VNG wil gemeentelijke IT-beveiligingsdienst

Gingen we gisteren nog in op het feit waarom niet iedere gemeente een eigen hacker in dienst hoeft te hebben, dan gaan we vandaag nog even door met een idee wat meer levensvatbaar is.

De Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) vinden de tijd rijp voor een gemeentelijke IT-beveiligingsdienst. Deze dienst gaat incidenten bij gemeenten afhandelen en verzorgt de coördinatie bij beveiligingsproblemen…Daardoor hoeven niet alle gemeenten individueel aan de slag, maar kan dit gemeenschappelijke orgaan deze taak op zich nemen (bron).

Op deze wijze kunnen we de krachten bundelen en de gemeenten helpen met het beter beveiligen van de gemeentelijke informatievoorziening. Overigens hoeven ze daar, volgens mij, geen nieuwe dienst voor op te zetten maar kunnen ze gewoon aansluiten bij het Nationaal Cyber Security Centrum (NCSC). Deze moet dan wellicht iets anders ingericht worden en moet dan misschien qua capaciteit uitgebreid worden, maar het hele kader ligt er al en dat doet gewoon goed werk.

Maar goed, als er inderdaad een idee is om een gemeentelijke IT-beveiligingsdienst op te zetten. Waarom zou dit idee dan niet breder getrokken kunnen worden? Misschien te beginnen bij een gemeentelijke IT-dienst zodat niet iedere gemeente zelf meer over een IT-dienst hoeft te beschikken?

Misschien een gemeentelijke plantsoenendienst zodat die centraal aangestuurd kunnen worden en voor meer gemeenten hun werkzaamheden uit kunnen voeren? Een gemeentelijke brandweerdienst is er voor een aantal gemeenten (die niet meer over een eigen brandweer) beschikken ook al, dus die kan dan best nog wat uitgebreider worden ingezet, wat overigens ook geldt voor de Ambulance en Politie natuurlijk.

Zijn dit proefballonnen om te kijken of we meer en meer centraal kunnen gaan regelen? Voor iedere inwoner dezelfde aanslagen, dezelfde kosten om een paspoort te krijgen (ook een mogelijke gemeentelijke paspoortdienst kunnen we overwegen). Ehm, waar rook is, is vuur en als ik een burgemeester was dan zou ik nog even nagaan welke strategie de centrale overheid, met alle bezuinigingen, de komende jaren gaat voeren.

Binnen een aantal jaren een echte BV Nederland maar dan zonder dochterondernemingen in de vorm van gemeenten (en provincies)? Wie weet, ik ben benieuwd (en weet nog niet of ik daar heel blij van ga worden).

Elke gemeente moet eigen hacker krijgen

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten (bron).

Op het eerste gezicht misschien een erg positief bericht voor “onze” branche, maar als we er wat dieper op ingaan dan kunnen we toch wat vraagtekens zetten bij deze uitlating. Ik kan natuurlijk afsluiten met de conclusie, maar ik haal hem voor vandaag naar voren en zal dan aangeven waarom ik deze conclusie trek:
Niet iedere gemeente moet zijn eigen hacker krijgen, nee, iedere gemeente moet zijn verantwoordelijkheid nemen en de informatiebeveiliging op orde hebben. Hoe ze dat doen is een andere vraag.

Ok, hier gaan we. Op 1 januari 2012 telde Nederland 415 gemeenten. Dat is al een eerste reden dat niet iedere gemeente een eigen hacker moet krijgen. Ik vraag me af of er zoveel (goed opgeleide) hackers (met goede bedoelingen) in Nederland te vinden zijn. Overigens is de kleinste gemeente de gemeente Schiermonnikoog met 950 inwoners, knappe jongen als je daar een serieuze hacker weet te vinden.

Een tweede reden ligt misschien erg voor de hand, maar ook niet iedere gemeente heeft een gemeentelijke inbreker om te controleren of alle gebouwen en huizen in deze gemeente wel inbrekersproof zijn. Sterker nog, niet iedere gemeente heeft een Security Manager of Officer. Wie moet die hacker dan aan gaan sturen en volgens welk beveiligingsbeleid moet hij of zij dan gaan werken? Dan is dan ook direct de derde reden: het ontbreken van een goed beveiligingsbeleid.

Overigens beweer ik ook niet dat iedere gemeente een Security Manager zou moeten hebben. Voor de kleinere (en misschien zelfs middelgrote) gemeenten is dat niet nodig. De taken kunnen we gemakkelijk bij iemand beleggen, de daadwerkelijke invulling kunnen we best uitbesteden. We willen immers niet dat die Security Manager en die hacker zich te pletter gaan vervelen want dan vormen ze wellicht een groter risico dan een beveiligingsmaatregel. Nog een reden dus: is er wel genoeg werk voor die hacker? En overleeft hij de volgende reorganisatie dan wel?

