Gemeenten krijgen grip op informatiebeveiliging door slimme software
De aandacht voor informatiebeveiliging neemt bij gemeenten sterk toe. Toch is er door gebrek aan tijd, kennis en geld vaak moeite die awareness om te zetten naar eenduidig beleid en uitvoering. Bedrijven springen in op dit probleem door materiekennis en softwareoplossingen aan te bieden.
De digitalisering van de overheid gaat verder. En daarmee groeit ook het aantal mogelijkheden om daar misbruik van te maken. Zo werd Gemeente Lochem onlangs getroffen door ransomware, een virus dat computers digitaal kaapt om vervolgens losgeld te vragen. Eind vorig jaar overkwam Gemeente Den Haag hetzelfde. "Als gemeenten de informatiebeveiliging niet op orde hebben, kan dat leiden tot imagoschade, gevolgschade en politieke aansprakelijkheid," zegt Frank Voigt, informatiemanager met jarenlange ervaring binnen lokale overheden. Op 10 februari jl. is het wetsvoorstel Meldplicht Datalekken door de Tweede Kamer goedgekeurd. Inbreuken op de informatiebeveiliging die leiden tot diefstal, verlies of misbruik moeten worden gerapporteerd aan het CBP en betrokkenen. Als een gemeente hier niet aan voldoet riskeert ze een boete tot maximaal 450.000 euro.
Door dit soort maatregelen komt het onderwerp steeds hoger op de bestuurlijke agenda. Bovendien pushen organisaties als de VNG, de Informatie Beveiligings Dienst (IBD) en het CBP het thema met een overvloed aan informatie, regelgeving en richtlijnen, waaronder de Baseline Informatiebeveiliging Gemeenten (BIG). Toch ontbreekt het veel gemeenten nog aan daadkracht om dat bewustzijn om te zetten naar beleid, plannen en uitvoering. Naast de ruim driehonderd beveiligingseisen van de BIG zijn er namelijk nog afzonderlijke richtlijnen en normenkaders voor onder meer de BRP, Reisdocumenten, DigiD en Suwinet. "Het voldoen aan al die eisen brengt veel nieuw en extra werk met zich mee. Op het gebied van al die richtlijnen en normenkader moeten vragenlijsten worden ingevuld en zelfevaluaties uitgevoerd. Veel vragenlijsten en normen overlappen, waardoor verantwoordelijken eigenlijk dubbel werk doen," zegt Voigt. Zo kan het voorkomen dat een ict-manager in een korte periode vijf keer dezelfde vraag krijgt voorgelegd van verschillende verantwoordelijken voor verschillende normenlijsten.
Bedrijven springen in op dit probleem en helpen gemeenten inzicht en overzicht te krijgen. Zo ontwikkelde Pepperflow (softwareontwikkelaar op het gebied van planning en control) de Module Informatieveiligheid met als uitgangspunt de ENSIA (Eenduidige Normatiek Single Audit Information) grondslag. In het programma is in een oogopslag te zien welke maatregelen moeten worden getroffen binnen welk domein en welke maatregelen uit de verschillende domeinen corresponderen. Daarmee blijven de voor informatiebeveiliging verantwoordelijken in control. Kan de gemeente het vertrouwen van burgers en bedrijven blijven waarborgen. En hoeft de ict-manager een vraag nog maar een keer te beantwoorden.