Voor het eerst is het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten uitgekomen. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s.
Uit het dreigingsbeeld komt ‘de mens’ als grootste risico naar voren. Onbewuste en onbedoelde acties blijken een groter risico dan bewuste en gerichte aanvallen. Het dreigingsbeeld is opgesteld door de Informatiebeveiligingsdienst (IBD) een collectieve voorziening van alle Nederlandse gemeenten.
Leren van elkaar
Het eerste exemplaar van het rapport is 15 februari door het hoofd van de IBD, Nausikaä Efstratiades, overhandigd aan Franc Weerwind, burgemeester van Almere en voorzitter van de VNG-commissie Dienstverlening en Informatiebeleid.
Dit beeld helpt gemeenten vooruit omdat we kunnen leren van elkaars incidenten. Op basis hiervan kunnen bestuurders en de raad aan de slag met de lokale risicogestuurde aanpak van informatieveiligheid.
Franc Weerwind, voorzitter VNG-commissie D&I
Top 5
De IBD heeft meldingen en incidenten geanalyseerd en komt tot een top 5 van belangrijkste (be)dreigingen voor de gemeentelijke informatievoorziening:
- Mensen maken fouten.
- Gemeenten zijn, net als alle organisaties, kwetsbaar.
- Dreigingen liggen ook (vlak) buiten de eigen organisatie.
- De waan van de dag bepaalt de agenda.
- We weten niet wat we niet weten.
Onbewust menselijk handelen
Uit de meldingen die de IBD ontvangt, blijkt dat de meeste incidenten onbedoeld ontstaan als gevolg van onbewust menselijk handelen en veel minder vaak het gevolg zijn van opzettelijke acties. Een verkeerd verzonden e-mail, een verloren usb-stick of een gestolen smartphone, zorgen al snel voor een informatiebeveiligingsincident of een datalek.
Risico’s in ketens
Gemeenten werken veel samen in complexe ketens met instellingen op het gebied van zorg, jeugd, werk en inkomen en veiligheid. Risico’s voor gemeenten liggen daardoor ook in die ketens: een incident bij een toeleverancier of een ketenpartner kan verstrekkende gevolgen hebben.
Waan van de dag
Het blijkt in de praktijk voor de gemeente complex om te sturen op informatieveiligheid. Het gevolg is dat de waan van de dag de agenda bepaalt: een incident of een datalek leidt tot korte en hevige aandacht voor het onderwerp, die daarna weer snel verslapt.
Monitoring en detectie
De IBD stelt dat er nog een grote slag te maken is bij het in de gaten houden en controleren van informatiestromen. Door monitoring en detectie worden incidenten sneller inzichtelijk en kunnen ze uiteindelijk beter worden voorkomen.
Jaarlijkse rapportage
Het rapport ‘Dreigingsbeeld informatiebeveiliging gemeenten’ dat dit jaar voor het eerst verschijnt, is de gemeentelijke aanvulling op het Nationaal Cybersecuritybeeld (CSBN) van het Nationaal Cyber Security Centrum (NCSC).