VNG ondersteunt gemeenten bij ICT-beveiliging

Gisteren gaven we al aan dat het met de beveiliging van veel overheidsinstellingen nog slecht gesteld is terwijl de overheid de boetes die ze op wil leggen aan bedrijven flink verhoogd. Ik vind nog steeds dat we met een publiek-private samenwerking moeten proberen de beveiliging van de BV Nederland te verhogen en zal zelf mijn steentje bijdragen door het volgende bericht onder jullie aandacht te brengen.

De Vereniging Nederlandse Gemeenten (VNG) gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht (bron).

Nu is het natuurlijk nog helemaal de vraag hoe serieus dit punt wordt opgepakt, maar er lijkt een begin te worden gemaakt en dat is al meer dan we jaren kunnen zeggen. Het is te hopen dat er niet over een nacht ijs wordt gegaan en dat er eerst goed nagedacht wordt over de structuur die we kunnen hanteren.

Dus niet direct met allerlei standaard lijstjes komen maar aangeven hoe gemeenten “in control” kunnen komen en hoe ze beter sturing kunnen geven. Het bestuur moet duidelijk gemaakt worden wat informatiebeveiliging is, hoe het samenhangt met risicomanagement en waar Compliance dan om de hoek kan komen kijken.

Dit initiatief is zowel een kans als een bedreiging. Pakken we het verkeerd aan dan zitten we nog jaren vast aan een imperfecte aanpak met alle gevolgen van dien. Het risico is dat we teveel gaan denken vanuit de beveiligingsmaatregelen zonder dat we de risico’s als uitgangspunt nemen. Als dat het geval wordt dan gaan er miljarden gespendeerd worden aan maatregelen die weinig bijdragen aan de echte informatiebeveiliging.

Misschien ken je het verloop met het zogenaamd voldoen aan SOx (Sarbanes-Oxley). Hierbij zijn ook miljarden verloren gegaan omdat we niet meer nadachten over het “waarom” maar gewoon domweg de maatregelen implementeerden “omdat het moest”. De “lessons learned” van SOx zouden we goed kunnen gebruiken om te onderzoeken waar we de beveiliging structureel beter kunnen regelen.

Ik ben heel benieuwd wat de aanpak zal zijn en welke partijen erbij betrokken zullen worden. Mij mogen ze altijd benaderen want mijn handen jeuken en ik heb nog wel wat interessante strategieën om het structureel beter in te regelen waarbij we niet uitgaan van de maatregelen maar juist van de risico’s. We houden het voor je in de gaten en zullen zien of ze deze kans oppakken of voorbij laten gaan.

VNG wil gemeentelijke IT-beveiligingsdienst

Gingen we gisteren nog in op het feit waarom niet iedere gemeente een eigen hacker in dienst hoeft te hebben, dan gaan we vandaag nog even door met een idee wat meer levensvatbaar is.

De Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) vinden de tijd rijp voor een gemeentelijke IT-beveiligingsdienst. Deze dienst gaat incidenten bij gemeenten afhandelen en verzorgt de coördinatie bij beveiligingsproblemen…Daardoor hoeven niet alle gemeenten individueel aan de slag, maar kan dit gemeenschappelijke orgaan deze taak op zich nemen (bron).

Op deze wijze kunnen we de krachten bundelen en de gemeenten helpen met het beter beveiligen van de gemeentelijke informatievoorziening. Overigens hoeven ze daar, volgens mij, geen nieuwe dienst voor op te zetten maar kunnen ze gewoon aansluiten bij het Nationaal Cyber Security Centrum (NCSC). Deze moet dan wellicht iets anders ingericht worden en moet dan misschien qua capaciteit uitgebreid worden, maar het hele kader ligt er al en dat doet gewoon goed werk.

Maar goed, als er inderdaad een idee is om een gemeentelijke IT-beveiligingsdienst op te zetten. Waarom zou dit idee dan niet breder getrokken kunnen worden? Misschien te beginnen bij een gemeentelijke IT-dienst zodat niet iedere gemeente zelf meer over een IT-dienst hoeft te beschikken?

Misschien een gemeentelijke plantsoenendienst zodat die centraal aangestuurd kunnen worden en voor meer gemeenten hun werkzaamheden uit kunnen voeren? Een gemeentelijke brandweerdienst is er voor een aantal gemeenten (die niet meer over een eigen brandweer) beschikken ook al, dus die kan dan best nog wat uitgebreider worden ingezet, wat overigens ook geldt voor de Ambulance en Politie natuurlijk.

