Dit artikel beschrijft de beweging die de overheid heeft ingezet op het thema informatieveiligheid. Van buiten naar binnen. Van theorie naar praktijk. Van denken naar doen! Denk hierbij aan de inzet van ethische hackers, het oefenen binnen overheidsorganisaties alsook in interbestuurlijk verband en het organiseren van diverse hackatons. Informatieveiligheid is een gezamenlijke verantwoordelijkheid; door het écht samen aan te pakken maken we onze samenleving digitaal weerbaarder. Aan dit artikel hebben verschillende overheidsorganisaties bijgedragen. Ze illustreren de verschillende maatregelen die overheden treffen op het gebied van informatieveiligheid. Van buiten naar binnen, van theorie naar praktijk en van denken naar doen.
Met de komst van IT en netwerktechnologie sinds de jaren ‘70 is bij de overheid de hoeveelheid informatie die wordt geproduceerd, gecommuniceerd en opgeslagen, enorm gegroeid. Tegelijk werd ook het belang van informatieveiligheid onderkend. Dat leidde in 1994 tot het Voorschrift Informatiebeveiliging Rijksdienst (VIR); daarin werd een uniforme aanpak voor informatieveiligheid bij de Rijksdienst voorgeschreven. In 2007 werd het VIR herzien: vooral het cyclisch karakter van informatieveiligheid, proportionaliteit en risicomanagement werden onderstreept. Ook vandaag onderschrijft het kabinet op alle niveaus het belang van informatieveiligheid van en voor de overheid: het thema komt terug in de verschillende Agenda’s van de overheid: de Agenda NL Digibeter, de strategische i-Agenda van de Rijksdienst, Nationale Cyber Security Agenda en de Nederlandse Digitaliseringsstrategie.
Baselines
Onderdeel van het proces van informatieveiligheid bij de overheid is het per informatieproces in kaart brengen van de belangen, dreigingen en kwetsbaarheden, het kiezen van maatregelen (of het risico accepteren) en de verificatie dat de maatregelen effectief zijn. Al sinds de jaren ’90 worden voor het kiezen van maatregelen baselines ingezet, waarbij een evolutie zichtbaar is van schaalgrootte: eerst ontwikkelden individuele organisaties zelf hun baseline(s). Maar vanwege de toenemende overheidsbrede verknooptheid van informatie-uitwisseling, werd de noodzaak gezien om deze baselines te harmoniseren, eerst per bestuurslaag, en uiteindelijk overheidsbreed: de Baseline Informatiebeveiliging Overheid, de BIO (zie www.bio-overheid.nl). In de BIO staan beveiligingsdoelen waar organisaties zelf passende maatregelen bij moeten kiezen. Een noodzakelijk gemeenschappelijk deel van deze maatregelen is in de BIO zelf bepaald en zodanig voorgeschreven dat er voldoende ruimte blijft voor flexibiliteit en proportionaliteit. De overheid is immers heel divers.
BIO: bijzonder in z’n simpelheid (Ministerie van Binnenlandse Zaken & Koninkrijksrelaties)
“Veel mooier kun je het niet krijgen; vier overheidslagen allemaal aan de slag met hetzelfde normenkader dat ook nog eens herkend en erkend wordt door de buitenwereld, gebaseerd op de ISO-standaard aangevuld met een paar concrete maatregelen waar niemand op tegen is. Alleen nog uitwerken voor de eigen specifieke situatie. In het ecosysteem rond de BIO ontstaan allerlei mooie producten die daarbij kunnen helpen, met de IBD en het CIP als hofleveranciers. Gewoon doen en als de praktijk toch minder simpel blijkt, biedt datzelfde ecosysteem een schat aan ervaring om je op weg te helpen.”
Weerstand tegen dreigingen
Een van de acties van de laatste jaren is de toenemende investering in geavanceerde techniek om dreigingen te weerstaan. Detectie van indringers op verschillende plaatsen in de ICT-infrastructuur is steeds belangrijker geworden nu de aanvalskracht van deze indringer telkens professioneler wordt. Het Nationaal Detectie Netwerk (NDN) van het Nationaal Cybersecurity Centrum (NCSC) richt zich op het onderling delen van dreigingsinformatie om cybersecurityrisico’s en -bedreigingen sneller waar te nemen. Hierdoor kunnen aangesloten partijen op het NDN maatregelen nemen om schade te voorkomen of beperken. Ook een voorziening zoals de DDoS-wasstraat, die onder meer de voorziening DigiD beschermt, is een voorbeeld van hand-on maatregelen die nodig zijn om geavanceerde aanvallen te kunnen weerstaan.
