Hoe een moderne werkplek de cybersecurity van gemeenten versterkt: “Maak van cybersecurity topprioriteit”

Geschreven door Redactie OGD
4 min leestijd
16-mei-2024 16:35:17

Met een alarmerend percentage van 40% aan toegenomen cyberaanvallen zou je verwachten dat cybersecurity topprioriteit is voor gemeentes. Maar toch is de cybersecuritystrategie van gemeentes vaak reactief. Onze security-experts kunnen het niet vaak genoeg zeggen: “Maak van cybersecurity topprioriteit.” Veel gemeentes zetten wel stappen om de informatiebeveiliging te verbeteren, maar het gaat niet snel genoeg. De dreiging neemt zo snel toe dat er snellere actie nodig is.

In 2023 werden gemeentes het hardst geraakt van alle sectoren door cyberincidenten. De gevolgen van een cyberincident zijn enorm: privédata van burgers komt op straat te liggen, het kan resulteren in hoge boetes voor gemeentes en het kan de betrouwbaarheid van gemeentes aantasten. Reden genoeg om een cyberaanval met man en macht te voorkomen.

Tom Abbing, security architect bij OGD: “Het beveiligen van systemen is een grote kostenpost geworden. Vooral bij kleinere gemeentes ontbreekt het vaak aan budget. Bovendien is niet altijd duidelijk wie eigenaarschap over ict en cybersecurity heeft. En daarnaast zorgt langzame besluitvorming voor een trage implementatie van cybermaatregelen. Ik zie dat eenvoudige, maar zeer effectieve maatregelen zoals multifactor authenticatie (MFA) soms met veel pijn en moeite door de organisatie komen. Er gaat te veel tijd en te veel discussies overheen. Maar deze maatregelen hadden eigenlijk gister al genomen moeten worden.”

Het wordt tijd dat gemeentes hun cybervolwassenheid verhogen

Het moet anders. Jos Nijmeijer, cyberexpert bij OGD: “De cyberweerbaarheid en -volwassenheid moet naar een hoger niveau. Het is belangrijk dat gemeentes cybersecurity niet langer zien als kostenpost. De kosten voor preventieve maatregelen wegen niet op tegen de kosten van een incident. Daarnaast schaden beveiligings- en privacy-incidenten het vertrouwen van burgers in de overheid.”

Tom: “Informatieveiligheid moet daarom niet alleen een zaak zijn van de ict-afdeling, maar van alle mensen binnen de organisatie. De gemeentesecretaris kan hierbij een voortrekkersrol vervullen, onder andere door het geven van het goede voorbeeld, wat de kans op succes aanzienlijk vergroot.”

Voldoen aan regelgeving binnen de overheidssector

De Baseline Informatiebeveiliging Overheid (BIO) geeft jouw organisatie praktische handvatten, maar gebruik het niet als afvinklijst. Een cybervolwassen organisatie stelt haar eigen doelen, schat risico’s in en neem passende acties op basis van de BIO.

Vanaf 17 oktober 2024 zijn gemeentes verplicht om aan de nieuwe cyberwetgeving NIS2 te voldoen. Tom: “De regels van NIS2 verschillen niet zo gek veel van de BIO. Ook hier moet je je bedrijfscontinuïteits-management verder inrichten en risico’s bepalen. Als je voldoet aan de BIO ben je goed op weg om te voldoen aan deze nieuwe richtlijn. Zorg wel dat je zelf de werking van de maatregelen toetst, bijvoorbeeld met steekproeven in je organisatie.”

Een ict-leverancier die compliant en flexibel is

Het is belangrijk dat gemeentes een ict-leverancier zoeken die voldoet aan de BIO en NIS2-regelgeving.

Wel waarschuwt Jos dat dat niet betekent dat je als gemeente de verantwoordelijkheid dan maar uit handen geeft aan je leverancier. “Je kunt je eigen verantwoordelijkheid niet uitbesteden. De casus rond gemeente Hof van Twente is daar een goed voorbeeld van. Je eigen organisatie moet toezien op de kwaliteit en aan de slag met signalen van de leverancier. Dit is helemaal belangrijk nu gemeenten een verplichtende zelfregulering hebben ten aanzien van de zorgplicht (BIO). Voldoe je als gemeente nu al aan de BIO, dan zal de impact van NIS2 ook stukken kleiner zijn.”

Het advies luidt dan ook ‘Begin zo snel mogelijk’ en neem de verantwoordelijkheid voor de zelfregulering, leg dat niet bij de leverancier.

Moderne veilige werkplek voor de overheidssector

Een moderne veilige werkplek voor de overheidssector is van cruciaal belang. De meeste cybersecurity-incidenten vinden namelijk plaats binnen de werkplek. Daarom kunnen we er niet genoeg op hameren: zorg dat de basismaatregelen op orde zijn. Met goede digitale basishygiëne houd je het aanvalsoppervlak zo klein mogelijk. Jos: “Het hoeft niet veel te kosten. Denk aan MFA, dat 99,2% van de aanvallen tegenhoudt en betrekkelijk goedkoop en eenvoudig in te voeren is.”

In ieder geval is het belangrijk om te realiseren dat techniek niet onfeilbaar is. Er bestaan geen 100% waterdichte technische beveiligingsmaatregelen. Daarom is die gelaagdheid juist zo belangrijk: als een maatregel niet voldoende blijkt zijn er andere maatregelen die het opvangen.

Onze experts Jos en Tom stelden een compacte lijst van minimale maatregelen op om een veilige moderne werkplek te garanderen:

Anti-malware-beveiliging

Een goede anti-malware voor alle apparaten is de cruciale eerste stap om de werkplek te beveiligen. Het is belangrijk dat je kiest voor een aanbieder met een goede reputatie. Moderne anti-malware heeft vaak ingebouwde end-point detectie-opties die goed helpen.

Toegangsbeleid

De toegang voor medewerkers is een component waar gemeentes goed over na moeten denken. Een goed doordacht toegangsbeleid zorgt voor een veilige en gecontroleerde toegang tot gemeentelijke systemen en gegevens. Het reguleren en bewaken van de toegang tot gevoelige informatie is ook een goede manier om de privacy van burgers te beschermen. Daarnaast helpt het juiste toegangsbeheer gemeentes om AVG-regelgeving te waarborgen en boetes te voorkomen.

Veilige default-instellingen

Veilige default-instellingen (standaardinstellingen) zijn ontworpen om de staat van een systeem of software te beschermen tegen cyberrisco’s. Denk aan het inschakelen van automatische beveiligingsupdates om kwetsbaarheden te verhelpen zodra patches beschikbaar zijn of de invoering van passwordless authentication.

Veilige werkplek met OGD

Het buitenhouden van cybercriminelen is een continu proces. Daarom is het essentieel dat jouw werkplek een stevig en veilig fundament is waarbinnen je medewerkers prettig werken. OGD biedt een sterk beveiligde werkplek, met een optimale verhouding tussen restrictieve security en gebruikersvriendelijkheid. Dit komt tot uiting in de volgende componenten:

  • Baseline: beveiligde instellingen die we toepassen op de werkplek. Dit gaat over de basis van je werkplek. Deze instellingen voldoen aan de compliance-regels van de BIO en NIS2.
  • Security officer: de security officer managet de beveiliging, beheert de risico’s en rapporteert deze.
  • Security-link: met deze tool houd je continu zicht op de risico’s. Het is een dashboard dat 24/7 risico-signalen detecteert en daarnaast ook helpt hierop acties te definiëren.

Meer weten over werkzone.security?

Ontvang email updates