Pilot Aansluiting IBD in volle gang

In aanwezigheid van de pilotgemeenten Zaanstad, Groningen en Apeldoorn zijn op 19 juni de eerste resultaten van de pilot van de IBD, genaamd ‘Aansluiting bij de IBD’, opgehaald. Doel van de pilot is om te achterhalen welke zaken aan gemeentezijde geregeld dienen te zijn om na ‘aansluiting’ bij de IBD de dienstverlening van de IBD concreet in te kunnen vullen. De zes gemeenten die deelnemen aan de pilot zijn Apeldoorn, Groningen, Maastricht, Nijmegen, Zaanstad en Menameradiel. Focus van de tussenevaluatie is de zogenaamde  preventiedienstverlening van de IBD. Dit is de dienstverlening waarbij de IBD adviezen mailt over kwetsbaarheden in specifieke producten die in gebruik zijn bij een gemeente. De drie aanwezige gemeentelijke coördinatoren Informatiebeveiliging gaven hun enthousiaste en onderbouwde terugkoppeling in aanwezigheid van de IBD-projectleider en een inhoudsverantwoordelijke van het NCSC.

Mag ik van u een foto maken?

‘Wat is er voor nodig om gemeenten zo efficiënt mogelijk aan te laten sluiten bij de IBD?’ vormde de kernvraag van de ochtend. De pilotgemeenten zijn door de IBD onder meer gevraagd om een ‘foto’ van hun ICT-omgeving te maken. Deze ICT-foto is gebaseerd op een door het NCSC gebruikte inventarisatiestructuur. Doel van deze ICT-foto is om inzichtelijk te krijgen hoe de ICT-omgeving binnen een specifieke gemeente is vormgegeven, zowel qua hard- als software. Dat wil zeggen, in grote lijnen. Zo’n foto gaat de IBD helpen om haar dienstverlening beter af te stemmen op de gemeente(n). Tijdens het gesprek met de pilotgemeenten blijkt deze ICT-foto ook een verwachting op te roepen. Een verwachting t.a.v. de aard van de geleverde (advies-)dienstverlening door de IBD. “Want wanneer ik gevraagd word een dergelijke foto in te vullen, verwacht ik ook dat ik op maat adviezen ga krijgen vanuit de IBD. Zeker in geval van een incident of crisis.”

Een handig stuurmechanisme

De opgestuurde adviezen vanuit de IBD worden door de aanwezige gemeenten niet alleen gebruikt om hun eigen informatiebeveiliging op orde te krijgen, maar ook als stuurmechanisme. Dit om te monitoren in hoeverre de ICT-beheerafdeling deze adviezen zelf al heeft opgevolgd. “Het zou prettig zijn als naast kwetsbaarheden ook meldingen worden gedaan omtrent fouten in de software van een leverancier. Dit gaat nu vaak eerst via gebruikersverenigingen. Vraag is natuurlijk hoe zo’n dergelijke fout in de software van een leverancier het beste gemeld kan worden? Wat is hiervoor de meest logische en geëigende procedure? Wellicht een idee om hier een paragraaf over toe te voegen vanuit gemeenten in de contracten met hun leveranciers.”

Spiegeltje spiegeltje aan de wand

Een scantool zou eventueel een hulpmiddel kunnen zijn voor het invullen van de ICT-foto. Toch is de output daarvan vaak niet 100% dekkend. “Je krijgt dan vaak vooral de hardware inzichtelijk en slechts deels de software. Hoewel het altijd de afweging blijft wat je inventariseert. 100% Volledigheid van een foto is overigens niet eens nodig als het gaat om informatiebeveiliging. Het is met name belangrijk dat de systemen die zichtbaar zijn van buitenaf, op de foto ook zichtbaar worden.”

Bewustzijn op informatiebeveiligingsvlak, werkelijkheid of utopie?

“Bewustzijn als het gaat om informatiebeveiliging is er eigenlijk al”, aldus de deelnemende pilotgemeenten, “denk bijvoorbeeld aan het GBA en de SUWI-keten, maar of het ook echt in de genen van de gemeentelijke organisatie zit? Het zit namelijk minder direct in onze kern-dienstverlening. Als een vliegtuig uit de lucht valt, kost dat direct mensenlevens. Als een bank onvoldoende beveiligd is, kost dat direct veel geld. Bij ons als gemeente denk je daar niet direct aan. Echter… als identiteiten van mensen op straat komen te liggen, kan dat in het meest ernstige geval ook mensenlevens kosten. Als systemen gehacked worden, kan dat ervoor zorgen dat uitkeringen aan burgers niet meer gedaan kunnen worden. Reden om je hiervan altijd bewust te zijn.” Een concrete tip op dit vlak: “een draaiboek inrichten voor bestuurders zodat elke gemeente kan toetsen waar men staat op informatiebeveiligingsvlak zou zeker helpen om het bewustzijn beter te verankeren”, aldus de drie gemeenten.