DDoS-wasstraat (Logius)
“Aan de basis van het nemen van de juiste maatregelen moet een goede risicoanalyse liggen. Waar we in 2013 op het oog aan het kader voldeden om beschermd te zijn tegen DDoS-aanvallen, bleek de praktijk toch anders. 100% beschermd zijn we nooit, maar een goede analyse is randvoorwaardelijk voor het nemen van de juiste maatregelen. Daarom hebben we gekeken naar de mogelijkheid om een wasstraat in te richten die specifiek DDoS-aanvallen kan mitigeren, die breed inzetbaar is en die meegroeit met de tactieken die door aanvallers gebruikt worden om aanvallen uit te voeren. Daarnaast is het van belang om periodiek te oefenen om genomen maatregelen in de praktijk te testen.”
Red teaming bij Sociale Verzekeringsbank (SVB)
“De SVB verwerkt grote hoeveelheden persoonlijke informatie en is daarom continu bezig deze informatie en haar dienstverlening met maatregelen te beveiligen. Penetratietesten worden uitgevoerd op de IT-omgeving en geven een beeld over technische beveiliging van een specifiek deel. Maar om te bepalen of het geheel aan maatregelen werkt, voert de SVB jaarlijks een red-team test uit: ingehuurde ethische hackers acteren als cybercriminelen en proberen bij meest waardevolle zaken te komen. Dat proberen ze zowel digitaal al fysiek. Daarmee komen kwetsbaarheden aan het licht die anders verborgen bleven en wordt de feitelijke beveiliging helder. Bij iedere red team test geeft men een richting mee; zoals focus op de medewerkers of de IT-helpdesk. De resultaten koppelen we terug aan de hele organisatie. Immers, alle SVB-medewerkers hebben een taak in de digitale weerbaarheid.””
Ook wordt op steeds meer plekken bij de overheid gebruikgemaakt van ethische hackers. De overheid hanteert de mogelijkheid om veilig een kwetsbaarheid te kunnen melden via coordinated vulnerability disclosure; ethische hackers worden ook uitgenodigd om de beveiliging te beproeven, bijvoorbeeld via een hackathon zoals Hâck The Hague.
Hâck The Hague (gemeente Den Haag)
“Digitalisering is steeds belangrijker voor de inwoners van Den Haag en voor het werk van ambtenaren. De groei van online dienstverlening gaat daarom hand in hand met aandacht voor onze online veiligheid. Als gemeente Den Haag laten we graag zien hoe we werken aan onze online veiligheid. Daarom organiseert de gemeente Den Haag samen met het Haagse cybersecurity bedrijf Cybersprint sinds 2017 jaarlijks het unieke evenement Hâck The Hague. Tijdens Hâck The Hague testen zo’n 100 ethische hackers hoe de online veiligheid van de gemeente en haar leveranciers ervoor staat en of de gegevens van de inwoners goed beschermd zijn.”
Overheidsbrede Cyberoefening en cyberwebinars (Ministerie van Binnenlandse Zaken & Koninkrijksrelaties)
“Oefenen is belangrijk. Want u herinnert zich ook vast nog wel de ransomware aanval op de Universiteit Maastricht, de ziekenhuizen die hun dataverkeer stilleggen vanwege cyberaanvallen, en het lek in de beveiliging van Citrix. De overheid wil leren van deze gebeurtenissen en kennis delen. Goed voorbereid zijn en klaar staan, voor als de overheid onverhoopt wordt getroffen. Dat vindt de overheid in den brede belangrijk. Om die reden organiseerde het ministerie van BZK dit jaar de Overheidsbrede Cyberoefening, in navolging op de cyberoefening van oktober vorig jaar.
De overheidsbrede cyberoefening is bedoeld om inzicht te geven in de dynamiek van een cyberincident en de complexiteit van beslissen. Ook geeft de oefening handvatten hoe er in het geval van een crisis gehandeld kan worden. Naast de overheidsbrede cyberoefening organiseerden o.a. gemeenten, provincies en waterschappen diverse webinars onder de naam ‘Overheidsbrede Cyberwebinars’.
