Ambtenaar grootste gevaar voor digitale veiligheid
Tussen oktober 2017 en juli 2018 zijn er 429 veiligheidsincidenten bij gemeenten met de ict-infrastructuur gemeld bij de Informatiebeveiligingsdienst (IBD). Maar liefst de helft daarvan werd onbewust door eigen ambtenaren veroorzaakt. Dat is één van de conclusies uit het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 van de IBD.
Tussen oktober 2017 en juli 2018 zijn er 429 veiligheidsincidenten bij gemeenten met de ict-infrastructuur gemeld bij de Informatiebeveiligingsdienst (IBD). Maar liefst de helft daarvan werd onbewust door eigen ambtenaren veroorzaakt. Dat is één van de conclusies uit het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 van de IBD.
Medewerker met kwade opzet achter 8 procent aanvallen
Het meest voorkomende soort incident betreft ongeauthenticeerde toegang tot gegevens. Dat gebeurde maar liefst zeventig keer. In 35 gevallen werd bij een gemeente ingebroken dankzij een geëxploiteerde kwetsbaarheid en 27 keer was een gemeente slachtoffer van phishing. In 13 procent van de gevallen zat er een crimineel achter de aanval. Acht procent werd veroorzaakt door een eigen medewerker met kwade opzet.
Imagoprobleem informatiebeveiliging belangrijk risico
Het belangrijkste risico is volgens de IBD dat informatiebeveiliging met een imagoprobleem zou kampen. Op basis van 331 recente coalitieakkoorden concludeert dat het onderwerp niet of nauwelijks geagendeerd is. Sterker; informatiebeveiliging wordt vooral gezien als ‘bijzaak, en soms zelfs als drempel of last’, aldus de IBD. ‘Het gevolg van het negatieve imago is dat er vaak geen of onvoldoende budget is gereserveerd voor informatieveiligheid. En als het er is, zit het verstopt in het ict-budget.’ De IBD noemt het op de agenda krijgen van informatiebeveiliging dan ook dé topprioriteit voor 2019 en 2020. Andere risico’s zijn dat het inzicht in de risico’s voor de informatiebeveiliging nog onvoldoende leeft in gehele gemeentelijke organisaties en dat basismaatregelen ontbreken. Ook is er vaak simpelweg te veel werk voor te weinig mensen en is het informatiebeveiligingswerk dikwijls te complex.
Veel aandacht naar AVG en BIO
De vooraanstaande trend in gemeentelijk ict-land is volgens de IBD de extra aandacht voor de bescherming van persoonsgegevens dankzij de Algemene Verordening Gegevensbescherming (AVG). Daarnaast zijn gemeenten veel bezig met de implementatie van de Baseline Informatiebeveiliging Overheid (BIO), die vanaf 2020 de Baseline Informatiebeveiliging Gemeenten (BIG) vervangt.
Opvallend genoeg blijven allerlei toezichthoudende organen steevast buiten beeld. Tot op het niveau dat wettelijke verantwoordelijkheden worden genegeerd.
Het lijkt een illusie te hopen dat dit 'Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020' voor bijv. Provinciale Staten en Gemeenteraden aanleiding is eens de eigen verantwoordelijkheid waar te maken en van GS cq. Gemeenteraad omgaand inzicht te eisen omtrent de stand van zaken.