Naar aanleiding van de digitale aanval op Hof van Twente kwam gisteren dit bericht voorbij in de Toren (regionale krant). De stelling gaat over mijn woonplaats Hardenberg en wordt voorgelegd aan de politieke partijen van mijn gemeente:

Hardenberg moet de digitale beveiliging door een specialist laten testen om hacks als in Hof van Twente te voorkomen.

Ik wil een aantal opvallende zaken naar voren laten komen uit het bericht:

  • GroenLinks geeft aan dat dergelijk testen continue zouden moeten gebeuren. Het is aan de gemeente data goed te beveiligen.
  • OpKoers.nu meent dat er een samenwerking tussen gemeentes moet zijn om kennis en expertise te delen. Bijvoorbeeld om te leren van Hof van Twente.
  • CDA ziet ook duidelijk de menselijke factor bij een aanval. Het gaat verder dan alleen het ICT systeem.
  • VVD vindt het vanzelfsprekend dat er getest moet worden. Herhaling is key om een veilig systeem te krijgen.
  • ChristenUnie geeft aan dat 100% garantie op het uitsluiten van een hack onmogelijk is en vertrouwt erop dat gemeente Hardenberg de systemen voldoende heeft beveiligd.
  • 50Plus ziet de voordelen van het laten testen door een ethisch hacker. Op deze manier komen kwetsbaarheden sneller aan het licht.
  • PvdA zegt dat we ervan uit moeten gaan dat beveiliging van de gemeente Hardenberg voldoende is. Echter moet dat wel regelmatig gecontroleerd worden. En wenst ons een hackvrij nieuwjaar toe (vond ik leuk).
  • D66 geeft aan dat het een illusie is dat een hack te voorkomen was zoals bij Hof van Twente. Er moet nagedacht worden hoe de gemeente door kan als deze digitaal gegijzeld wordt.

Hoe denkt Den Ouden Informatiebeveiliging hierover?

Goed. Allerlei mening dus van verschillende partijen. Maar wat vindt Den Ouden Informatiebeveiliging hier eigenlijk van?

Ik ben van mening dat een gemeente inderdaad haar ICT systemen op orde moet hebben. Dat we er als burgers vanuit moeten gaan dat onze persoonsgegevens inderdaad veilig moeten zijn. Echter, het is gebleken uit de testen die ik uitvoer voor onder andere gemeentes dat dit vaak niet het geval is. Wat vaak vergeten wordt is dat er nog ergens een systeem draait dat eigenlijk allang uit had moeten staan of niet geüpdate is. Dat maakt een systeem digitaal kwetsbaar. Enkel denken dat het wel in orde is, is te makkelijk gedacht. Wil je echt weten waar kwetsbaarheden zitten of hoe goed je systeem nu weerbaar is, dan moet je dit gewoonweg regelmatig laten pentesten.

Waarom een externe partij inschakelen?

Een externe partij kijkt anders naar je netwerk en je systemen dan dat jezelf of je reguliere ICT leverancier doet. Er wordt met de ogen van de kwaadwillende hacker gekeken en op deze manier kun je een kwetsbaarheid veel eerder spotten. En nee, voorkomen kan zeker niet. Een pentest doet dat ook niet. Maar helemaal niet laten testen is naar mijn mening echt geen optie. Overigens; de Baseline Informatiebeveiliging Overheid (BIO) zegt hier ook iets over. In artikel 18.2.3.1 wordt aangegeven dat informatiesystemen regelmatig beoordeeld dienen te worden. Bijvoorbeeld door zo’n pentest. En die kennis is vaak niet in-house aanwezig.

Dan natuurlijk de menselijke kant. Je kunt als gemeente heel veel digitaal beveiligen. Maar je hebt ook rekening te houden met hoe je mensen werken. Door aan te geven wat je wel en niet mag of kunt doen op het systeem geef je aan hoe er met een systeem gewerkt kan worden. Simpelweg beleid dus. Maar mensen moeten ook begrijpen wat er mis kan gaan als ze zich niet aan het beleid houden. Draagvlak en bewustwording creëeren zijn hier de sleutels. Zorg dus voor draagvlak en maak je medewerkers bewust van de gevaren. Toon bijvoorbeeld hoe een kwaadwillende gebruikmaakt van een phishingmail. Door iedereen mee te nemen binnen de gemeente in het beleid van informatiebeveiliging kun je het risico verkleinen en worden bijvoorbeeld aanvallen zoals social engineering en phishing sneller ontdekt.

Kennis delen is belangrijk

Natuurlijk is kennis delen tussen verschillende gemeentes en overheden noodzakelijk om van elkaar te leren. Gelukkig wordt dit steeds vaker gedaan. Door te vertellen waar iets misging kan een ander daar iets van leren.

Wat als het toch misgaat?

En als het dan toch misgaat en de gemeente kan haar werkzaamheden niet meer uitvoeren omdat ze gehackt zijn? Of omdat er een ransomware aanval is uitgevoerd? Een gigantisch datalek is? Dan hoop ik dat de schade tot een minimum beperkt blijft. De juiste manier van incident handling & response kan daar zeker bij helpen. Hoe ga je om met een aanval? Welke partijen moeten worden ingelicht? Hoeveel data is er gestolen? Hoe communiceer je over de aanval? Het hebben van een plan voor de na de aanval zorgt ervoor dat je sneller en betere beslissingen maakt. Het is al hectisch genoeg. Laat staan zonder zo’n plan. En dat is iets dat veel gemeentes (maar ook andere organisaties en bedrijven) niet hebben. Mijn advies is dus ook: zorg dat je een plan hebt.

Conclusie

In een notendop: 100% beveiligen lukt niet en het is nooit een garantie. Niets doen ook niet. Pentesten helpt. Ik ben het daarom zeker eens met de stelling: Hardenberg moet de digitale beveiliging door een specialist laten testen. Daarnaast, bewustwording bij je werknemers vergroot de beveiliging en zorgt voor meer draagvlak. Zorg voor een plan na de aanval. Zonder ben je verloren en vaar je blind.

Hoe kunnen wij je helpen?

Wij helpen organisaties, en dus ook gemeentes, bij het opzetten van (betere) informatiebeveiliging. Dat doen we door het geven van advies op de huidige maatregelen en beleid omtrent informatiebeveiliging, het houden van pentesten (black box, grey box, white box) en social engineering aanvallen. We schrijven beleid maar ook de incident handling & response plannen en dragen deze ook uit. Dat doen we in de vorm van security awareness sessies voor iedere laag in de organisatie. Meer weten? Contact:

info@denoudeninformatiebeveiliging.nl

06-34822893