Gemeenten krijgen grip op informatiebeveiliging door slimme software
13 april 2015 -
De aandacht voor informatiebeveiliging neemt bij gemeenten sterk toe. Toch is er door gebrek aan tijd, kennis en geld vaak moeite die awareness om te zetten naar eenduidig beleid en uitvoering. Bedrijven springen in op dit probleem door materiekennis en softwareoplossingen aan te bieden.
De digitalisering van de overheid gaat verder. En daarmee groeit ook het aantal mogelijkheden om daar misbruik van te maken. Zo werd Gemeente Lochem onlangs getroffen door ransomware, een virus dat computers digitaal kaapt om vervolgens losgeld te vragen. Eind vorig jaar overkwam Gemeente Den Haag hetzelfde. "Als gemeenten de informatiebeveiliging niet op orde hebben, kan dat leiden tot imagoschade, gevolgschade en politieke aansprakelijkheid," zegt Frank Voigt, informatiemanager met jarenlange ervaring binnen lokale overheden. Op 10 februari jl. is het wetsvoorstel Meldplicht Datalekken door de Tweede Kamer goedgekeurd. Inbreuken op de informatiebeveiliging die leiden tot diefstal, verlies of misbruik moeten worden gerapporteerd aan het CBP en betrokkenen. Als een gemeente hier niet aan voldoet riskeert ze een boete tot maximaal 450.000 euro.
Gebrek aan daadkracht
Door dit soort maatregelen komt het onderwerp steeds hoger op de bestuurlijke agenda. Bovendien pushen organisaties als de VNG, de Informatie Beveiligings Dienst (IBD) en het CBP het thema met een overvloed aan informatie, regelgeving en richtlijnen, waaronder de Baseline Informatiebeveiliging Gemeenten (BIG). Toch ontbreekt het veel gemeenten nog aan daadkracht om dat bewustzijn om te zetten naar beleid, plannen en uitvoering. Naast de ruim 300 beveiligingseisen van de BIG zijn er namelijk nog afzonderlijke richtlijnen en normenkaders voor onder meer de BRP, Reisdocumenten, DigiD en Suwinet. "Het voldoen aan al die eisen brengt veel nieuw en extra werk met zich mee. Op het gebied van al die richtlijnen en normenkader moeten vragenlijsten worden ingevuld en zelfevaluaties uitgevoerd. Veel vragenlijsten en normen overlappen, waardoor verantwoordelijken eigenlijk dubbel werk doen," zegt Voigt. Zo kan het voorkomen dat één ict-manager in een korte periode vijf keer dezelfde vraag krijgt voorgelegd van verschillende verantwoordelijken voor verschillende normenlijsten.