Reden voor de aanwezige gemeenten om als proceseigenaar informatiebeveiliging de hoogste persoon in de organisatie op dit vlak aan te wijzen, namelijk de gemeentesecretaris. De gemeentesecretaris kan ook zijn handtekening onder de formele ‘aansluiting’ bij de IBD zetten. De hulp van VNG om dit te bewerkstelligen is hierbij onontbeerlijk. Draagvlak op dit niveau zal bovendien zorgen voor betere prioritering en budgettering als het gaat om informatiebeveiliging.

Een waardevolle pilot

“Deze pilot heeft op meerdere punten zijn waarde bewezen”, aldus gemeente Groningen.“Ten eerste is het goed voor de bewustwording bij het management. Zij zien wat de IBD kan betekenen voor gemeenten, maar ook waarom we dit doen. Ten tweede zijn verbeterpunten in het huidige proces naar boven gekomen door de foto-actie binnen de eigen organisatie uit te zetten. Deze verbeteringen zijn gelijk doorgevoerd. Tot slot is het proces na de pilot zo ingericht dat er structurele rapportages voor het management beschikbaar zijn. Kortom, het mes snijdt ook hier aan twee kanten.”

Zaanstad sluit af: “Aansluiten bij de IBD in deze pilotfase heeft onze gemeente al veel opgeleverd. Zo hebben we het patchmanagement verbeterd. De meldingen over kwetsbaarheden in systemen en applicaties die we van de IBD ontvangen, handelen we nu op een gestructureerde manier af. Ook verbetering van het configuratiemanagement en crisiscommunicatie hebben de volle aandacht. Binnenkort gaan we een crisissituatie simuleren, en dan vooral de wijze waarop je de communicatie aanpakt.”

Meer weten?

Wilt u meer weten over de pilot ‘Aansluiting bij de IBD’ dan kunt u uiteraard contact opnemen met de IBD via mail info@IBDgemeenten.nl of door onze helpdesk te bellen (070 373 8011).

FAQ
Welke functionaris kan ik voor mijn gemeente het beste invullen op het VCIB- aansluitformulier?

Dit is een vraag die de IBD helaas niet voor u kan beantwoorden. Het antwoord is namelijk afhankelijk van de grootte van uw organisatie en hoe u als gemeente uw organisatie en werkprocessen heeft ingericht. Om optimaal van de dienstverlening van de IBD gebruik te maken, is het echter wel belangrijk dat u de juiste functionarissen invult op onze aansluitformulieren.

De VCIB ontvangt na het doorlopen van de vier stappen van het aansluitproces,  van de IBD incidentmeldingen of waarschuwingen waarvan de inhoud een vertrouwelijk karakter heeft, meldingen dat één van uw gemeentelijke IP-adressen mogelijk malware verspreid en meldingen van grootschalige incidenten waarbij uw gemeente mogelijk  betrokken is. De meldingen kunnen ook een algemene waarschuwing bevatten of een vraag om te onderzoeken of er vanuit uw gemeentelijke ICT-omgeving contact is geweest met bepaalde verdachte IP-adressen.

Voor de VCIB is het belangrijk dat hij/zij voldoende technisch inzicht heeft om de impact van bepaalde meldingen op de gemeentelijke bedrijfsvoering en reputatie te kunnen begrijpen. Verder is het wenselijk dat de VCIB voldoende positie binnen de organisatie heeft om de nodige maatregelen te kunnen (laten) nemen. De VCIB moet door de organisatie vertrouwd worden in het omgaan met gevoelige informatie en kunnen inschatten met wie hij/zij vertrouwelijke informatie kan delen binnen uw gemeente. De VCIB moet 24/7 bereikbaar zijn.

Typische gemeentelijke functies/rollen waarin deze vaardigheden aanwezig zouden moeten zijn:

  • Security Officer (CISO)
  • Leidinggevende ICT-afdeling
  • Senior Netwerkbeheerder
  • Incidentmanager
  • Hoofd Dienstverlening

De VCIB is werkzaam bij de gemeente of voor een Shared Service Centrum waar de gemeente deelnemer van is.

Voor de VCIB van uw gemeente is het van belang dat het één (of meerdere) bij de IBD bekende (te duiden) personen zijn. Het doorgeven van een algemeen e-mailadres en telefoonnummer is hier dus niet toegestaan.