Dan is er nog een reden om terughoudend te zijn met het aannemen van hackers. Dat is misschien een definitie kwestie, maar wel een die we in het aanname beleid goed moeten controleren. Er zijn zogenaamde white hat hackers en black hat hackers (ook wel crackers). Die laatste categorie wordt gedreven uit crimineel, ideologisch of vernielzuchtig oogpunt. Het lijkt me dus verstandig even na te gaan tot welke categorie de sollicitant zich rekent en misschien kan een Verklaring Omtrent het Gedrag ook geen kwaad (waarbij we er natuurlijk rekening mee houden dat een VOG alleen maar aangeeft dat iemand in het verleden nooit voor dit soort vergrijpen is opgepakt…het zegt niet automatisch dat hij nooit de wet heeft overtreden).

Hoewel we vast nog veel meer redenen kunnen bedenken, sluiten we af met deze: wie controleert de controleur? Wie kan er toezicht houden op de hacker en zijn of haar activiteiten? We kunnen wel allerlei protocollen en richtlijnen afspreken (hoewel die voor veel gemeenten ontbreken op dit moment), maar hoe weten we zeker dat de hacker zich daar aan houdt? Hoe weten we zeker dat hij genoegen neemt met zijn ambtenaren salaris en toch niet een beetje bij wil verdienen? Het grootste gevaar is nog altijd een intern gevaar en zeker als het om dergelijke techneuten gaat kan dat grote risico’s opleveren voor de gemeente.

Nee, het lijkt een leuke uitspraak en grotere gemeenten kunnen het wellicht overwegen, maar de rest moet gewoon de kaders stellen en de expertise van buiten halen (en natuurlijk mag je me daar altijd even voor bellen, ik weet nog wel een paar goede white hat hackers).

Drie principes voor een veilige webomgeving…maar dan wel met een integrale benadering

De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. In ieder geval volgens Brenno de Winter (bron). Kort geleden schreef hij hier een artikel over.

Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.

De drie principes omschrijft hij verder als volgt:

  1. Up-to-date zijn
  2. Wees minimalistisch
  3. Wees alert

Voor een volledige toelichting op wat er bedoeld wordt verwijs ik graag naar het originele artikel dat te vinden is op www.gemeente.nu of door simpel weg hier te klikken.

Inderdaad uitstekende principes. Niets op tegen natuurlijk. Als het de gemeente dan ook nog eens lukt om een integrale beveiligingsbenadering te hanteren, gebaseerd op risico management, dan zijn we nog een stap verder. We moeten immers niet vergeten dat de informatiebeveiliging ondersteunend is aan de bedrijfsvoering van de gemeente…en die kan best een dagje zonder een website.

We moeten er vooral voor waken dat de beveiligingsmaatregelen die we nemen niet alleen maar technisch van aard zijn. Natuurlijk komen we vanzelf bij de techniek, maar een goede set bestaat uit technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

We hebben er niets aan als we de techniek niet juist beheren met procedures, we willen er ook zeker van zijn dat iemand zich verantwoordelijk voelt voor die nieuwe firewall van ons. En dat mooie doosje met knipperende lampjes bergen we natuurlijk veilig op in onze serverruimte waarop toegangscontrole van toepassing is en waarin we netjes een alarmsysteem hebben aangebracht om fysieke inbraken te kunnen detecteren.

Vullen we de drie principe dus aan met risico management en een integrale benadering dan zijn we lekker op weg. De techniek kunnen we op die manier best onder controle houden. Waar we extra aandacht aan moeten besteden is aan de medewerkers binnen de gemeente. Veelal zien we dat de gevolgen van incidenten zich uitten als een security incident. De oorzaak ligt veelal ergens anders.

Men wil best die systemen goed beheren, men wil best patches en updates doorvoeren, men wil zich best aan de beveiligingsregels houden…maar ja, als er geen budget is of als het management niet begrijpt dat er iets moet gebeuren dan lopen we vast.

We kunnen dat natuurlijk makkelijk het management in de schoenen schuiven, maar dat is niet terecht. Het gaat er om om de beveiligingsmaatregelen (rule based benadering) door te vertalen naar de operationele risico’s (oorzaak en gevolg) die we vervolgens uitleggen in enterprise risks (omzet/budget, kosten en imago). Dit is overigens niet specifiek voor gemeenten maar ook voor alle andere organisaties. Het verschil zit hem er in dat een gemeente minder belang hecht aan de “omzet” en eerder denkt in termen als budget. Waar dan wel weer extra de nadruk op ligt is het imago.

Imago geschaad? Burgemeesterspositie op de tocht. Kunnen we dus geen rationele redenen bedenken om de beveiliging van de gemeente te verbeteren dan kunnen we het altijd nog proberen in te steken vanuit het imago van de burgemeester en wethouders…wie weet krijg je als beveiliger dan de aandacht die je verdient (maar ga daar wel gepast mee om).