Snel naar content
het getal 2023 aan kaartjes aan de waslijn met knijpers

Onze kijk op informatiebeveiliging in 2023

Het gebruik van data neemt nog steeds toe. Persoonlijke informatie wordt steeds belangrijker en gegevens worden meer en meer gekoppeld. Dat heeft zijn voor- en nadelen. Maar één ding is zeker, het blijft daarmee een interessante markt voor cybercriminelen. Daarom is het van belang de juiste maatregelen te nemen en te ‘oefenen’, zodat je voorbereid bent op een cyberaanval en een datalek voorkomt. 

Zomaar wat datalekken in 2022  

Voordat we vooruitkijken naar 2023 kijken we even terug. We geven je enkele voorbeelden van datalekken in 2022 waarbij bewustzijn van informatiebeveiliging cruciaal was. “Hebben we alles doorlopen? En weten de medewerkers hoe ze moeten handelen?”. Ofwel had dit gewoon voorkomen kunnen worden? 

Energiemaatschappij Budget Energie

Energiemaatschappij Budget Energie lekte de gegevens van dertienhonderd klanten door het versturen van een verkeerde inloglink via e-mail. Door middel van de link konden klanten de gegevens van andere klanten inzien. Het ging onder andere om persoonlijke informatie zoals telefoonnummers en bankgegevens. 

Kamer van Koophandel

Kamer van Koophandel liet privéadressen opvragen. Het datalek kon ontstaan doordat het autorisatiebeheer bij de KvK niet op orde was. 

Jeugdzorgbedrijf Samen Veilig Midden Nederland

Jeugdzorgbedrijf Samen Veilig Midden Nederland had opnieuw een groot datalek nadat een systeembeheerder per ongeluk het intranet vanaf het internet toegankelijk maakte.

Gemeente Groningen

De Gemeente Groningen stuurde per ongeluk e-mails naar een grote groep waarbij alle deelnemers zijn meegenomen in de CC in plaats van in de BCC. Gevolg was dat de mailadressen van 450 kwetsbare mensen die in de bijstand zaten, op straat liggen. Dat is volgens de letter van de wet een datalek. Een behoorlijke zelfs waar de Autoriteit Persoonsgegevens, die waakt over de privacy, niet blij mee is. 

“Bewustwording is in 2023 nog belangrijker” 

Wpg wordt steeds belangrijker

De afgelopen twee jaar stond in het teken van de nieuwe audit op de wet Politiegegevens (Wpg). De Autoriteit Persoonsgegevens (AP) stelde de rapportage een jaar uit. Dus in 2022 werden de auditrapporten eindelijk ingeleverd bij de AP.  

Nu gaat het echte werk pas starten. Bij veel gemeenten zijn een flink aantal zaken nog niet op orde, vooral op het gebied van de werking. Plaats de Wpg in 2023 dus als vast onderwerp op de agenda van jouw gemeente. Hoe gaat jouw gemeente dit aanpakken? Weet je al precies wat je moet doen? 

Lees meer: 5 praktische tips voor de Wpg-audit.

Integraal in control zijn 

De onderwerpen informatiebeveiliging, privacy en financiën staan nu nog los van elkaar. Terwijl deze drie aspecten allemaal ten dienste staan van de burger en jouw klant. Goed financieel beheer en een systeem van interne controle hebben veel raakvlakken met informatiebeveiliging. Betrouwbare systemen leveren betrouwbare informatie op. 

Er is behoefte om met een integrale oplossing om zijn geheel in control te komen en te blijven. Concerncontrollers willen inzicht in de mate waarin de organisatie op diverse vlakken scoort.  De controller moet hierin gefaciliteerd worden zoals een piloot. Zo kan hij vanuit zijn cockpit de relatie leggen tussen budget, maatschappelijk effect, kwaliteit en risico’s. 

“Inergy levert hiervoor in 2023 heldere dashboards op die inzicht en overzicht geven.”

Wachtwoorden zijn uit de tijd 

Wachtwoorden zijn niet meer van deze tijd, maar toch zitten we eraan vast. Er zijn nieuwe ontwikkelingen om authenticatie in te bouwen in hardware, zodat je alleen maar vanaf een bepaald device toegang kan krijgen. Intel is bezig met een nieuwe ontwikkeling in speciale chips. Helaas is het chiptekort ook in 2023 weer een uitdaging.  

De ultieme tip. Behandel je wachtwoorden zoals je ondergoed! 
  • Houd het spannend voor anderen: maak geen voorspelbare wachtwoorden 
  • Verwissel zeer regelmatig: verander je wachtwoorden regelmatig 
  • Deel nooit met je vrienden: deel dus ook geen accounts. Zeker niet als je daar hetzelfde wachtwoord gebruikt als op andere plekken.
  • Laat het niet slingeren: print het niet uit of schrijf een wachtwoord op een post-it op je laptop.
  • Langer beschermt beter: Een wachtwoord hoeft niet moeilijk te zijn, maar moet tegenwoordig juist langer zijn. Maak er dus een zin van. 

Lees meer: 8 tips voor het maken van een veilig wachtwoord.

Ransomware ook in 2023 grootste dreiging 

Ransomware blijft ook in 2023 één van de grootste dreigingen die op ons afkomt. Niet alleen gericht op de grote bedrijven, maar juist ook bij de (kleine) toeleveranciers die mogelijk een makkelijker doel zijn. Dat maakt iedereen een potentieel doelwit en niemand ziet zijn bedrijfsvoering graag stilvallen. Moet je je verzekeren tegen de gevolgen van een ransomware aanval? Moet je betalen aan criminelen of juist niet? Komt de overheid met wetgeving die betalingen verbiedt? Het zijn de vraagstukken die we in 2023 moeten bespreken. 

