Nieuw voor 2024
Onze kijk op informatiebeveiliging en Privacy in 2024
We hebben inmiddels onze kijk op informatiebeveiliging en Privacy in 2024 geschreven.
Het gebruik van data neemt nog steeds toe. Persoonlijke informatie wordt steeds belangrijker en gegevens worden meer en meer gekoppeld. Dat heeft zijn voor- en nadelen, maar één ding is zeker, het blijft daarmee een interessante markt voor cybercriminelen. Daarom is het van belang de juiste maatregelen te nemen en te ‘oefenen’, zodat je voorbereid bent op een eventuele cyberaanval.
Monitoring geeft inzicht
Vorig jaar hebben we aangekondigd dat interne monitoring een opmars zou gaan maken en dat is uitgekomen. De eerste SIEM-projecten zijn gestart en we zien dat een dergelijk systeem effect heeft. Monitoring geeft inzicht! Zo is in de media te lezen dat diverse medewerkers van de GGD zijn aangeklaagd voor onrechtmatige inzage van dossiers. Meer gemeenten en organisaties gaan daarom inzetten op monitoring.
Continue kleine leermomenten
Veel organisaties hebben jaarlijks een actie met e-learning om bewustzijn op informatiebeveiliging te verbeteren. Het effect van een éénmalige actie is echter beperkt en we zien dat CISO’s en FG’s hun acties al meer aan het spreiden zijn. In deze onzekere tijd met COVID-maatregelen sluit e-learning goed aan op de belevingswereld van de medewerker, op afstand en wanneer het uitkomt. De eenmalige campagnes en acties met een beperkt effect zullen steeds minder worden, maar een aanpak gericht op ‘bewustwording’ zal het gehele jaar door toenemen. Leveranciers van e-learning zullen hierop inspelen met producten met kleine leermomenten.
Integraal in Control
De onderwerpen informatiebeveiliging, privacy en financiën staan nu nog los van elkaar. Terwijl deze drie aspecten allemaal ten dienste staan van de burger en jouw klant. Goed financieel beheer en een systeem van interne controle hebben veel raakvlakken met informatiebeveiliging. Betrouwbare systemen leveren namelijk betrouwbare informatie op.
Er ontstaat dan ook een behoefte aan een integrale oplossing om in control te komen. Concerncontrollers zullen dan ook inzicht willen hebben in de mate waarin de organisatie scoort op diverse vlakken. De controller moet gefaciliteerd worden zoals als een piloot, zodat hij vanuit zijn cockpit de relatie kan leggen tussen budget en maatschappelijk effect, kwaliteit en risico’s.
Aanpassing ENSIA-stelsel
Wellicht wordt het ENSIA-stelsel herzien. De BIO gaat uit van risicogericht werken maar de ENSIA gaat daar tot op heden niet van uit. Het invullen van lange lijsten met vragen over niet altijd even relevante onderwerpen, moeten we niet willen. Het wordt tijd dat ENSIA ook gaat kijken naar de risicovolle onderwerpen. De Jeugdzorg is veel risicovoller is dan de Basisregistratie adressen en gebouwen. De WMO is op haar beurt veel spannender dan de BRO.
Wachtwoorden zijn uit de tijd
Wachtwoorden zijn niet meer van deze tijd, maar toch zitten we eraan vast. Er zijn nieuwe ontwikkelingen om authenticatie in te bouwen in hardware, zodat je alleen maar vanaf een bepaald device toegang kan krijgen. Intel is bezig met een nieuwe ontwikkeling om chips hiervoor uit te rusten. Maar het chiptekort is ook in 2022 weer een uitdaging.
DigiD normenkader
Het DigiD normenkader is afgeleid van de NCSC-webrichtlijnen en die zijn op hun beurt weer afgeleid van de OWASP-top 10. In 2021 is de OWASP-top 10 geactualiseerd. Bij de beveiliging van een website is het servercertificaat een belangrijk onderdeel. Het is dan ook vreemd dat norm B.04 van de NCSC-webrichtlijnen niet is opgenomen in het normenkader. Het beheer van een certificaat is dan namelijk ook best belangrijk. Daarnaast wordt het hoog tijd dat we eens gaan kijken naar de werking van DigiD.
De risicoanalyse
Inmiddels is de BIO al twee jaar van kracht en krijgt risicomanagement een steeds grotere rol. Inzicht in het proces is hiervoor een vereiste en gemeenten krijgen dit steeds beter in beeld, dreigingen worden duidelijker en voorgelegd aan de verantwoordelijke. Vanuit daar wordt er steeds “risicogerichter” gewerkt. Waarbij niet alleen de techniek, maar ook de medewerkers worden meegenomen in de analyse.
Ransomware
Ransomware blijft ook in 2022 een van de grootste dreigingen. Niet alleen gericht op de grote bedrijven, maar juist ook bij de (kleine) toeleveranciers die mogelijk een makkelijker doel zijn. Dat maakt iedereen een potentieel doelwit en niemand ziet zijn bedrijfsvoering graag stilvallen. Moet je je verzekeren tegen de gevolgen van een ransomware aanval? Moet je betalen aan criminelen of juist niet? Komt de overheid met wetgeving die betalingen verbiedt?
Een van de bekendste manieren om binnen te komen bij organisaties om ransomware te verspreiden is phishing. Deze aanvallen worden steeds professioneler en ook dat blijft groeien. Er zal meer en beter worden ingespeeld op actualiteit, zoals inspelen op de maatschappelijk ontwrichtende nieuwsberichten, zoals de gevolgen van vaccinaties en het chiptekort in verschillende industrieën. Ook zullen verschillende grote bekende bedrijven in 2022 het slachtoffer worden van phishing en ransomware aanvallen.
Service-organisaties voor WPG-registraties
De gemeenten hebben door de externe audit op de WPG in 2021 ineens in beeld wat er georganiseerd moet worden om aan de normen van de WPG-audit te voldoen. Sommige ondersteunende informatiesystemen zijn al ver in de volwassenheid van het beheer van de WPG-gegevens. De gemeenten zullen in 2022 als gevolg van de inzichten uit de WPG-audit de inrichting en het beheer van de WPG gebruiken om een keuze te maken voor een volwassen ondersteuning door eenservice-organisatie voor WPG.
Verlies van data tegengaan
Cryptolockers blijven een grote bedreiging en tech-bedrijven zijn druk bezig met het vinden van oplossingen om organisaties te beschermen. In 2022 komen er nieuwe producten en oplossingen om deze bedreiging het hoofd te bieden.
Regie-organisaties
Steeds meer ICT-diensten verhuizen vanuit de eigen gemeente-omgeving naar een service-organisatie. Dit leidt tot SaaS, PaaS of IaaS relaties tussen de gemeente en de service-provider. De gemeente wordt hierdoor meer een regie-organisatie. Dat vraagt andere kwaliteiten en andere aandachtspunten. De vertaling van de IB-beheersmaatregelen naar contracten en het leveranciersmanagement moet in 2022 concreet vorm krijgen, zodat de gemeente scherp in beeld heeft wat er bij de service-organisatie geregeld moét worden en wat er daadwerkelijk gerealiseerd ís.