Snel naar content
visualisatie van een digitale wereld

Onze kijk op informatiebeveiliging in 2022

Nieuw voor 2023

Onze kijk op informatiebeveiliging en Privacy in 2023

We hebben inmiddels onze kijk op informatiebeveiliging en Privacy in 2023 geschreven.

Lees het nieuwste artikel

Het gebruik van data neemt nog steeds toe. Persoonlijke informatie wordt steeds belangrijker en gegevens worden meer en meer gekoppeld. Dat heeft zijn voor- en nadelen, maar één ding is zeker, het blijft daarmee een interessante markt voor cybercriminelen. Daarom is het van belang de juiste maatregelen te nemen en te ‘oefenen’, zodat je voorbereid bent op een eventuele cyberaanval.

Monitoring geeft inzicht

Vorig jaar hebben we aangekondigd dat interne monitoring een opmars zou gaan maken en dat is uitgekomen. De eerste SIEM-projecten zijn gestart en we zien dat een dergelijk systeem effect heeft. Monitoring geeft inzicht! Zo is in de media te lezen dat diverse medewerkers van de GGD zijn aangeklaagd voor onrechtmatige inzage van dossiers. Meer gemeenten en organisaties gaan daarom inzetten op monitoring.

Continue kleine leermomenten

Veel organisaties hebben jaarlijks een actie met e-learning om bewustzijn op informatiebeveiliging te verbeteren. Het effect van een éénmalige actie is echter beperkt en we zien dat CISO’s en FG’s hun acties al meer aan het spreiden zijn. In deze onzekere tijd met COVID-maatregelen sluit e-learning goed aan op de belevingswereld van de medewerker, op afstand en wanneer het uitkomt. De eenmalige campagnes en acties met een beperkt effect zullen steeds minder worden, maar een aanpak gericht op ‘bewustwording’ zal het gehele jaar door  toenemen. Leveranciers van e-learning zullen hierop inspelen met producten met kleine leermomenten.

Integraal in Control

De onderwerpen informatiebeveiliging, privacy en financiën staan nu nog los van elkaar. Terwijl deze drie aspecten allemaal ten dienste staan van de burger en jouw klant. Goed financieel beheer en een systeem van interne controle hebben veel raakvlakken met informatiebeveiliging. Betrouwbare systemen leveren namelijk betrouwbare informatie op.

Er ontstaat dan ook een behoefte aan een integrale oplossing om in control te komen. Concerncontrollers zullen dan ook inzicht willen hebben in de mate waarin de organisatie scoort op diverse vlakken.  De controller moet gefaciliteerd  worden zoals als een piloot, zodat hij vanuit zijn cockpit de relatie kan leggen tussen budget en maatschappelijk effect, kwaliteit en risico’s.

Aanpassing ENSIA-stelsel

Wellicht wordt  het ENSIA-stelsel herzien. De BIO gaat uit van risicogericht werken maar de ENSIA gaat daar tot op heden niet van uit. Het invullen van lange lijsten met vragen over niet altijd even relevante onderwerpen, moeten we niet willen. Het wordt tijd dat ENSIA ook gaat kijken naar de risicovolle onderwerpen. De Jeugdzorg is veel risicovoller is dan de Basisregistratie adressen en gebouwen. De WMO is op haar beurt veel spannender dan de BRO.

Wachtwoorden zijn uit de tijd

Wachtwoorden zijn niet meer van deze tijd, maar toch zitten we eraan vast. Er zijn nieuwe ontwikkelingen om authenticatie in te bouwen in hardware, zodat je alleen maar vanaf een bepaald device toegang kan krijgen. Intel is bezig met een nieuwe ontwikkeling om chips hiervoor uit te rusten. Maar het chiptekort is ook in 2022 weer een uitdaging.

DigiD normenkader

Het DigiD normenkader is afgeleid van de NCSC-webrichtlijnen en die zijn op hun beurt weer afgeleid van de OWASP-top 10. In 2021 is de OWASP-top 10 geactualiseerd. Bij de beveiliging van een website is het servercertificaat een belangrijk onderdeel. Het is dan ook vreemd dat norm B.04 van de NCSC-webrichtlijnen niet is opgenomen in het normenkader. Het beheer van een certificaat is dan namelijk ook best belangrijk. Daarnaast wordt het hoog tijd dat we eens gaan kijken naar de werking van DigiD.

