BREED - over de grenzen van informatie

NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER

Informatiebeveiliging en DigiD, hoe staat er het ermee ?

De informatiebeveiliging van gemeentelijke informatiehuishoudingen is landelijk negatief bekend geworden met de Diginotar en lektober affaires tijdens het afgelopen jaar. Ook op BREED is dit uitgebreid aan de orde gesteld (link).

Alle grootverbruikers DigiD, onder andere de Belastingdienst, DUO en UWV, dienen eind 2012 het assessment te hebben uitgevoerd. Andere organisaties, waaronder alle gemeenten, moeten uiterlijk eind 2013 een assessment hebben uitgevoerd.

KING heeft een impactanalyse op DigiD-assessments laten verrichten. Die is vandaag 24 juli is gepubliceerd op de website.(link)

Deze impactanalyse is uitgevoerd bij negen gemeenten, te weten Apeldoorn, Doetinchem, Eindhoven, Heerhugowaard, Lisse, Nieuwegein, Zuidplas, Zutphen en Zwolle. Over gemeenschappelijke regelingen wordt in het rapport niet gesproken, dat lijkt me ook een (gedeelde) gemeentelijke verantwoordelijkheid ?

Gemeenten zijn zelf verantwoordelijk voor informatiebeveiliging, uitbesteding of niet. Uit het rapport komt naar voren dat die verantwoordelijkheid niet altijd zo wordt ervaren, maar ook dat er niet altijd voldoende bewustwording voor is. Soms is informatiebeveiliging een 'klus', die iemand er even bij doet. Architectuurplaten zijn niet altijd helder. Bij kleine gemeenten komt het vaker voor dat ICT vooral reactief opereert, het in de lucht houden, dan proactief. Kennis wordt niet altijd geborgd.

Geld voor het laten uitvoeren van ICT beveiligingsassessments is niet altijd begroot. Ook bestaande bedrijfscultuur kan een impact hebben op informatiebeveiliging, denk aan geeltjes op computers met de wachtwoorden.

Gemeenten willen graag weten met welke auditor ze het beste in zee kunnen gaan. Er wordt nagedacht over een convenant. Er zijn in Nederland een beperkt aantal pentesters, blijkbaar een gat in de markt.

Wat is de rol van leveranciers, moeten die niet gewoon aantonen dat ze voldoen aan een bepaalde norm ?

En is het voor gemeenten niet goedkoper het hele Digid verhaal buiten de deur te houden ?

En ja daar is ie weer, een NOREA Richtlijn 4400. NOREA is de beroepsorganisatie van IT- en Register EDP-auditors. Logius gaat de pentest verder uitwerken, een check op kwetsbaarheden in computersystemen.

En als toetje de risico's op een rijtje:

Risico	Voorgestelde maatregel
Onvoldoende gevoel van urgentie	Activiteiten organiseren t.b.v. het verhogen van bewustwording op het gebied van informatiebeveiliging
Coöperatie leveranciers	Coördinatie KING, opstellen convenant
Selecteren pentesters	Aanscherpen selectiecriteria Logius, opstellen handreiking door NOREA
Volwassenheid gemeentelijke ICT-organisatie	Ondersteuningsaanpak KING, en later mogelijk via nog op te richten informatiebeveiligingsdienst (IBD).
Register EDP-auditors zijn druk in Q4	Standaard marktwerking
Voorbereiding kost veel tijd	Ondersteuningsaanpak KING. Motiveren van gemeenten en leveranciers en verhogen van de bewustwording op het gebied van informatiebeveiliging.
Draagvlak aanpak door auditors	NOREA ondersteunt de voorgestelde aanpak en zal dit ook uitdragen naar haar deelnemers.
Gemeenten komen te laat in actie; onvoldoende tijd voor oplossen bevindingen	KING stimuleert om voor eind Q2 2013 het ICT-beveiligingsassessment DigiD uit te voeren.