De afgelopen periode is veelvuldig gesproken over de digitale (on)veiligheid in het gemeentehuis van Assen. Dit nav een onderzoek van de RKC van de gemeenteraad van Assen.
Onderstaand de bijdragen van Sjoerd Bakker, woordvoerder op dit dossier.
Bijdrage 15-02-2018
Het rapport van de RKC en het debat bij de voorgaande bespreking waren helder. Er moet meer gedaan worden om de informatie veiligheid te kunnen garanderen. Er zou daarbij gedacht moeten worden op verschillende vlakken, fysieke veiligheid, digitale veiligheid en onderhoud. Voor de fysieke veiligheid kunnen we vrij kort zijn, het lijkt ons niet wenselijk om met tourniquets te gaan werken of op een andere wijze toegang tot het gebouw onmogelijk te maken. Maar er is een constante waakzaamheid nodig om niet bevoegde mensen de toegang te ontzeggen. Vele elementen zijn hiervoor al aanwezig, zoals het niet alleen laten lopen van gasten door het gemeentehuis. Hier zou men hooguit beter mee bezig moeten zijn.
Digitale veiligheid
Voor de digitale veiligheid is het lastiger. Tot op heden is gebleken dat bij opvolgende scans wederom fouten geconstateerd worden. 100% veilig wordt het nooit, maar er is een gouden middenweg te vinden waar we nog niet zijn. Het plan van aanpak moet dit helder maken, maar een gedegen risico analyse ligt hieraan ten grondslag. Wat zijn de acceptabele risico’s en hoe gaan we hiermee om?
Onderhoud
Het zou goed zijn om met enige regelmaat stil te staan bij dit onderwerp, een jaarlijkse rapportage vanuit het college hierover is zeker niet voldoende. Ons voorstel is dan ook om ruimte in het budget te reserveren om gedurende de komende 5 jaar jaarlijks een externe (en dit mogen jaarlijks andere) bureau’s te laten kijken naar de informatie beveiliging van de Gemeente Assen. De RKC geeft aan dat dit niet hun verantwoordelijkheid is, volkomen terecht, maar we moeten als slager niet ons eigen vlees gaan keuren. Laten we dit extern doen en hier structureel geld voor vrijmaken.
Informatie veiligheid
Informatie veiligheid blijft een lastig onderwerp de komende jaren, en met de AVG om de hoek is het des te belangrijker om hier gedegen mee om te gaan. Procedures op de plank zijn niet voldoende meer, men moet actief hiermee bezig zijn en preventief problemen oplossen. Incidenten zoals bij deze scan moeten al veel eerder gezien worden en niet pas nu opgelost worden. Als dat betekend dat er meer capaciteit gecreëerd moet worden bij de IT afdeling van de Gemeente Assen dan zou dit voor GL zeker mogelijk moeten zijn. In een tijd waarin digitalisering lijdt tot een discussie of internet niet een primaire levensbehoefte is, is het niet meer dan logisch dat een IT afdeling beschikt over alle mogelijkheden om hun werk te kunnen doen.
We kunnen niet altijd alles technisch oplossen, de meeste fouten worden gemaakt door mensen, bewust of onbewust en de beste oplossing blijft dan ook de mensen op te leiden en om te leren gaan met techniek.
Bijdrage 18-01-2018Voor ons ligt het vervolgonderzoek naar de informatie veiligheid van de Gemeente Assen. Met de AVG om de hoek komt dit op een heel opportuun moment. Het is daarom ook goed om te lezen dat de Gemeente op papier in ieder geval alles goed voor elkaar heeft. De meeste procedures zijn aanwezig en zouden redelijkerwijs uitgevoerd kunnen worden. Of dat ook gebeurt is een goede tweede vraag. Want hoewel er grote verbeteringen zijn sinds het vorige onderzoek zijn er nog steeds dingen niet goed geregeld.
Opgesplitst in de 3 thema’s van het rapport:
Mens:
Er is een vrijwillige cursus geweest waar de opkomst niet denderend was, dit heeft geleid tot een goede afnamen, maar niet tot een acceptabele afname van de hoeveelheid menselijke vergissingen. Op de phishingmail is wederom goed gereageerd, en ook andere acties hadden een goede kans van slagen. Dit kan niet de bedoeling zijn. Ons voorstel is dan ook om de training niet langer vrijwillig aan te bieden, maar gewoon verplicht te stellen, en jaarlijks te herhalen. Het VNG heeft een hele goede training daarvoor online staan die ook gebruikt wordt bij de rijksoverheid. Pak dit op.
