2021 laat zien dat zien dat een goede informatiebeveiliging en gegevensbescherming voor gemeenten van groot belang blijft. Risico’s rond de informatievoorziening werden op verschillende manieren zichtbaar en tastbaar, ook voor gemeenten en hun ketenpartners. Zo werden twee gemeentelijke samenwerkingsverbanden getroffen door ernstige ransomwareaanvallen. Eind vorig jaar moesten alle gemeenten actie ondernemen toen een ernstige kwetsbaarheid in Apache Log4J aan het licht kwam. Op het terrein van gegevensbescherming legde de Autoriteit Persoonsgegevens een gemeente een flinke boete op voor het gebruik van wifitracking. Ook waren er enkele incidenten met het onterecht verwerken van persoonsgegevens door gemeenten.
De IBD ondersteunde gemeenten ook dit jaar bij de structurele verhoging van digitale weerbaarheid en bescherming van persoonsgegevens. Het vergroten van het risicobesef en prioritering van risico’s zijn daarbij belangrijke facetten.
Met de IBD hebben gemeenten een collectieve voorziening die steunt op drie pijlers: incidentcoördinatie, advies en kennisdeling. In dit jaaroverzicht vindt u de belangrijkste resultaten en ontwikkelingen.
Jaar in cijfers
Vragen en meldingen
De IBD ontving het afgelopen jaar 2.487 aanvragen- en meldingen over informatiebeveiliging en 542 privacyaanvragen. De IBD registreerde 276 incidenten met een hulp-, coördinatie- of ondersteuningsvraag van gemeenten en ontving hierover ruim 1600 inkomende telefoongesprekken.
Kwetsbaarheidsmeldingen
De IBD-CERT verstuurde 1.846 kwetsbaarheidsmeldingen waarvan 90 met een hoge kans op misbruik en een grote potentiële schade. De SMS-waarschuwing werd in 2021 vijf keer ingezet, waarvan twee keer voor de Log4J-problematiek.
Onlinebijeenkomsten
De IBD organiseerde 82 onlinebijeenkomsten, zoals werkgroepen, intervisiebijeenkomsten, webinars en (be)spreekuren. De IBD streeft ernaar vooral onderlinge interactie tussen de deelnemers te stimuleren.
Website en VNG-privacyforum
De website www.informatiebeveiligingsdienst.nl werd ruim 135.000 keer bezocht. Op de website verschenen 27 nieuwe en bijgewerkte kennisproducten. De top 3 meest gedownloade producten waren dit jaar de BIO, de baselinetoets en de standaard verwerkersovereenkomst. De IBD voert het beheer over het VNG-privacyforum, dat inmiddels meer dan 4.700 gemeentelijke deelnemers heeft.
Opvallende ontwikkelingen
Focus op bedrijfscontinuïteit
Informatiebeveiliging gaat over beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). Ten tijde van de inwerkingtreding van de AVG hadden gemeenten veel aandacht voor de component vertrouwelijkheid. Met een toename van het aantal en de ernst van ransomwareaanvallen komt steeds meer de component beschikbaarheid (bedrijfscontinuïteit) in beeld.
Belang steeds hoger in de organisatie
Het belang van informatiebeveiliging en gegevensbescherming dringt steeds meer door tot de directiekamer. Uit meerdere, speciaal voor gemeentesecretarissen georganiseerde sessies, kwam naar voren dat het belangrijk is voor beide onderwerpen ook een ondersteuningsaanbod voor directie en management op te zetten.
Complexiteit in ketens
Bij (keten)samenwerkingen worden informatiebeveiligings- en privacyvraagstukken steeds complexer. Dit blijkt uit vragen en meldingen bij de IBD. Wanneer organisaties samen werken aan een vraagstuk dan is het belangrijk dat er duidelijke afspraken zijn over hoe men omgaat met gegevens. Bij problemen of incidenten blijkt regelmatig dat afspraken niet gedetailleerd genoeg zijn. Daarom heeft de IBD een handreiking voor een ketenrisicoanalyse opgesteld, die begin 2022 is gepubliceerd.
Verhogen digitale weerbaarheid
Het belang van basismaatregelen
Ook in 2021 waren de meest voorkomende beveiligingsincidenten het gevolg van configuratiefouten, exploitatie van kwetsbaarheden en phishing. Om deze incidenten te voorkomen zijn basismaatregelen en –processen van groot belang. Het ondersteuningsprogramma Verhogen Digitale Weerbaarheid (VDW) bleef ook in het afgelopen jaar onverminderd relevant. De praktische toepasbare producten van de vijf modules waaruit het programma bestaat (Basis op Orde, Monitoring en Response, Awareness, Bedrijfscontinuïteitsbeheer en IoT/ICS/Scada) werden up-to-date gebracht. De IBD heeft het dienstverleningsaanbod van het programma door gemeenten laten beoordelen. Het programma kreeg een 7,9.
