gemeentelijke projecten zoals de Common Ground, de gemeenschappelijke gemeentelijke infrastructuur (GGI) en de voorbereidingen op de aanbesteding van GGI-Veilig. Daarnaast schreef de IBD mee aan de nieuwe Baseline Informatiebeveiliging Overheid (BIO) het normenkader voor informatiebeveiliging vanaf 2020. Ook trad de IBD op als belangenbehartiger van de gemeentelijke informatiebeveiliging bij interbestuurlijke trajecten zoals het bestuursakkoord water (rondom de beveiliging van onze watervoorziening), Regie op Gegevens, Veilig e-mailverkeer en de Omgevingswet.

Nieuwe documenten

De IBD heeft in 2018 een aantal advies- en kennisproducten uitgebracht. De nieuwe documenten zijn de:

Verder is in 2018 een start gemaakt met het gereed maken van de IBD-producten voor de BIO. Hiervoor worden de maatregelen van de BIG gematcht. Een overzicht van alle kennisproducten staat op de website.

Incidenten

De CERT van de IBD staat gemeenten bij als er een incident optreedt of dreigt op te treden. Enkele (dreigende) incidenten hiervan haalden het nieuws: in februari werd een toepassing gehackt die de tekst op websites voorleest, deze toepassing is ook bij een aantal gemeenten in gebruik. Op de sites van die gemeenten is een JavaScript-bestand door kwaadwillenden aangepast en voorzien van een zogenaamde crytominer. De IBD heeft samen met de leverancier gemeenten geïnformeerd en gezorgd dat de besmetting snel werd verholpen. Een hack in een nieuwsbriefapplicatie van een gemeente zorgde ervoor dat de hacker reclame kon versturen met de gemeente als afzender. De mail had geen kenmerken van een gemeentelijke nieuwsbrief, en was duidelijk herkenbaar als spam. In juni vond een phishingcampagne plaats gericht op gebruikers van DigiD. Slachtoffers werden via een e-mail geleid naar een valse mijnoverheid.nl-website. De betrokken DigiD-accounts zijn zo snel mogelijk geblokkeerd en de getroffen inwoners zijn persoonlijk benaderd en geadviseerd waar op te letten om misbruik van hun gestolen gegevens te voorkomen. In december 2018 vond opnieuw een campagne plaats. Ook in 2018 vonden wereldwijd grote ransomwarecampagnes plaats, o.a. SamSam en GandCrab. Gemeenten zijn hierdoor voor zover de IBD kan overzien niet geraakt geweest. Het aantal meldingen van ransomware door gemeenten neemt sinds 2016 per jaar af.

Responsible disclosure-meldingen

De IBD ontving 35 valide responsible disclosure-meldingen van ethische hackers of computeronderzoekers over systemen en websites van gemeenten. De valide meldingen zijn beloond met een IBD-T-shirt en / of een plaats in de Hall of Fame. De IBD ontvangt op jaarbasis ongeveer eenzelfde aantal meldingen dat uiteindelijk niet bruikbaar blijkt. Opvallend is dat de meeste onbruikbare meldingen min of meer geautomatiseerd gedaan worden op basis van een scantool naar specifieke maatregelen op een website. De melders geven dan aan dat er een ernstig beveiligingsprobleem is, terwijl er in werkelijkheid geen risico optreedt. Dergelijke meldingen wijzen we dan ook vriendelijk af. Als gemeenten zelf responsible disclosure-meldingen krijgen, kan de IBD helpen met een risicoinschatting en een advies geven over de oplossing.

Verkiezingen

Op 21 maart vonden de gemeenteraadsverkiezingen plaats en op 21 november waren de verkiezingen voor de provinciale staten en gemeentelijke herindelingen. Er was veel aandacht geweest voor de integriteit van verkiezingen, vooral ingegeven door mogelijke buitenlandse inmenging in de presidentsverkiezingen in de Verenigde Staten. Dit leidde tot vragen over de beveiliging van de verkiezingen en het verkiezingsproces in Nederland. Op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) was de IBD in aanloop naar de gemeenteraadsverkiezingen het centrale meldpunt voor informatiebeveiligingsincidenten rond de verkiezingen. De IBD heeft twee factsheets opgesteld, een voor (aankomend) politiek ambtsdragers en een voor de gemeentelijke CISO. De IBD is naar aanleiding hiervan een aantal keer benaderd met vragen over informatiebeveiliging en eenmaal heeft de IBD zelf contact opgenomen met een politieke partij die in het nieuws kwam doordat een facebookpagina zou zijn gehackt.

