De gemeentelijke informatievoorziening is kwetsbaar. Dat concludeert de Informatiebeveiligingsdienst (IBD) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022, dat vandaag verschijnt. De belangrijkste bedreiging vormen menselijke vergissingen.
Onoplettende ambtenaar is grootste cyberdreiging
De gemeentelijke informatievoorziening is kwetsbaar. Dat concludeert de Informatiebeveiligingsdienst (IBD) in het Dreigingsbeeld…
Incidentrapportages
De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy en is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten verschijnt om het jaar. Het is opgesteld op basis van een analyse van incidentrapportages van gemeenten, meldingen aan de IBD en interviews.
In het Dreigingsbeeld 2021/2022 signaleert de IBD dat bureaucratie ‘uit’ is en ondernemerschap 'in'. Het werk moet snel en efficiënt en dat brengt risico's met zich mee. 'De kortste weg naar het resultaat is er vaak één met valkuilen,' schrijft de IBD. Het kan ertoe leiden dat emails met gevoelige informatie naar de verkeerde worden verstuurd, USB-sticks worden verloren en bestanden per ongeluk gewist.
Bulkaanvallen
Hackers die doelgericht de gemeente aanvallen halen het nieuws, maar het grootste deel van de incidenten met dreiging van buitenaf komt voort uit geautomatiseerde bulkaanvallen. Honderdduizenden mensen ontvangen hetzelfde phishingbericht. Als één ervan toevallig een ambtenaar is en het bericht aanklikt, krijgt de gemeente mogelijk zomaar een aanval van gijzelsoftware voor de kiezen.
Openbare bronnen
De IBD krijgt ook meldingen van doelgerichte inlogpogingen op systemen of gerichte phishingmails, maar dat zijn er minder. Mogelijk komt dat omdat ze moeilijk te ontdekken zijn. Informatie voor een dergelijke gerichte aanval halen hackers vaak gewoon van openbare bronnen, zoals LinkedIn. Ook circuleren er lijsten met eerder gestolen gebruikersnamen en wachtwoorden.
Interne kwaadwillende
De meest riskante dreiging is tevens het moeilijkst te ontdekken, schrijft de IBD. Dat is de interne, moedwillige saboteur. Vooral medewerkers die verhoogde toegang hebben tot de systemen, zoals ICT-beheerders en management, kunnen grote schade aanrichten zonder dat er meteen belletjes gaan rinkelen.
Melden
Tot slot benadrukt de IBD dat hoewel er weinig incidenten in gemeenten lijken te zijn, dat niet betekent dat er weinig misgaat op het gebied van security. Al te vaak gaat het bij incidenten meteen om de schuldvraag: wie heeft er op die malafide link geklikt of die usb-stick in de trein achtergelaten? Dat kan medewerkers ervan weerhouden om incidenten te melden, aldus de IBD.
Reacties: 3
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Foute kop! De menselijke factor, de ambtenaar, is de grootste kwetsbaarheid. Ambtenaar is niet de bedreiging!!!
Wel ja, daar gaan we weer.... Geef de ambtenaar maar weer de schuld. Wat is er tegenwoordig NIET de schuld van de ambtenaar...
Och, in 30 jaar dus weinig verandering. Toch weer een van de zekerheden van de bureaucratie.
Nu horen USB-sticks helemaal niet thuis in een kantooromgeving, met name niet bij de overheid. En hoort het hoger management helemaal geen systeembevoegheden te hebben m.b.t. de IT-omgeving.
Elementair ITIL.
Management-by-Mail of Management-by-App faciliteert whale-fishing.
Een IT-omgeving zou fool-proof, of liefst nog hufter-proof moeten zijn. Kwaadwillende medewerkers vinden altijd wel hun weg, dat hoor meegenomen te worden in het Enterprise Risk Management.
De overheid heeft al 30 betrekkelijk maling aan privacy, IT-beveiliging en gegevensbeveiliging. Tot aan politie, defensie en gezondheidszorg toe.
Het verantwoordelijk hoger management duikt weg.
Overigens valt het 'Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022' bij VNG/IBD helemaal niet in te zien, vanwege self-linking.
Men zou bijna aan opzet gaan denken.