Wat te doen tegen datalekken?

Een informatiebeveiligingsincident bij een gemeente kan verstrekkende gevolgen hebben. Gemeenten verwerken immers dagelijks gevoelige persoonsgegevens. Gemeenten hebben dan ook beleid om zorgvuldig om te gaan met informatie. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is gebaseerd op de internationale ISO27001 standaard voor informatiebeveiliging. Alle Nederlandse gemeenten hanteren de BIG als norm voor hun informatiebeveiliging. In bijna 90% van alle gemeenten is dit beleid vastgesteld op het niveau van het college van B&W, zo blijkt uit een recente meting via www.waarstaatjegemeente.nl. Ten opzichte van de meting een jaar eerder betreft dit een aanzienlijke stijging. Dat is een goede zaak, informatiebeveiliging is immers ook een bestuurlijke verantwoordelijkheid.

Meldplicht datalekken

De meldplicht datalekken zorgt voor extra aandacht voor het onderwerp informatiebeveiliging. Alle organisaties in Nederland hebben een meldplicht bij de Autoriteit Persoonsgegevens (AP) als bij een informatiebeveiligingsincident persoonsgegevens betrokken zijn. In sommige gevallen moeten zelfs ook de betrokkenen persoonlijk worden ingelicht. De IBD ondersteunt gemeenten bij het naleven van de meldplicht datalekken via de IBD-helpdesk en een set aan operationele kennisproducten, onder andere de leaflet over de meldplicht.

De AP maakte onlangs bekend dat 300 van de in totaal 3.600 meldingen van gemeenten bleken te komen. De meldingen aan de autoriteit zijn niet openbaar. De autoriteit doet geen mededelingen over de aard en omvang van deze datalekken en laat in het midden wat de meldingen precies inhouden.

Duiding datalekken

De IBD krijgt regelmatig verzoeken om duiding van de cijfers van de AP. Vooropgesteld dat er geen meldplicht bij de IBD bestaat en de IBD geen mededelingen doet over individuele meldingen kunnen we op basis van meldingen van de helpdesk wel enkele conclusies trekken over de aard en omvang van de gemelde datalekken. In circa 90% van de met de IBD gedeelde datalekken gaat het om drie categorieën:

1. Ransomware;
2. Een gestolen / verloren mobiele telefoon of datadrager;
3. Een verkeerd geadresseerde e-mail of een bestand in een verkeerde map.

De IBD-Helpdesk stelt vast dat gemeenten uit voorzorg al snel overgaan tot melding van een incident bij de AP, ook als uit nadere inspectie blijkt dat het incident niet meldplichtig zou zijn. Wat opvalt bij de incidenten is dat het in het merendeel van de gevallen gaat om een menselijke fout of vergissing.

Adviezen IBD m.b.t. Ransomware

De IBD adviseert gemeenten waar mogelijk maatregelen te nemen om preventief ransomware tegen te gaan. Hierbij kan men denken aan het uitschakelen van macro’s, het uitschakelen van links in e-mail, het blokkeren van bestandstypen, gebruik van een adblocker en het inhoudelijk filteren van e-mail. Voorkomen van dit soort malware is overigens makkelijker gezegd dan gedaan omdat de e-mails en bestanden waarmee deze ransomware verspreid wordt steeds geavanceerder worden. Gemeenten beschikken over een goed backup-beleid en bouwen voorzieningen in om een eventuele besmetting met ransomware zo klein als mogelijk te houden. Dit zorgt ervoor dat de overlast tot een minimum beperkt wordt maar voorkomt helaas geen besmetting. Het verhogen en op peil houden van bewustwording bij medewerkers blijft van groot belang.

De IBD heeft in dit kader voor gemeenten een aantal operationele kennisproducten uitgebracht: o.a. leaflet ransomware, anti-malware beleid, back-up en recovery Gemeente, handreiking communicatieplan bewustwording.

Adviezen IBD m.b.t. gestolen telefoon / datadrager

De IBD adviseert om geen bestanden met bedrijfsinformatie op draagbare media op te slaan (‘zero footprint’). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, is een sterke versleuteling gewenst. Waar mogelijk kan gebruik worden gemaakt van de virtuele desktopomgeving van de organisatie. Alleen zo is bij vermissing of diefstal geen sprake van een datalek omdat de gegevens immers niet benaderbaar zijn. Zo mogelijk moeten de gegevens op een telefoon of tablet versleuteld en op afstand te wissen zijn. Telefoons en tablets dienen altijd te zijn voorzien van een sterk wachtwoord.

De IBD heeft in dit kader voor gemeenten een aantal operationele kennisproducten uitgebracht: o.a. encryptiebeleid, mobile device management, telewerkbeleid, wachtwoordbeleid.

Adviezen IBD m.b.t. verkeerd geadresseerde berichten

Om te zorgen dat persoonsgegevens niet op de verkeerde plek terecht komen is versleuteling van e-mail danwel van de bijlagen een goed en effectief middel – het is dan wel zaak dat het wachtwoord via een ander middel bij de juiste persoon terecht komt. Zeker bij communicatie met ketenpartners is dit niet altijd eenvoudig te realiseren. Waar mogelijk zou gebruik moeten worden gemaakt van alternatieve veilige bestandsuitwisselingen.

De IBD heeft in dit kader voor gemeenten een aantal operationele kennisproducten uitgebracht: o.a. encryptiebeleid, cloud computing.

Toepassing van de adviezen

De adviezen van de IBD worden breed toegepast binnen gemeenten. De meldplicht datalekken brengt aan het licht waar de preventieve maatregelen niet afdoende zijn gebleken. De signaalfunctie van de meldplicht datalekken geeft een impuls aan de bewustwording op managementniveau en op bestuurlijk niveau over het gewenste niveau van beveiliging. De IBD merkt op dat datalekken niet altijd veroorzaakt worden door een te laag beveiligingsniveau maar regelmatig door een te veel aan beveiliging. Een te hoge mate van beveiliging staat ook de bedrijfsvoering in de weg; er zijn genoeg voorbeelden te bedenken waar te strenge beveiligingsmaatregelen onveilige situaties uitlokken. Bij het blokkeren van diensten bij zakelijke apparatuur gebruiken mensen al snel hun privéapparatuur om toch het werk zo snel en zo efficiënt mogelijk te doen. Hierbij is het voor gemeenten zaak om bij blokkering van onveilige situaties wel aanvullend veilige alternatieven aan te bieden.

Het is aan het bestuur om te besluiten over het optimum van beveiliging en gebruiksgemak. De ambtelijke organisatie heeft hierin een belangrijke adviserende rol. De IBD staat gemeenten bij om dit per situatie te bepalen; met advies over preventie, detectie en door kennisdeling te faciliteren.

Meer informatie

Wilt u meer informatie over dit onderwerp of heeft u een vraag over informatiebeveiliging? Aarzel niet om contact op te nemen met de IBD-Helpdesk via: via 070 373 8011 of via info@IBDgemeenten.nl. U kunt met collega-gemeenten kennis en ervaringen uitwisselen op de IBD-Community.