Informatiebeveiliging en privacy spelen een belangrijke rol bij de uitvoering van de gemeentelijke taak. Beide zijn onlosmakelijk met elkaar verbonden. Velsen heeft op dit vlak een maatschappelijke verantwoordelijkheid en hecht veel belang aan het beschermen van de privacy van haar burgers. Een hoge betrouwbaarheid van de informatievoorziening zorgt voor een betrouwbare dienstverlening en maakt efficiënt werken mogelijk.
Na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is de samenleving meer en meer gewend geraakt aan deze regelgeving. Er wordt hard aan gewerkt om de ‘privacy-volwassenheid’ binnen de gemeente naar een hoger niveau te tillen. Blijvende aandacht is nodig om privacy op een natuurlijke manier tot de organisatiecultuur te laten behoren.
De ontwikkelingen op het gebied van privacy breiden zich razendsnel tempo uit. Daarom is ervoor gekozen om ter ondersteuning van de Functionaris gegevens-bescherming (FG) en de Privacy-officer (PO), privacy contactpersonen aan te wijzen. Deze contactpersonen zijn inmiddels opgeleid en gaan met hun privacy kennis aan de slag binnen hun eigen domeinen.
In 2022 wordt ingezet op uitbreiding van de taken van deze privacy contactpersonen. Dit creëert structurele borging van privacy kennis binnen de organisatie. De focus komt meer te liggen op “privacy by design”. Dit houdt in dat de privacy-vriendelijkheid van producten en diensten het standaard uitgangspunt moet zijn. Doordat de privacy-contactpersonen de FG en PO ontlasten ontstaat er ruimte om de bestaande beleidsstukken vernieuwen.
Ook zal 2022 in het teken staan van de verdere invoering van de Baseline Informatiebeveiliging Overheid (BIO). Recentelijk heeft de gemeentelijke overheid een wake-up-call gekregen in de vorm van een geslaagde ransomware-aanval, op gemeente Hof van Twente. Dit heeft ertoe geleid dat de informatievoorziening van die gemeente geheel verloren is gegaan. Ook alle back-ups zijn vernietigd. De impact daarvan is natuurlijk enorm. Vrijwel de gehele bedrijfsvoering kwam daardoor tot stilstand. Omdat Hof van Twente heeft besloten geen losgeld te betalen is de weg om weer op een normaal niveau van dienstverlening te komen zeer lang. Uit deze gebeurtenis zijn ook voor Velsen lessen te trekken en daar zal nog in 2021, maar ook in 2022 en verder aan gewerkt moeten worden. De volgende speerpunten moeten extra aandacht te krijgen om de weerbaarheid te verhogen:
- Patchmanagement : het adequaat up-to-date houden van softwaresystemen, met name als de updates belangrijke beveiligingsproblemen verhelpen.
Hardening: het dichtmaken en houden van alle digitale deuren naar het internet die niet strikt noodzakelijk zijn.
- Security Information and Event Management (SIEM) : het geautomatiseerd uitlezen en analyseren van logbestanden waarmee verdacht netwerkverkeer kan worden gedetecteerd om daarvoor waarschuwingen af te kunnen geven.
- Security Operations Centre (SOC) : team van specialisten die de waarschuwingen vanuit het SIEM-systeem analyseren en adviseren over de te ondernemen acties.
Back-up: maken van reservekopieën. Deze kopieën moeten voor een deel buiten het netwerk worden gehouden en op een andere locatie bewaard worden om ze niet bloot te stellen aan kwaadaardige acties vanaf internet en / of lokale calamiteiten. Zeer belangrijk is dat getest wordt of de informatievoorziening kan worden hersteld met de gemaakte reservekopieën.
- Netwerksegmentering : compartimentering van het netwerk waarbij het verkeer tussen de compartimenten beperkt is en aan strikte beveiligingsregels is gebonden.
Risicobewustzijn: het besef bij alle medewerkers, inclusief management en bestuur dat zij een sleutel tot de informatievoorziening hebben en zich daarom bewust zijn van de risico’s die dat met zich mee brengt. Dit moet er toe leiden dat zij altijd zo handelen dat de risico’s beperkt blijven.
Op al deze gebieden, met uitzondering van SIEM / SOC, heeft gemeente Velsen maatregelen genomen, maar het is duidelijk dat hierop nog vele verbeteringen mogelijk en noodzakelijk zijn. Aangezien Velsen het beheer van de ICT-voorziening heeft uitbesteed wordt dit in samenwerking met de opdrachtnemer tot stand gebracht. Aan de opdrachtnemer is ook gevraagd om de SIEM / SOC-netwerkmonitoring uit te werken. Het kost veel geld om Hof van Twente-achtige gebeurtenissen voor te zijn.