Taskforce Bestuur, Informatieveiligheid en Dienstverlening(BID)

Download Report

Transcript Taskforce Bestuur, Informatieveiligheid en Dienstverlening(BID)

INFORMATIEVEILIGHEID

een uitdaging van ons allemaal VIAG themadag informatieveiligheid, Harro Spanninga

Agenda

• • • Toelichting op de Taskforce BID Introductie thema Informatieveiligheid  Technisch perspectief  Perspectief van de overheid Rol van de bestuur en management

Filmpjes over informatieveiligheid Ga naar https://informatieveiligheid.pleio.nl

Taskforce Bestuur & Informatieveiligheid Dienstverlening

 Geïnitieerd door minister Plasterk  N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar  Gestart per 13 februari 2013  Actief voor een periode van twee jaar  Focus op bestuur & topmanagement  Bouwt voort op bestaande initiatieven en is gericht op samenwerking

Dit doen we niet alleen…

Invulling langs vier lijnen

• • • •

Verplichtende Zelfregulering

per overheidslaag

Gerichtheid

: • Leeraanbod bestuurders en topmanagers • • Gericht op een leer- en ontwikkelproces Afgestemd op de volwassenheid van de overheidslaag

Verankering

: • Handreikingen: baselines voor informatiebeveiliging • Sturingsmiddelen

Stelsel

• Visitatie, peer reviews, ketens, Single Audit

Amerikaanse KvK digitaal gegijzeld

Hackers bedienen containers in Antwerpen

Gemalen in Veere slecht beveiligd

Identiteitsfraude met DigiD

De gemeente op de korrel…

Het technisch perspectief

Zwarte markt in hacks en gestolen data Prijs “zero day exploits” 2012

Adobe Reader Android Chrome or Internet Explorer Firefox or Safari Flash or Java Browser Plug-ins iOS Mac OSX Microsoft Word Windows $5,000–$30,000 $30,000–$60,000 $80,000–$200,000 $60,000–$150,000 $40,000–$100,000 $100,000–$250,000 $20,000–$50,000 $50,000–$100,000 $60,000–$120,000 Bron: Rand Corporation, Markets for Cybercrime Tools and Stolen Data, 2014

Wat zien we in de prakijk Enkele trends over 2012-2013:

• • • • • • • • Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens.

Apple-apparaten op de korrel gezien toename van het marktaandeel.

De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren.

Actieve handel in kennis over kwetsbaarheden en hoe deze te misbruiken.

Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden.

Meer kans op keteneffecten door hyperconnectiviteit van apparaten.

Zwakke wachtwoorden blijven een probleem.

Kwetsbaarheden van SCADA-systemen komen meer aan het licht.

bron: NCSC CSBN-3 2013

Ontwikkelingen in gedrag van criminelen

Informatieveiligheid gaat over…

Maar ook over…

Het perspectief van de overheid

Belang voor gemeenten van veilige informatie

• De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017).

• De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens.

• De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen.

• De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.

Overheidsverantwoordelijkheid informatieveiligheid

24

Overheidsverantwoordelijkheid informatieveiligheid

Burger heeft het recht om onbespied te blijven.

Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is.

De (gemeentelijke) overheid is verantwoordelijk voor: • Veiligheid van privacy gevoelige informatie over burgers; • Continuïteit van de (digitale) dienstverlening via internet.

25

Rol van bestuur en management….

Resolutie Informatieveiligheid: • • • • • Onderdeel van collegeambities, in portefeuille collegelid.

Verankering op agenda, paragraaf in jaarverslag.

Gemeenten implementeren, lokaal informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader.

Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie.

Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie.

In control op informatieveiligheid?

Cultuur van veiligheid Informatie veiligheid Voldoen aan norm, baseline Monitoren en leren Crisisrespons

Beleid informatiebeveiliging Informatiebeveiligingsorganisatie Evalueren & Rapporteren Identificeren bedrijfsprocessen Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico’s Monitoren Managen van incidenten

Tips om bestuur en management te betrekken…

    Vertaal informatieveiligheid naar bestuurlijke risico’s en thema’s  Politiek-bestuurlijk , Operationele risico, Financiele risico’s risico’s en reputatie Vergroot de urgentie  Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail Maak het tastbaar en klein en breng het dichtbij  Bijvoorbeeld door een hack demo te tonen van een iPad of een telefoon Mobiliseer in je eigen organisatie met lijnmanagers die het probleem ook onderkennen  Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.

Vragen?

[email protected]

De (overheids )ketting…

…is zo sterk als de zwakste schakel…

…en dat zien we helaas nog al te vaak terugkomen…