Tijdens deze online sessies deelden bestuurders en professionals uit verschillende overheidslagen hun lessons learned. Wat hebben zij het afgelopen jaar gedaan aan cyberveiligheid? Wat zijn hun best practices als het gaat om oefenen met cyberincidenten? Welke invloed heeft het coronavirus en het thuiswerken op de organisatieveiligheid?
Het complete programma en het digitale magazine is te vinden op www.weerbaredigitaleoverheid.nl. “
Het informatieveiligheidsproces moet als geheel ook worden getoetst. Over de kwaliteit van het proces leggen overheidsorganisaties verantwoording af. Audits in de eigen organisaties en controle door de Rekenkamers van gemeenten tot en met de Rijksoverheid waarborgen dat de verantwoording transparant, deugdelijk en onafhankelijk plaatsvindt.
Gezamenlijke aanpak audits bij waterschappen (Het Waterschapshuis)
“Waterschappen sturen waterzuiveringen, gemalen en stuwen aan om te zorgen voor voldoende en schoon water en droge voeten. Om deze objecten efficiënt en doelmatig te besturen worden in de loop van de jaren meer en meer (complexe) informatiesystemen gebruikt. Robuuste beveiliging van deze informatiesystemen is daardoor cruciaal voor de bedrijfscontinuïteit. De waterschappen zien informatieveiligheid dan ook niet als een éénmalig project, maar als een opgave die structureel ingebed moet zijn in de organisatie, waarbij op basis van risicoanalyses beschermingsmaatregelen worden genomen (ook wel volwassenheidsniveau 4 voor informatieveiligheid genoemd). De waterschappen worden in deze ambitie ondersteund met een sectorbreed ‘programma informatieveiligheid & privacy’ vanuit Het Waterschapshuis. Dit programma organiseert o.a. landelijke audits door een onafhankelijke partij. Hiermee wordt inzichtelijk gemaakt waar de mogelijkheden liggen ter verbetering voor een individueel waterschap, maar ook waar de waterschapsector zijn krachten kan bundelen.””
Ten slotte is voor al deze inspanningen ook goed personeel nodig. Via cybertraineeships profileert de Rijksoverheid zich als aantrekkelijke werkgever voor jong cybertalent en stimuleert zij het leren van elkaar door bijvoorbeeld het organiseren van netwerkbijeenkomsten van informatiebeveiligers, cursussen en webinars.
Cybertrack van het Rijks I-Traineeship (CIO Rijk, Ministerie van Binnenlandse Zaken & Koninkrijksrelaties)
“Cybertrainees werken vanaf dag één mee aan de veiligheid van Nederland. In twee jaar tijd voeren zij opdrachten uit bij drie verschillende Rijksorganisaties en verdiepen ze zich in cybertechnologie en -beleid. Bij het Rijks I-Traineeship gaat werken en leren hand in hand. Trainees volgen een cyber-leertraject met internationaal erkende certificaten (zoals bijvoorbeeld opleidingen a la SANS, CISSP). Daarnaast kunnen ze door middel van keuzemodules hun eigen ontwikkeling vormgeven. Door de verschillende werkplekken wordt een sterk netwerk opgebouwd met collega’s, vakspecialisten en medetrainees die enorm van pas komt bij het doorstromen naar een van de vele uitdagende functies die het Rijk te bieden heeft op het gebied van Cyber.”
Zoals aan het begin van dit artikel al geschetst: kaders en afspraken moeten ook daadwerkelijk leiden tot het treffen van adequate maatregelen. En niet alleen dat; de werking ervan moet ook in de praktijk worden getest. Daarom zijn de activiteiten die in dit artikel aan de orde zijn gesteld, én alle acties die hier niet zijn vermeld, samen nodig voor het realiseren van een informatieveilige overheid.
mr. drs. Frank Heijligers is als informaticus en jurist sinds 2002 werkzaam bij het ministerie van Binnenlandse Zaken & Koninkrijksrelaties. Momenteel verbonden aan de directie Digitale Overheid waar hij in interbestuurlijk verband werkt aan de voorbereiding van wet- en regelgeving op informatieveiligheid.
