De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. Een paar maatregelen.
VISIE – Brenno de Winter
Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.
Up-to-date zijn
Toch is de realiteit dat het uitvoeren van audits een langdurig proces is. Veel problemen vallen ook snel op te lossen door de zaken goed op orde te hebben. Veel organisaties houden vaak al bij welke netwerkapparatuur, computers en software er in de organisaties zijn. Zo’n lijst, vaak aangeduid met Configuration Management Database of kortweg CMDB, helpt bij het identificeren van systemen.
Zodra iets van de lijst wordt afgevoerd is de hardware of software ook echt verwijderd. Een simpele check kan dat zekerstellen. Zo voorkomt u dat er een website in compleet onbeheerde toestand achter blijft, want dat is en blijft uw verantwoordelijkheid. De software die vandaag in een constellatie veilig is, hoeft dat morgen niet meer te zijn. Dat vergt continu onderhoud. Een onbeheerd systeem zal uiteindelijk gekraakt worden en dienen als springplank voor kwaadwillenden naar andere systemen, informatie lekken die u niet witl en slecht zijn voor uw reputatie.
Ook daaraan schort het vaak. Veel systemen die tijdens Lektober bij Webwereld naar voren zijn gekomen zijn zwaar verouderd. Microsoft maakt het eenvoudig om bij de tijd te blijven, omdat zij vaste momenten hebben om hun updates aan te bieden. Ook Linux heeft het updateproces kinderlijk eenvoudig gemaakt. Wees dus up-to-date.
Wees minimalistisch
Veel incidenten nemen grotere proporties aan, omdat veel informatie beschikbaar komt. In een aantal voorbeelden werd duidelijk dat een gemeente jaren oude databases met contactmomenten met burgers nog had bewaard. Dat kan wel, maar doe dat niet op de webserver. Daar zou alleen strikt noodzakelijke informatie moeten zijn. Denk na hoe privacygevoelige gegevens zo snel mogelijk op een andere locatie komen, die veiliger is.
De wetgever verwacht dat ook van u. De informatie die u verwerkt moet volgens de Wbp doelgericht en noodzakelijk zijn. Het is heel eenvoudig. Gegevens die u niet nodig heeft, niet verwerkt, kunnen ook niet gehacked worden. Verstandig beveiligingsbeleid kijkt ook naar de mogelijkheid om zo slim mogelijk met zo min mogelijk gegevens om te gaan.
Wees alert
De meeste gemeenten hebben snel gehandeld bij incidenten door hun website van het internet te verwijderen. Dat is conform het advies van KING en VNG. Een verstandig besluit, omdat initieel niet altijd duidelijk is wat de gevolgen zijn. Bij twijfel is het wijs altijd van het ergste uit te gaan. Een gemeentewebsite die tijdelijk niet bereikbaar is, is geen ramp maar een site die virussen verspreid wel!
Wees ook alert op andere problemen. Bijna alle hacks zijn te ontdekken door goed te letten op het verkeer dat bij een server aankomt en de logboeken in de gaten te houden. Zo kan zelfs bij een fout in systemen een aanval op het moment dat dit plaatsvindt worden gestopt.
Bij een alerte reactie hoort ook een verstandig communicatiebeleid. Hoe pijnlijk is het als u beweert dat er niets aan de hand is en al snel blijkt u wel lek te zijn. Dit is niet alleen gênant, maar kost geloofwaardigheid. Waarom zou de burger een bestuurder geloven dat er goed wordt omgegaan met de gegevens als u vervolgens moet terugkomen op eerdere uitspraken. Wees realistisch, sportief en fair.
Dit is een prachtig voorbeeld van effectieve en duidelijke informatie van de VNG. Klasse!