Resolutie en Agenda Digitale Veiligheid
Begin 2021 werd tijdens een Bijzondere Algemene Ledenvergadering de Resolutie Digitale Veiligheid vastgesteld. Hierin wordt de noodzaak onderstreept dat gemeenten hun digitale weerbaarheid versterken. VNG-voorzitter Jan van Zanen wees op het belang van digitale weerbaarheid met een brief aan alle burgemeesters over de belangrijkste maatregelen tegen ransomware.
Dringend advies IBD
De IBD gaf voor het eerst een dringend advies om zo snel mogelijk 2-factorauthenticatie (2FA) in te voeren waar dat nodig is en kan. Uit een analyse van recente incidenten (binnen en buiten de gemeentelijke sector) blijkt dat deze maatregel in hoge mate beschermt tegen misbruik van buitgemaakte inloggegevens.
“Kaartje voor de gemeentesecretaris”
Om gemeenten te helpen bij de voorbereidingen op een informatiebeveiligingsincident of cybercrisis ontwikkelde de IBD in nauwe samenwerking met gemeentelijke CISO’s een “kaartje voor in de meterkast van de gemeentesecretaris” met belangrijke aandachtspunten.
Kennisproducten, kennisdeling en advies
Ondersteuning door IBD-adviseurs
De adviseurs van de IBD ondersteunen gemeenten bij informatiebeveiliging en het waarborgen van privacy met kennisproducten, advies en het faciliteren van kennisdeling. Waar mogelijk is dit een coproductie van de IBD, ervaringsdeskundigen, specialisten van gemeenten en andere organisaties. Een treffend voorbeeld is het Log4J beveiligingslek in december. De IBD faciliteerde meer dan ooit kennisdeling tussen gemeenten. Onder andere door dagelijkse spreekuren en een complete samenwerkingsruimte voor informatiebeveiligingsfunctionarissen. Maar ook verleende de IBD assistentie door het versturen van dagelijkse updates, het samenstellen van een centraal leveranciersbeeld en het scannen van 180 gemeenten op de Log4J kwetsbaarheid.
Bijeenkomsten
De IBD organiseerde in 2021 een aantal bijzondere bijeenkomsten: Code Rood sessies voor de vertrouwde contactpersonen over bevindingen bij recente incidenten en lunchuurtjes voor gemeentesecretarissen samen met de VGS en de gemeente Hof van Twente, naar aanleiding van het ransomware-incident in 2020. Ook verzorgde de IBD een VGS-lunch uur waar de versterking van de rol van de FG in de gemeente centraal stond.
Daarnaast initieerde de IBD ook tientallen workshops, webinars, (be)spreekuren, intervisiesessies en expertgroep meetings, onder andere op het gebied van VDW en privacy. Voorbeelden zijn de expertgroepmeetings Business Continuity Management (BCM) en Back-up & Restore, workshops over het beheer van toegangsbeveiliging, de expertgroep “Monitoring & Response”, de werkgroep “testen met persoonsgegevens” en CISO/FG/PO-intervisie sessies.
Producten
Enkele opvallende producten waren, naast het kaartje in de meterkast van de gemeentesecretaris, de lessen van het incident bij Hof van Twente en de toolkit “Behaviour by design”, die gemeenten bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma over informatiebeveiliging kunnen gebruiken.
De IRPA-tool is in 2021 live gegaan. Deze tool is door gemeenten en de IBD ontwikkeld voor het uitvoeren van risico-analyses en helpt bij inschatting van de risico’s op het terrein van privacy en informatiebeveiliging. De ontwikkeling van deze tool gaat door, zodat hij steeds beter op de praktijk aansluit. De IRPA-tool vervangt de DPIA-tool.
Het AVG Borgingsproduct geeft gemeenten handvatten om een goede omgang met persoonsgegevens binnen de gehele gemeente te waarborgen. Het document werd uitgebreid met volwassenheidsniveaus.
Samenwerking
Samen met mede-overheden werkt de IBD aan een nieuwe versie van de BIO. Dit gebeurt aansluitend op wijzigingen in de ISO 27000 serie, waarop de BIO is gebaseerd.
