6 oktober 2016

Digitale ketenveiligheid: meer dan techniek

image for Digitale ketenveiligheid: meer dan techniek image

Nederlandse gemeenten hebben in de afgelopen jaren hun ketens zien groeien en complexer zien worden. De toenemende digitalisering maakt ICT in ketens complex. De informatievoorziening tussen ketens vervult een belangrijke functie. De transities in het sociaal domein maken gemeenten de centrale schakel in de ketens van Jeugdzorg, Wmo en Werk&Inkomen. Gemeenten hebben vanuit deze centrale rol een belang dat verder gaat dan de efficiency van de eigen organisatie.

Nederlandse gemeenten hebben in de afgelopen jaren hun ketens zien groeien en complexer zien worden. De toenemende digitalisering maakt ICT in ketens complex. De informatievoorziening tussen ketens vervult een belangrijke functie. De transities in het sociaal domein maken gemeenten de centrale schakel in de ketens van Jeugdzorg, Wmo en Werk&Inkomen. Gemeenten hebben vanuit deze centrale rol een belang dat verder gaat dan de efficiency van de eigen organisatie.

Normenkader
Gemeenten hebben een groot en divers takenpakket en moeten bij de uitvoering samenwerken met een veelvoud aan externe organisaties. Dit geheel wordt niet alleen gereguleerd door wet- en regelgeving, maar is ook onderhavig aan een pakket van afspraken, resoluties, memoranda, manifesten en bestuursakkoorden.

De informatievoorziening van gemeenten moet zo zijn ingericht dat het deze ingewikkelde werkelijkheid kan faciliteren. Dat moet uiteraard veilig gebeuren, het gaat tenslotte vaak om de verwerking van bijzondere persoonsgegevens: de kroonjuwelen van gemeenten. Gemeentelijke bestuurders zijn zich ten volle bewust van de zware verantwoordelijkheid die op hun schouders rust als het gaat om de beveiliging van informatie. In 2013 hebben gemeenten daarom de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ ondertekend. In deze resolutie hebben gemeenten afgesproken de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als gemeenschappelijk normenkader te hanteren. Deze baseline stelt al in de uitgangspunten de ketens centraal en vraagt bij maatregelen aandacht voor verantwoordelijkheid voor de keten veiligheid. Voor het informatiebeveiligingsbeleid worden alle risico’s in overweging genomen op de volgende thema’s: mens, apparatuur, programmatuur, gegevens, organisatie, omgeving en dienstverlening.

Kloppend antwoord
De Informatiebeveiligingdienst voor gemeenten (IBD) is in 2013 opgericht door alle Nederlandse gemeenten om gemeenten te ondersteunen bij het veilig houden van hun informatiehuishouding.
Nausikaä Efstratiades is hoofd van de IBD en stelt vast dat gemeenten volop aan de slag zijn met ketenveiligheid en in de afgelopen jaren de IBD steeds meer benaderen over de ketenaspecten van informatiebeveiliging: “We zien een stevige toename in het aantal vragen over de randvoorwaarden op het gebied van informatiebeveiliging bij de inrichting van nieuwe en veranderende processen. Bijvoorbeeld vragen over gegevensuitwisseling tussen ketenpartners of eisen die aan leveranciers moeten worden gesteld.” Efstratiades vult aan: “Door aan de voorkant veel aandacht te besteden aan de randvoorwaarden kunnen ketens uiteindelijk makkelijker samenwerken. Dat vereist wel veel afstemming. Partijen binnen de keten zijn afhankelijk van elkaar, terwijl de invloed tussen partijen in de keten beperkt is. Duidelijke afspraken zijn daarom van het grootste belang. We hebben gemerkt dat daar veel aandacht aan wordt besteed door gemeenten. Het gaat lang niet altijd over techniek, maar vooral over de inrichting van de organisatie en het gedrag van mensen. Veilig gedrag moet uiteindelijk ingebakken zitten in de gehele keten. Een robuust informatiebeveiligingsbeleid bevat relatief veel fysieke en organisatorische componenten: wie heeft wanneer toegang tot welke informatie en onder welke condities en hoe controleren we daarop? Informatiebeveiliging is voor 75% het vinden van een kloppend antwoord op deze vragen in combinatie met het bewust maken en houden van medewerkers.”

Gevolgen voor de keten
De laatste 25% gaat over de harde techniek: het bijhouden en oplossen van kwetsbaarheden in technische systemen, bemoeilijkt door het feit dat ICT-systemen verknoopt zijn met andere ICT-systemen van de eigen organisatie en die van ketenpartners. Dat maakt ook dat je soms tijd nodig hebt om een op het oog simpele technische aanpassing door te voeren. De gevolgen van een foute technische instelling kunnen ver doorwerken in een keten: “Als informatie niet meer doorkomt, kan dat betekenen dat aan het einde van een keten een uitkering niet of niet op tijd wordt betaald.”

De buitenwereld van politiek en media zou volgens Efstratiades wel meer aandacht kunnen hebben voor de complexe werkelijkheid van ketens: “Bij media-aandacht voor informatiebeveiliging gaat het al snel over incidenten en technische oplossingen. Zelfs de landelijke politiek roept bij een gebleken kwetsbaarheid of een informatieveiligheidsincident om het verplicht stellen van specifieke technische oplossingen.” De werkelijkheid is weerbarstiger dan het installeren en implementeren van de nieuwe technische maatregelen. Efstratiades: “Bij iedere wijziging – hoe klein ook – van een systeem moet je de gevolgen in de keten in beschouwing nemen en kijken hoe het past in het geheel van alles wat je doet ten opzichte van het risico; zonder proces, geen succes.”

Risicogebieden
De risico’s liggen niet alleen op het terrein van de techniek van apparatuur en programmatuur. Er zijn nog vijf andere risicogebieden: mens, gegevens, organisatie, omgeving en dienstverlening. Daarom zijn de fysieke en organisatorische beveiligingsmaatregelen zo belangrijk en verdienen ze ook van de buitenwereld meer aandacht dan ze nu krijgen. Door de huidige eenzijdige focus op techniek doen we geen recht aan alle inspanningen van de verschillende schakels in de keten om de informatiesystemen dagelijks optimaal beveiligd te houden.

 

remco.groet@kinggemeenten.nl, Remco Groet is communicatieadviseur en woordvoerder informatiebeveiligingsdienst Gemeenten (IBD) bij KING.