Zijn dit proefballonnen om te kijken of we meer en meer centraal kunnen gaan regelen? Voor iedere inwoner dezelfde aanslagen, dezelfde kosten om een paspoort te krijgen (ook een mogelijke gemeentelijke paspoortdienst kunnen we overwegen). Ehm, waar rook is, is vuur en als ik een burgemeester was dan zou ik nog even nagaan welke strategie de centrale overheid, met alle bezuinigingen, de komende jaren gaat voeren.

Binnen een aantal jaren een echte BV Nederland maar dan zonder dochterondernemingen in de vorm van gemeenten (en provincies)? Wie weet, ik ben benieuwd (en weet nog niet of ik daar heel blij van ga worden).

Elke gemeente moet eigen hacker krijgen

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten (bron).

Op het eerste gezicht misschien een erg positief bericht voor “onze” branche, maar als we er wat dieper op ingaan dan kunnen we toch wat vraagtekens zetten bij deze uitlating. Ik kan natuurlijk afsluiten met de conclusie, maar ik haal hem voor vandaag naar voren en zal dan aangeven waarom ik deze conclusie trek:
Niet iedere gemeente moet zijn eigen hacker krijgen, nee, iedere gemeente moet zijn verantwoordelijkheid nemen en de informatiebeveiliging op orde hebben. Hoe ze dat doen is een andere vraag.

Ok, hier gaan we. Op 1 januari 2012 telde Nederland 415 gemeenten. Dat is al een eerste reden dat niet iedere gemeente een eigen hacker moet krijgen. Ik vraag me af of er zoveel (goed opgeleide) hackers (met goede bedoelingen) in Nederland te vinden zijn. Overigens is de kleinste gemeente de gemeente Schiermonnikoog met 950 inwoners, knappe jongen als je daar een serieuze hacker weet te vinden.

Een tweede reden ligt misschien erg voor de hand, maar ook niet iedere gemeente heeft een gemeentelijke inbreker om te controleren of alle gebouwen en huizen in deze gemeente wel inbrekersproof zijn. Sterker nog, niet iedere gemeente heeft een Security Manager of Officer. Wie moet die hacker dan aan gaan sturen en volgens welk beveiligingsbeleid moet hij of zij dan gaan werken? Dan is dan ook direct de derde reden: het ontbreken van een goed beveiligingsbeleid.

Overigens beweer ik ook niet dat iedere gemeente een Security Manager zou moeten hebben. Voor de kleinere (en misschien zelfs middelgrote) gemeenten is dat niet nodig. De taken kunnen we gemakkelijk bij iemand beleggen, de daadwerkelijke invulling kunnen we best uitbesteden. We willen immers niet dat die Security Manager en die hacker zich te pletter gaan vervelen want dan vormen ze wellicht een groter risico dan een beveiligingsmaatregel. Nog een reden dus: is er wel genoeg werk voor die hacker? En overleeft hij de volgende reorganisatie dan wel?

Dan is er nog een reden om terughoudend te zijn met het aannemen van hackers. Dat is misschien een definitie kwestie, maar wel een die we in het aanname beleid goed moeten controleren. Er zijn zogenaamde white hat hackers en black hat hackers (ook wel crackers). Die laatste categorie wordt gedreven uit crimineel, ideologisch of vernielzuchtig oogpunt. Het lijkt me dus verstandig even na te gaan tot welke categorie de sollicitant zich rekent en misschien kan een Verklaring Omtrent het Gedrag ook geen kwaad (waarbij we er natuurlijk rekening mee houden dat een VOG alleen maar aangeeft dat iemand in het verleden nooit voor dit soort vergrijpen is opgepakt…het zegt niet automatisch dat hij nooit de wet heeft overtreden).

Hoewel we vast nog veel meer redenen kunnen bedenken, sluiten we af met deze: wie controleert de controleur? Wie kan er toezicht houden op de hacker en zijn of haar activiteiten? We kunnen wel allerlei protocollen en richtlijnen afspreken (hoewel die voor veel gemeenten ontbreken op dit moment), maar hoe weten we zeker dat de hacker zich daar aan houdt? Hoe weten we zeker dat hij genoegen neemt met zijn ambtenaren salaris en toch niet een beetje bij wil verdienen? Het grootste gevaar is nog altijd een intern gevaar en zeker als het om dergelijke techneuten gaat kan dat grote risico’s opleveren voor de gemeente.

Nee, het lijkt een leuke uitspraak en grotere gemeenten kunnen het wellicht overwegen, maar de rest moet gewoon de kaders stellen en de expertise van buiten halen (en natuurlijk mag je me daar altijd even voor bellen, ik weet nog wel een paar goede white hat hackers).