11.07.2013

Informatiebeveiliging bij gemeenten

‘Burgers verwachten dat hun gegevens veilig zijn’
Met alle virtuele aanvallen op banken en andere instellingen rijst de vraag hoe kwetsbaar de G4-systemen zijn. Volgens Kaj Siekman, manager continuïteit en informatiebeveiliging in Utrecht en Albert Bik, de Security Officer van Wigo4it, zijn ook gemeentes een doelwit, en niet minder kwetsbaar.

Baseline informatiebeveiliging
Zowel gemeenten als Wigo4it hebben een grote hoeveelheid persoonsgegevens in beheer. “Burgers mogen verwachten dat die informatie veilig is bij ons. Een belangrijk hulpmiddel voor de beveiliging van data is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) die op 7 mei werd gepubliceerd”, stelt Kaj: “De BIG helpt ons nagaan of we onze informatiebeveiliging echt op orde hebben.”

“Naast het op orde brengen van deze basis, versterken we ook de onderlinge samenwerking," vult Albert aan. "We maken veel meer gebruik van elkaars kennis en weten elkaar snel te vinden in geval van incidenten, productevaluaties en implementatie van nieuwe technologie. Ook op landelijk gebied wordt er veel meer dan voorgaande jaren gezocht naar samenwerking om de beveiliging naar een hoger plan te trekken. Denk aan kennissessies, congressen en netwerkbijeenkomsten."

Classificatieniveaus
Kaj’s aandacht gaat ook uit naar informatieclassificatie. “Door informatie in te delen in categorieën - publiek of vertrouwelijk - wordt duidelijk hoe zorgvuldig we met die informatie moeten opspringen en welke beveiligingsmaatregelen nodig zijn”. “Uiteindelijk werken we toe naar een situatie waarin alle informatie een classificatie heeft.”

“En wat we ook niet mogen onderschatten”, benadrukt Albert, “is het gedrag van de medewerker. Naast alle technologische ontwikkelingen en samenwerking is het belangrijkste dat alle medewerkers beseffen en herkennen wanneer de informatie die ze hanteren gevoelig is, En dat ze weten dat ze er dus verantwoordelijk mee om dienen te gaan.”

Maatregelen voor Bring Your Own Device
Een derde aandachtspunt is de toenemende populariteit van Bring Your Own Device (BYOD) en de daaraan klevende risico’s. “Het grootste deel van de BYOD’s hebben geen virusscanner. Ook worden BYOD’s in tegenstelling tot kantoorapparatuur door hun gebruiker niet altijd keurig gepatched als er een security probleem/lek optreedt.”, licht Albert toe.

“Sommige gebruikers zijn zich überhaupt niet bewust van deze dreigingen en BYOD dreigingen zijn er in overvloed. Security.nl maakte vorige maand melding over de extreme hoeveelheid Android-malware. Android heeft tegen deze dreigingen wel eigen virusscanners, maar Wigo4it kan het gebruik daarvan niet afdwingen.

Niet alleen Android heeft last van malware, ook de iPhone en iPad zijn kwetsbaar. Daarbij kan deze malware niet opgespoord of verwijderd worden, omdat Apple geen goede, real-time scanning antivirus software toestaat. Daarom staat Wigo4it eigen devices niet toe op het kantoornetwerk, tenzij ze inloggen via een beveiligde (VPN-)verbinding.”

“De BYOD trend zie ik in Utrecht ook”, zegt Kaj. “Hier worden virtuele werkomgevingen aangeboden die gegevens versleuteld versturen en opslaan, en binnenkort werken privacygevoelige applicaties alleen in het gebouw. Bovendien loggen mobiele apparaten in op een apart netwerk, waardoor virussen en trojans zich niet in de servers kunnen nestelen.”

Mobiele apparaten beheren
Met virtuele werkomgevingen en VPN zijn Utrecht en Wigo4it vrij goed voorbereid op BYOD. Toch zien Kaj en Albert dat gebruikers gemeentelijke en/of gevoelige gegevens op hun BYOD willen zetten en graag eigen applicaties gebruiken. Daarom zouden beiden graag aan de slag gaan met Mobile Device Management (MDM). Dat is een manier om het gebruik van mobiele apparaten ook op lange termijn beheersbaar te houden. “Dan zetten we wat betreft gebruiksgemak en beveiliging weer een extra stap op de goede weg.”