Een aantal items dat ook de aandacht van de IBD had haalde het nieuws:

Met name de berichtgeving over OSV hield de gemoederen flink bezig. De IBD concludeert dat ondanks de kwetsbaarheden in de software de risico’s zeer beperkt zijn – maar ook ‘zeer beperkte risico’s’ kunnen onacceptabel worden als de ophef maar groot genoeg is.

Verhogen Digitale Weerbaarheid

In het kader van het project “Verhogen Digitale Weerbaarheid” ontwikkelde de IBD een ondersteuningspakket voor de processen en maatregelen uit de BIG die gelden als een basis om digitaal weerbaar te zijn. Twee mindmaps en een zestal filmpjes helpen gemeenten om de stand van zaken te bepalen en een start te maken met het invullen van de restpunten. De IBD heeft een onderzoek uitgezet onder gemeenten om inzicht te krijgen in de huidige weerbaarheid van gemeenten en hun behoefte aan ondersteuning van de IBD. Zo’n 184 gemeenten en 51 samenwerkingsverbanden hebben deze enquête ingevuld. Begin 2019 zullen de resultaten hiervan bekend zijn. De adviseurs bezochten ruim 30 gemeenten en samenwerkingen om informatie op te halen hoe de IBD nieuwe of aangepaste dienstverlening kan inzetten om nog betere ondersteuning te kunnen bieden ter verhoging van de digitale weerbaarheid van gemeenten.

Standaard Verwerkersovereenkomst

Gemeenten en hun leveranciers willen eenvoudiger tot afspraken komen over het verwerken van persoonsgegevens. Daarom hebben gemeenten en VNG gezamenlijk aan een standaard verwerkersovereenkomst gewerkt onder begeleiding van de IBD. Deze overeenkomst regelt op uniforme wijze de afspraken rondom de verwerking van persoonsgegevens. De overeenkomst is tot stand gekomen op verzoek van en met hulp van tientallen gemeenten en leveranciers. We hebben hiervoor de modelovereenkomst aangepast tot een standaardovereenkomst conform de wettelijke eisen uit de Algemene Verordening Gegevensbescherming met inachtneming van zaken die in andere overeenkomsten geregeld zijn, zoals de hoofdovereenkomst en de GIBIT. In acht verschillende regionale bijeenkomsten verspreid over het land is de overeenkomst toegelicht aan gemeenten en tijdens leveranciersbijeenkomsten zijn leveranciers geïnformeerd. In kleiner verband heeft VNG Realisatie verschillende gremia geconsulteerd zoals de Taskforce Samen Organiseren, de VNG Commissie Informatiesamenleving, IMG/VIAG en de G5. De eerste versie van de overeenkomst is na publicatie met commentaar van gemeenten en leveranciers voorgelegd aan de toetsgroep van gemeenten. De toetsgroep heeft hierop nog aanvullend overleg gevoerd met leveranciers onder begeleiding van VNG Realisatie. In december heeft het College van Dienstverleningszaken van de VNG positief geadviseerd over standaardisering van de overeenkomst.

DPIA-Tool

In de zomer van 2018 heeft de IBD het initiatief genomen om de DPIA-tool van de Commission Nationale de l’Informatique et des Libertés (CLIN), de Franse privacytoezichthouder) te beoordelen en geschikt te maken voor een test door gemeenten. Aan deze test hebben 27 gemeenten deelgenomen. Het doel van de test was om te onderzoeken of de DPIA-tool bruikbaar is voor het uitvoeren van Data Protection Impact Assessments (DPIA) door gemeenten en het bevorderen van het onderling delen van DPIA’s. Eind 2018 zijn de testresultaten verzameld en de conclusie is dat gemeenten op zoek zijn naar een praktische tool om DPIA’s mee uit te voeren en het initiatief van harte toejuichen. Op dit moment is de IBD bezig om te bepalen hoe we verder kunnen gaan met het ontwikkelen en aanbieden van deze DPIA-tool namens en voor Nederlandse gemeenten.

