Beveiliging over de hele (overheids)linie: hoe bereiken gemeentes een gemeenschappelijk cybersecurityniveau?
Ransomwareaanvallen en hacks zijn aan de orde van de dag. Oók binnen de overheid, die een belangrijke maatschappelijke functie bekleedt en daarom juist buiten schot moet blijven. Diverse Belgische gemeentes, waaronder die van Antwerpen, hebben onlangs te maken gehad met een aanval — met alle gevolgen van dien.
Eén ding wordt steeds duidelijker: veel gemeentes in Nederland en België hebben op securitygebied nog best wat maatregelen te treffen. Er komt flink wat op hen af — onder andere vanuit de centrale overheid, die de druk verhoogt door hen diverse eisen op te leggen. Momenteel dienen gemeentes te voldoen aan de BIO-norm, maar begin 2024 komt daar ook NIS 2.0 bij.
Veel eisen, beperkte middelen
Het verbeterpotentieel realiseren is een ander verhaal. Hoewel de bereidheid er zeker is, krijgen gemeentes te weinig ondersteuning vanuit de centrale overheid — niet alleen qua kennis, maar ook qua financiële middelen. Met een beperkt budget allerlei securitymaatregelen treffen? Dat lijkt een onbegonnen taak. Momenteel wordt er dan ook hard gezocht naar verbinding tussen de centrale en decentrale overheid.
Het belang van samen optrekken
Daarmee is echter niet alles opgelost. Op gemeentelijk niveau kampt men ook met een gebrek aan uniformiteit: de mate van volwassenheid verschilt sterk per instantie. Waar de ene gemeente Managed Detection and Response (MDR) reeds heeft omarmd, worstelt de andere nog met het in kaart brengen van risico's en te nemen securitymaatregelen.
Gelukkig is er wel een sterke wil om een gemeenschappelijk cybersecurityniveau (een common level of security) te creëren. En dat is cruciaal. Want alleen als alle gemeentes vanuit één stevige basis werken, staat de sector sterk.
Zó maak je de juiste keuzes op de juiste momenten
Klinkt goed, een ‘gemeenschappelijk cybersecurityniveau’. Maar hoe bereik je dat?
Gemeentes kunnen proactief zijn in het nemen van enkele basismaatregelen. Hierbij valt te denken aan de volgende zaken:
- Risicoanalyses uitvoeren;
- Een toekomstvast securityprogramma opstellen;
- Multifactorauthenticatie toepassen;
- Datamanagement-policies creëren en data-encryptie toepassen;
- Patch management en lifecycle management van software op orde brengen;
- Goede back-up- en recovery-plannen maken;
- Een security-awareness-programma implementeren;
- Zorgen voor een up-to-date incident response plan, inclusief voorzieningen voor het monitoren, detecteren en vroegtijdig reageren op mogelijke securityincidenten en datalekken.
Dat is een behoorlijke waslijst. Wil je deze efficiënt en gestructureerd afwerken, dan kan het verstandig zijn om een ervaren partner aan te haken die bekend is met jouw compliancenormen — een partij die begrijpt hoe belangrijk gemeentelijke instanties zijn voor de continuïteit binnen de maatschappij. Zo’n partner helpt je bij het maken van de juiste keuzes op de juiste momenten. Hoe? Door samen met jou te bepalen welke maatregelen je het best kunt treffen om alle securityhokjes af te vinken.
Aan welke kenmerken moet een goede ‘gemeentepartner’ voldoen?
Ga je als gemeente op zoek naar een geschikte partner? Let dan op de volgende zaken:
- Kies voor een partij die samen met jou optrekt en het gemeenschappelijke cybersecurityniveau toepast op jouw specifieke situatie. Vind je het bijvoorbeeld lastig om incidenten op te volgen omdat je hiervoor niet de juiste mensen met de juiste expertise hebt? Dan kun je dit overlaten aan je partner. En als je nog niet goed weet welke zaken je precies wilt uitbesteden, dient een partner je te ondersteunen in het nemen van de juiste beslissingen. Het belang van jouw gemeente staat daarbij voorop!
- Als gemeente moet je voldoen aan de BIO-norm — en op korte termijn ook aan de NIS 2.0-norm. Het is essentieel dat een partner deze door en door kent. Wanneer je in gesprek treedt met een partij, is het raadzaam om te vragen of deze assessments, trainingen en adviesdiensten levert. Informeer daarnaast naar de concrete securitydiensten, zoals een SOC of MDR, pentesten en security-awareness-programma’s.
- Informatiebeveiliging is voor gemeentes cruciaal. Je verwerkt gevoelige persoonsgegevens van burgers, waar je zeer voorzichtig mee om dient te gaan. Een goede partner helpt je bij het classificeren van zulke data, zodat de kans minimaal is dat deze in verkeerde handen vallen. Kortom, ga alleen met een partij in zee die zéér goed thuis is op het gebied van databescherming!