Cybersecurity is mensenwerk

Informatiebeveiliging krijgt hoge prioriteit binnen de gemeentelijke organisatie. Hoe kijkt de gemeente Zoetermeer aan tegen cybersecurity?

Susan Ligtenberg zet zich als chief information security officer (CISO) in om de gemeentelijke organisatie elke dag een stukje veiliger te maken. Door risico’s te analyseren en in te schalen en aandacht te vragen voor mogelijke (verbeter)maatregelen. Zij is de ‘smeerolie’ tussen de technische expertise bij de afdeling Informatie en Automatisering en (het management van) de vakafdelingen. “Wij werken in three lines of defence. De eerste lijn zijn de vakafdelingen die elk ervoor verantwoordelijk zijn dat hun dienstverlening beschikbaar is en dat de gegevens in de dienstverleningsprocessen integer (juist en volledig) zijn en vertrouwelijk worden behandeld. In de tweede lijn is er expertise die de vakafdelingen op het gebied van privacy, informatiebeveiliging en informatiebeheer ondersteunt. Tot slot is er toezicht (en ondersteuning) van de functionaris gegevensbescherming (privacy), de CISO (informatiebeveiliging) en de gemeentearchivaris (informatiebeheer).”

Awareness
“Informatiebeveiliging is niet alleen automatisering”, benadrukt Susan. “Er is een drie-eenheid van factoren: techniek, proces en mens. Vooral de factor mens speelt een belangrijke rol in de veiligheid van de systemen en informatie. Het gedrag van mensen is de zwakste schakel in cybersecurity. Eén verkeerde klik kan voor veel problemen zorgen. Daarom krijgt bewustwording van de gevaren veel aandacht, waarbij herhaling helpt dit bewustzijn ook te behouden. Hiervoor organiseren we diverse awarenessactiviteiten. Bijvoorbeeld roadshows waarmee we specifiek inzoomen op het werk en de risico’s van de teams die we bezoeken. En alle nieuwe medewerkers moeten binnen drie maanden een workshop informatiebeveiliging hebben gevolgd.” Naast bewustwordingscampagnes en workshops zijn er ook 10 gouden regels voor informatiebeveiliging opgesteld.

Grote gevolgen
Onveilige wachtwoorden, wachtwoorden delen of briefjes met gevoelige informatie rond de werkplek; het gebeurt nog steeds en ze vormen een beveiligingsrisico. Inbraakpogingen uit alle hoeken van de wereld zijn aan de orde van de dag. En eind 2020 werd bij de gemeente Hof van Twente heel duidelijk hoe belangrijk analyse, testen en vooral veilige wachtwoorden zijn. Een systeembeheerder paste enkele maanden eerder het wachtwoord van het beheerdersaccount aan naar ‘Welkom2020’. Susan: “Hackers legden de systemen van die gemeente plat en vroegen om losgeld. Dan heb je als gemeente een (ethisch) dilemma: losgeld betalen – en dan hopelijk de data ongewijzigd terugkrijgen en de dienstverlening relatief snel weer voortzetten – of niet. Hof van Twente koos er (terecht) voor de hackers niet te belonen en dus niet te betalen, maar kampen daardoor wel nog steeds met problemen in hun dienstverlening. Gebrekkige informatiebeveiliging treft dus niet alleen de directe organisatie maar heeft vaak ook gevolgen voor niet-directbetrokkenen en zelfs de hele stad.”

Crisisplannen
Zo’n doemscenario moet in Zoetermeer voorkomen zien te worden. Daar wordt aan gewerkt; binnen en met de gemeentelijke organisatie en ook in regionaal verband met andere gemeenten worden kennis en ervaringen gedeeld . “We onderzoeken en testen welke dreigingen zich kunnen voordoen en passen daar de draaiboeken en crisisplannen op aan. Daarbij zit ook altijd de vraag: wat voor impact zou het kunnen hebben op de Zoetermeerders?”

Samen werken aan veiligheid
Actuele kennis is hiervoor geen overbodige luxe. “Er wordt veel kennis gedeeld via de Informatiebeveiligingsdienst – onderdeel van de VNG. In het Dutch Innovation Park in Zoetermeer is het Centre of Expertise Cyber Security van De Haagse Hogeschool gevestigd. Hiermee gaan we de komende jaren weer nauw samenwerken. Met focus op de keten: wat betekent het als een partner gehackt zou worden? En focus op gedrag, bijvoorbeeld hoe zorg je dat medewerkers nieuwe methoden om (persoons)gegevens veiliger te delen zo soepel mogelijk daadwerkelijk gaan gebruiken.” Zo kijkt Zoetermeer verder dan de eigen organisatiegrenzen. “Uiteindelijk zitten we namelijk allemaal in hetzelfde schuitje. Iedereen is in principe vatbaar voor cyberdreigingen en een kleine ingang kan grote gevolgen hebben.”

In het Dutch Innovation Park werken ondernemers, onderwijs en onderzoek (samen) aan allerlei vraagstukken, waaronder op het gebied van cybersecurity. Tijdens Cyberweek (25 november tot en met 3 december 2021) besteden daarom we extra aandacht aan dit thema.