De IBD ondersteunt als kenniscentrum IB en Privacy ook projecten van VNG en VNG Realisatie. Zij was als adviseur betrokken bij projecten zoals Blauwe Knop (Regie op Gegevens), Omgevingswet, PGB2.0. , Monitoringsdienst GGI en Wet Modernisering Elektronisch Bestuurlijk Verkeer (Wmebv).
De gemeenten zijn als gevolg van de Wet politiegegevens (WPG) verplicht om een privacy audit uit te voeren. De IBD stelde een werkdocument op over het uitvoeren van zo’n privacy audit. De gewijzigde wet gemeentelijke schuldhulpverlening levert in de praktijk nog veel vragen op bij de gemeenten. Daarom maakte de VNG samen met de AP een handreiking.
De IBD werkt nauw samen met ENSIA. Vrijwel alle gemeenten hebben vorig jaar succesvol en tijdig ENSIA-verantwoording over 2020 afgelegd. Vanaf juli 2021 werken gemeenten met een compleet vernieuwde ENSIA-tool. Een andere mijlpaal is dat de WOZ aan ENSIA is toegevoegd.
Om een goede voeling met de gemeentelijke praktijk te houden, waren er bij de IBD een FG en een CISO voor een periode van nkele maanden vanuit een van de Nederlandse gemeenten in deeltijd gedetacheerd.
Vooruitblik 2022
Dichtbij gemeenten
In de afgelopen jaren heeft de IBD samen met gemeenten honderden ondersteuningsproducten gemaakt. Het is nu tijd om een stevige stap te maken van de papieren werkelijkheid naar praktisch gebruik, zowel op het gebied van informatiebeveiliging als bescherming van persoonsgegevens. Om de aanpak van de IBD op specifieke onderwerpen te toetsen, bezoeken de adviseurs, al dan niet virtueel, gemeenten. Bij deze bezoeken analyseren de adviseurs samen met de gemeentelijke contactpersoon de lokale situatie. Zij gaan nadrukkelijk op zoek naar praktische succesfactoren en knelpunten die de IBD kan gebruiken als input voor adviezen en producten voor alle gemeenten. Het onder controle brengen van kwetsbaarheden en bedrijfscontinuïteit staan hoog op de agenda.
Preventie
Afgelopen jaar zetten de IBD en gemeenten de eerste stappen voor een gezamenlijke pilot in 2022 om de ‘buitenkant’ van gemeenten te scannen op kwetsbaarheden met het Cybersprint Attack Surface Management platform. Dit is voor de eerste maal beproefd bij de Log4J-kwetsbaarheid. Zo wil de IBD ervoor zorgen dat kwetsbaarheden in een vroeg stadium herkend en opgelost worden.
Incident Respons
De respons in de eerste fase van een incident is cruciaal voor het verdere verloop ervan. Hoe meer duidelijk is wat er precies aan de hand is, hoe meer er kan worden gedaan om de schade in te dammen en de effecten te beperken. Daarom start de IBD in 2022 met een pilot om in geval van een incident ter plaatse een zogeheten triage uit te voeren. In het geval van een grootschalig incident kan de IBD ervoor zorgen dat een ervaren incident responder van Northwave binnen enkele uren ter plaatse is om daar namens de IBD samen met de gemeente snel te bepalen wat er aan de hand is en welke maatregelen nodig zijn.
Uitbreiding doelgroep
De IBD inventariseert in 2022 de informatiebehoefte van management en directie van gemeenten. Hierbij staat de vraag centraal welke informatie onder welke voorwaarden doorgeleid dient te worden naar de directietafel. Ook zet de IBD in op het aansluiten van contactpersonen van belangrijke gemeenschappelijke regelingen van gemeenten.
Interne samenwerking
De IBD bevordert in 2022 het risico-denken op diverse niveaus binnen de gemeente. Daarnaast brengt de IBD samen met gemeenten in kaart wat, gegeven de risico’s, de belangrijkste succescriteria zijn om de basisbeveiliging op orde te brengen. Ook schenkt de IBD komend jaar opnieuw aandacht aan de positie van de CISO en de FG binnen gemeenten. Ook wil zij de samenwerking tussen deze functionarissen verder bevorderen en zo het kennisniveau verhogen. De IBD draagt in 2022 bij aan FG/CISO-collectieven en wil verder vooral veel bij gemeenten via een regionale aanpak aanwezig zijn.
Leveranciersmanagement
Op het vlak van leveranciersmanagement is ons streven om via de weg van “Samen Organiseren” meer te standaardiseren waar dat een collectief en grootschalig effect heeft. Gemeenten kunnen zo beter veilige producten en diensten inkopen waarover ze de controle houden. Samen met collega’s van VNG werken we dit verder uit.