De risicoanalyse

Inmiddels is de BIO al twee jaar van kracht en krijgt risicomanagement een steeds grotere rol. Inzicht in het proces is hiervoor een vereiste en gemeenten krijgen dit steeds beter in beeld, dreigingen worden duidelijker en voorgelegd aan de verantwoordelijke. Vanuit daar wordt er steeds “risicogerichter” gewerkt. Waarbij niet alleen de techniek, maar ook de medewerkers worden meegenomen in de analyse.

Ransomware

Ransomware blijft ook in 2022 een van de grootste dreigingen. Niet alleen gericht op de grote bedrijven, maar juist ook bij de (kleine) toeleveranciers die mogelijk een makkelijker doel zijn. Dat maakt iedereen een potentieel doelwit en niemand ziet zijn bedrijfsvoering graag stilvallen. Moet je je verzekeren tegen de gevolgen van een ransomware aanval? Moet je betalen aan criminelen of juist niet? Komt de overheid met wetgeving die betalingen verbiedt?

Een van de bekendste manieren om binnen te komen bij organisaties om ransomware te verspreiden is phishing. Deze aanvallen worden steeds professioneler en ook dat blijft groeien. Er zal meer en beter worden ingespeeld op actualiteit, zoals inspelen op de maatschappelijk ontwrichtende nieuwsberichten, zoals de gevolgen van vaccinaties en het chiptekort in verschillende industrieën. Ook zullen verschillende grote bekende bedrijven in 2022 het slachtoffer worden van phishing en ransomware aanvallen.

Service-organisaties voor WPG-registraties

De gemeenten hebben door de externe audit op de WPG in 2021 ineens in beeld wat er georganiseerd moet worden om aan de normen van de WPG-audit te voldoen. Sommige ondersteunende informatiesystemen zijn al ver in de volwassenheid van het beheer van de WPG-gegevens. De gemeenten zullen in 2022 als gevolg van de inzichten uit de WPG-audit de inrichting en het beheer van de WPG gebruiken om een keuze te maken voor een volwassen ondersteuning door eenservice-organisatie voor WPG.

Verlies van data tegengaan

Cryptolockers blijven een grote bedreiging en tech-bedrijven zijn druk bezig met het vinden van oplossingen om organisaties te beschermen. In 2022 komen er nieuwe producten en oplossingen  om deze bedreiging het hoofd te bieden.

Regie-organisaties

Steeds meer ICT-diensten verhuizen vanuit de eigen gemeente-omgeving naar een service-organisatie. Dit leidt tot SaaS, PaaS of IaaS relaties tussen de gemeente en de service-provider. De gemeente wordt hierdoor meer een regie-organisatie. Dat vraagt andere kwaliteiten en andere aandachtspunten. De vertaling van de IB-beheersmaatregelen naar contracten en het leveranciersmanagement moet in 2022 concreet vorm krijgen, zodat de gemeente scherp in beeld heeft wat er bij de service-organisatie geregeld moét worden en wat er daadwerkelijk gerealiseerd ís.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Veilig (online) de vakantie door

Veilig (online) de vakantie door

Ga je binnenkort op vakantie? Een heerlijk tijd van ontspanning en plezier, maar volgens onze informatieveiligheid experts ook een periode...

Lees verder

Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

Voor cybercriminelen was 2023 een goed jaar. Online dreigingen zijn alleen maar toegenomen en het aantal aanvallen is opnieuw nog...

Lees verder

Zeg ook eens wat je níet doet

Zeg ook eens wat je níet doet

Gemeenten staan voor een uitdaging. In een tijd waarin budgetten krapper worden, de begrotingstekorten oplopen door het begrotingsravijn en de vraag naar transparantie groeit, is het belangrijker dan ooit om niet alleen te communiceren wat we wél doen, maar ook wat we níet doen.

Lees verder