Bijeenkomsten

Dit jaar organiseerde de IBD negen regionale sessies verspreid door het gehele land. Daarnaast nam de IBD vanzelfsprekend deel aan het VNG Realisatie-Congres ‘Back to the Future’ in Maarssen. Ook sloot de IBD aan bij diverse bijeenkomsten over informatiebeveiliging van o.a. het Rijk.  De IBD organiseerde een aantal keer een train-de-trainer cursus voor de IBD Crisisgame zodat gemeenten de game in hun eigen organisatie kunnen verzorgen. En bij enkele bijeenkomsten die door gemeenten zelf zijn georganiseerd verzorgde de IBD een crisisgame zoals een bijeenkomst van de G4.

Bevorderen expertise

Een belangrijke taak van de IBD is het stimuleren en bevorderen van kennisdeling tussen gemeenten. Op de IBD Community en tijdens de verschillende bijeenkomsten wisselen gemeenten kennis, ervaring en expertise uit. Gemeenten leren van elkaar tijdens besloten sessies waarin incidenten worden besproken en best practices van gemeenten.

5 jaar IBD

In 2018 bestond de Informatiebeveiligingsdienst vijf jaar. De start van de IBD is een belangrijk moment geweest voor gemeenten en sinds die tijd is er veel gebeurd. Op 10 december organiseerde de IBD daarom de conferentie: “5 jaar IBD: toen, nu en straks”. Tijdens deze middag blikten we met o.a. burgemeester Weerwind van Almere terug op de afgelopen jaren en keken we vooruit naar de toekomst. Bovendien presenteerden we bij deze conferentie het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019 – 2020.

Vooruitblik

In 2019 is het team Privacy van VNG Realisatie onderdeel van de IBD. Dit betekent voor gemeenten dat er één loket is voor alle ondersteuning rondom informatiebeveiliging en gegevensbescherming. Voor gemeenten is 2019 het overgangsjaar naar de BIO en samen met de beleidsadviseurs van VNG zal de IBD een samenhangend ondersteuningspakket bieden voor de meer risicogebaseerde aanpak die hoort bij de gezamenlijke baseline van de gehele overheid. Zo gaan we aan de slag met een doorontwikkeling van de crisisgame en maken we hiervan ook een bestuurlijke variant. Burgemeesters kunnen al kennismaken met de huidige crisisgame tijdens de conferentiereeks van het Nederlands genootschap van burgemeesters. Het ondersteuningspakket voor het verhogen van de digitale weerbaarheid wordt uitgebreid op het gebied van Monitoring en Respons in aansluiting op GGI-Veilig. Verder starten we in februari met een workshop voor nieuwe gemeentelijke CISO’s.

De IBD levert namens gemeenten een bijdrage aan de Nationale Cyber Security Agenda. Hierin wordt een belangrijke basis gelegd voor de ambities rond kennisontwikkeling op het terrein van Cybersecurity in Nederland. Het NCSC verkent samen met de IBD de ambities vanuit het Rijk op het vlak van een zogenaamd landelijk dekkend stelsel, waarbij informatie over de laatste cyberdreigingen en mogelijke maatregelen breed en effectief worden gedeeld tussen overheid en bedrijven.

Bovenal zet de IBD in op kennisdelen en een collectieve aanpak in lijn met de standaard verwerkersovereenkomst, de DPIA-tool en de ontwikkelingen in het kader van de beweging die gemeenten hebben ingezet met samen organiseren.

Voor vragen of meer informatie, kunt u een e-mail sturen aan info@IBDgemeenten.nl of kijkt u op onze website www.informatiebeveiligingsdienst.nl.