Informatiebeveiliging Limburgse gemeenten kan beter
Limburgse gemeenten hebben hun informatiebeveiliging niet goed geborgd. Ze zijn daardoor mogelijk kwetsbaar voor aanvallen van social engineering.
Limburgse gemeenten hebben hun informatiebeveiliging niet goed geborgd. Ze zijn daardoor mogelijk kwetsbaar voor aanvallen van social engineering. Dat blijkt uit een onderzoek van Daadkracht Advies onder 28 gemeenten in Limburg.
NORA en CIB
Daadkracht-partner Jack van der Goes onderzocht of de gemeenten zich voldoende weren tegen aanvallen van social engineering (babbeltrucs, 'phishing' et cetera) en of ze dat goed borgen binnen de informatiearchitectuur. De Nederlandse Overheid Referentie Architectuur (NORA) geeft hier een handreiking en verwijst naar de Code voor Informatiebeveiliging. Dat is niet het geval, concludeert hij. Er is wel degelijk beleid op onderdelen, maar vaak als gevolg van verplichte audits. Slechts de helft van de Limburgse gemeenten heeft NORA gebruikt bij het vaststellen van het beveiligingsbeleid, terwijl naleving van de NORA juist bescherming kan bieden tegen social engineering.
Geen borging
Van der Goes wil niet gezegd hebben dat de gemeenten er een potje van maken. "Het is complexe materie. Gemeenten moeten vooral ook de tijd krijgen om hun informatiebeveiliging op orde te krijgen." Maar social engineering is een zwakke plek, zeker als het gaat om gemeentelijke medewerkers die toch vooral dienstverlenend willen zijn. Volgens Van der Goes worden er in veel gemeenten initiatieven genomen en wordt er beleid gemaakt op het gebied van informatiebeveiliging, maar wordt dat niet goed geborgd in de organisatie. "NORA en GEMMA zeggen veel medewerkers niet zo veel." De alertheid zit mede daardoor niet ingebakken. "Informatiebeveiliging is op een hoger plan getild met de Code voor Informatiebeveiliging. Maar niet iedereen kan daar handen en voeten aan geven." Van der Goes verwacht dat het Limburgse beeld representatief is voor de rest van de gemeenten in Nederland, omdat elke gemeente in de kern dienstbaar wil zijn aan burger en bedrijf.
Algemene audit
Met de huidige DigiD-audits, die veel gemeenten voor eind december moeten hebben doorlopen, komt dit soort kwetsbaarheden niet aan het licht, denkt Van der Goes. "Daar kan de technische informatiebeveiliging al heel wat afvangen." Dan gaat het om bijvoorbeeld firewalls, antivirussoftware en goede hulpmiddelen voor wachtwoordbeheer. Hetzelfde geldt volgens hem waarschijnlijk voor de Suwinet-audit en de GBA-audit. "Maar er zou eigenlijk eens een integrale algemene audit naar informatiebeveiliging moeten komen." Een 'penetratietest', waarbij wordt gekeken of en in hoeverre gemeenteambtenaren zich daadwerkelijk om de tuin laten leiden, zou daarvan onderdeel moeten uitmaken.
Daadkracht-partner Jack van der Goes onderzocht of de gemeenten zich voldoende weren tegen aanvallen van social engineering (babbeltrucs, 'phishing' et cetera) en of ze dat goed borgen binnen de informatiearchitectuur. De Nederlandse Overheid Referentie Architectuur (NORA) geeft hier een handreiking en verwijst naar de Code voor Informatiebeveiliging. Dat is niet het geval, concludeert hij. Er is wel degelijk beleid op onderdelen, maar vaak als gevolg van verplichte audits. Slechts de helft van de Limburgse gemeenten heeft NORA gebruikt bij het vaststellen van het beveiligingsbeleid, terwijl naleving van de NORA juist bescherming kan bieden tegen social engineering.
Geen borging
Van der Goes wil niet gezegd hebben dat de gemeenten er een potje van maken. "Het is complexe materie. Gemeenten moeten vooral ook de tijd krijgen om hun informatiebeveiliging op orde te krijgen." Maar social engineering is een zwakke plek, zeker als het gaat om gemeentelijke medewerkers die toch vooral dienstverlenend willen zijn. Volgens Van der Goes worden er in veel gemeenten initiatieven genomen en wordt er beleid gemaakt op het gebied van informatiebeveiliging, maar wordt dat niet goed geborgd in de organisatie. "NORA en GEMMA zeggen veel medewerkers niet zo veel." De alertheid zit mede daardoor niet ingebakken. "Informatiebeveiliging is op een hoger plan getild met de Code voor Informatiebeveiliging. Maar niet iedereen kan daar handen en voeten aan geven." Van der Goes verwacht dat het Limburgse beeld representatief is voor de rest van de gemeenten in Nederland, omdat elke gemeente in de kern dienstbaar wil zijn aan burger en bedrijf.
Algemene audit
Met de huidige DigiD-audits, die veel gemeenten voor eind december moeten hebben doorlopen, komt dit soort kwetsbaarheden niet aan het licht, denkt Van der Goes. "Daar kan de technische informatiebeveiliging al heel wat afvangen." Dan gaat het om bijvoorbeeld firewalls, antivirussoftware en goede hulpmiddelen voor wachtwoordbeheer. Hetzelfde geldt volgens hem waarschijnlijk voor de Suwinet-audit en de GBA-audit. "Maar er zou eigenlijk eens een integrale algemene audit naar informatiebeveiliging moeten komen." Een 'penetratietest', waarbij wordt gekeken of en in hoeverre gemeenteambtenaren zich daadwerkelijk om de tuin laten leiden, zou daarvan onderdeel moeten uitmaken.
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.