Ditzelfde geldt voor de toegangscontrole. Het is natuurlijk fantastisch om te lezen dat de medewerkers van de Gemeente Assen met de goedheid van hun hart ervan uitgaan dat mensen met goede bedoelingen te werk gaan. Hulde hiervoor. Maar dat maakt het aanspreken van mogelijke indringers wel lastig. Waarom zouden we er niet voor kiezen om de toegangspas met een foto uit te rusten en zichtbaar te gaan dragen. Hierdoor is het meteen ook veel moelijker om met een gevonden pas je gang te gaan.
Organisatie:
WMK toets, vraag je constant af, waarom wil ik iets, waarom moet dat dan en waarom kan je iets. Waarom wil een bepaalde toegang, heb je dat wel echt nodig, of kan het ook anders. Deel je iets met iemand die er geen behoefte aan heeft, beveilig het dan en als je zelf nog toegang hebt tot gegevens waar je geen belang meer aan hebt, zorg er dan voor dat je hier niet meer bij kan.
Maak eigenaren van data en gegevens dan ook zelf verantwoordelijk voor de veiligheid van hun data. Hierdoor is het niet lang “ICT moet dit maar regelen” en wordt het, “Ik moet dit samen met ICT gaan borgen of deze gegevens niet langer op deze manier aanbieden, want ik kan het nu niet garanderen”
Daarbij kan een periodieke controle (elke kwartaal) ook helpen om te bepalen, wie het er toegang tot wat en waarom zodat constant de bewuste overweging gemaakt kan worden of mensen nog toegang nodig hebben.
Techniek:
Zie boven, weet wie er toegang heeft en waarom, als dat niet helder is, dan heeft men die toegang niet meer nodig en ontzeg deze ook. Een goede administratie is hierbij cruciaal.
Logische toegangsbeveiliging:
Opslitsen van admin account van normale accounts. De potentiele datalek die tijdens de presentatie genoemd werd is een direct gevolg van gebruikersaccounts die verweven zijn van functies. Als beheerder hoeft je niet altijd beheerder te zijn, alleen voor bepaalde doelen. Hierdoor creeer je meteen een betere scheiding van functies.
De gemeente is nog steeds op de goede weg, maar met de AVG om de hoek is dit niet het moment om op deze manier door te gaan, maar alle zeilen bij te zetten.
Vragen van GROENLINKS:
Wethouder, is er voldoende capaciteit om de vraagstukken van dit rapport en de vraagstukken van de AVG aan te pakken voordat de AVG in werking treed? Als er behoefte is aan meer mensen of middelen, ga dit zo snel mogelijk regelen. Op dit moment zijn er nog 126 dagen voordat de AVG gaat gelden. Is men hiervan voldoende op de hoogte en in staat om dit aan te pakken?
Is er een plan om de gemeente Assen AVG proof te maken?
Wat wordt er dan gedaan om constateringen zoals onbeveiligde backups vol persoonsgegevens beter te beschermen?
Kan de wethouder garenderen dat dit ook gaat gebeuren?
Wij stellen voor dit onderzoek elke 2 jaar te herhalen. En hiermee de voortgang te borgen.
Mens:
VNG biedt een goede online cursus en training aan op het gebied van bewustzijn en vertrouwd omgaan met IT, deze zelfde training wordt al jaren verplicht jaarlijks herhaald bij meerdere rijksoverheidsorganisaties en wordt gezien als een minimale inspanningsverplichting van al het personeel. Deze elearning is eenvoudig aan te bieden aan het personeel van de Gemeente Assen.
https://www.vngacademie.nl/e-learning/
Bij de evaluatie van de toegangscontrole. Overweeg om passen met foto’s te maken en deze zichtbaar te dragen, hierdoor vallen mensen zonder toegangspas eerder op en kan men met een goede reden elkaar aanspreken op het niet zichtbaar zijn van hun toegangspas. Hierdoor wordt meelopers eerder aangesproken en wordt de veiligheid verhoogd. Ook zijn passen makkelijker controleerbaar.
Organisatie:
WMK toets:
Maak eigenaren van data en gegevens zelf verantwoordelijk voor de veiligheid van hun data. Hierdoor is het niet lang “ICT moet dit maar regelen” en wordt her, “Ik moet dit samen met ICT gaan borgen of deze gegevens niet langer op deze manier aanbieden, want ik kan het nu niet garanderen”
Daarbij kan een periodieke controle (elke kwartaal) ook helpen om te bepalen, wie het er toegang tot wat en waarom zodat constant de bewuste overweging gemaakt kan worden of mensen nog toegang nodig hebben.
Techniek:
Zie boven, weet wie er toegang heeft en waarom, als dat niet helder is, dan heeft men die toegang niet meer nodig en ontzeg deze ook. Een goede administratie is hierbij cruciaal.
Logische toegangsbeveiliging:
Opsplitsen van admin account van normale accounts.