Gemeente Buren slachtoffer van hackers
De gemeente Buren is getroffen door een ransomware-aanval. Ransomware of gijzelsoftware is een door hackers gebruikt chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld.  

Bij de hack van de gemeente Buren zijn gegevens van de gemeente gestolen. Vervolgens is een set van 130GB aangeboden op het darkweb, een afzonderlijk en anoniem deel van het internet.

De ransomware-aanval is ontstaan doordat criminelen toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat de 2-factorauthenticatie op dit account ontbrak, konden de hackers gemakkelijk binnenkomen in de ICT-omgeving van de gemeente. 

Phishing wordt steeds geniepiger 

Een van de bekendste manieren om binnen te komen bij organisaties is phishing. Deze aanvallen worden steeds professioneler en blijven groeien. Er zal meer en beter worden ingespeeld op actualiteit. Voorbeelden zijn maatschappelijk ontwrichtende nieuwsberichten zoals de vermeende gevolgen van vaccinaties en het chiptekort in verschillende industrieën. Ook in 2023 zullen grote bekende bedrijven met phishing- en ransomwareaanvallen te maken krijgen. Zorg dat jij niet één van hen bent. 

Uitbesteding IT-werkzaamheden 

Steeds meer ICT-diensten verhuizen van de eigen gemeente-omgeving naar een externe partij. Dit leidt tot nieuwe relaties tussen de gemeente en de serviceprovider. De gemeente wordt hierdoor meer een regie-organisatie. Dat vraagt andere kwaliteiten en andere aandachtspunten. De vertaling van de beheersmaatregelen rondom informatiebeveiliging naar contracten en het leveranciersmanagement moet in 2023 concreet vorm krijgen. Hierdoor krijgt de gemeente scherp in beeld heeft wat de externe partij moet presteren en wat er daadwerkelijk gerealiseerd ís. 

In het eerste kwartaal van 2023 geeft Daan Koot een webinar over de werking op de maatregelen van verschillende audits zodat hij je daar alvast in mee kan nemen. 

Aanpassing DigiD normen én toetsing op werking 

Sinds 2022 is er een nieuwe norm in de DigiD audit waarop wordt getoetst: ‘de B.01 Informatiebeveiligingsbeleid’. “De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatie gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.” 

De onderdelen dataclassificatie, toegangsvoorziening en kwetsbaarheden zaten al verwerkt in het normenkader en de organisatie moest hier al maatregelen voor treffen. Deze nieuwe norm zorgt ervoor dat de organisatie het treffen van maatregelen niet meer voldoende is. Er moet nadrukkelijk worden gekeken naar uitgangspunten voor deze onderdelen. 

In 2023 zal het mogelijk zijn om naast opzet en bestaan óók te gaan toetsen op werking. Uiteraard verwelkomen onze auditors de toets op werking met open armen. Hiermee laat je als organisatie daadwerkelijk zien of je over een langere tijd voldoet aan opzet en bestaan. 

“Onze auditors verwelkomen de toets op werking met open armen.”

Waar mensen werken worden fouten gemaakt  

Een goed georganiseerde informatiebeveiliging is een continu proces en moet geborgd zijn binnen jouw organisatie. Het is voortdurend zoeken naar de balans tussen veiligheid en privacy aan de ene kant en gebruikersgemak en toegankelijkheid aan de andere kant. Naast technische oplossingen zoals een ISMS, zijn eigen handelingen hierin essentieel.  “Waar mensen werken worden fouten gemaakt”. Dat maakt een organisatie zo sterk als de zwakste schakel. 

Het aantal meldingen bij de AP van hacking, phishing of malware neemt explosief toe. Als organisatie moet je dus kunnen aantonen in hoeverre je in control bent op de geldende wetgeving. Ga er maar aan staan. Informatieveiligheid is verweven in alle processen van een organisatie. Zeg je privacy, dan zeg je informatieveiligheid. Het ene valt of staat namelijk met het andere, omdat veel informatie meer of minder gevoelige persoonsgegevens bevat. 

Heel veel succes met dit broodnodige, soms ook best lastige maar ook mooie vakgebied. En heb je hulp nodig? Of heb je vragen naar aanleiding van deze blog? Neem dan gerust contact met ons op

 

  

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Een dag uit het leven van Randy Horsting, LIAS Consultant bij Inergy

Een dag uit het leven van Randy Horsting, LIAS Consultant bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Randy Horsting LIAS Consultant bij Inergy, een kijkje in zijn werkdag. Een LIAS Consultant adviseert en ondersteunt diverse gemeentes, provincies en andere overheidsinstellingen in het optimaliseren van processen en data gedreven werken met behulp van LIAS. Lees over zijn dynamische werkdag in deze blog!

Lees verder

5 redenen waarom privacy echt niet dood is

5 redenen waarom privacy echt niet dood is

Het belang van privacy is nog steeds niet bij iedereen geland. "Ik heb niets te verbergen" horen we helaas nog regelmatig. Vraag in zo'n geval dan eens of je inzicht mag hebben in zijn of haar bankgegevens, medische gegevens en de wachtwoorden van hun social media accounts. Het gaat er niet om dat we iets te verbergen hebben, maar dat we controle hebben en houden over onze gegevens én wie daartoe toegang heeft.

Lees verder

Een dag uit het leven van Michiel de Boer, BI Consultant bij Inergy

Een dag uit het leven van Michiel de Boer, BI Consultant bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Michiel de Boer, BI Consultant bij Inergy, een kijkje in zijn werkdag. Michiel is een pragmatische professional en is gedreven door een brede nieuwsgierigheid. Hij bedenkt graag oplossingen voor (complexe) problemen op het snijvlak van business en IT en implementeert deze. Lees over zijn dynamische dag in deze blog!

Lees verder