Informatiebeveiliging Bergen loopt ernstig gevaar

De informatiebeveiliging van de gemeente Bergen loopt ernstig gevaar, concludeert de lokale rekenkamercommissie op basis van een quick scan. De grootste bedreiging ligt op het gebied van de ICT. Oorzaken zijn het niet doorvoeren van een aantal adviezen en met name de beëindigde ondersteuning van Windows 7.

Adviezen niet uitgevoerd

‘Een grote bedreiging voor de toekomst ten aanzien van informatiebeveiliging in Bergen ligt op het gebied van de ICT’, schrijft de rekenkamercommissie van de gemeente Bergen. Adviezen die het risico op beschadigde netwerkapparatuur kunnen voorkomen, en niet veel tijd kosten, zijn niet uitgevoerd.

Verhoogd risico op korte termijn

De beperkte technische performance van de huidige hardware in Bergen, gecombineerd met het feit dat Microsoft is gestopt met het ondersteunen van Windows 7 (en Windowsserver 2008 R2), zorgt op korte termijn voor een verhoogd risico. Daar komt bij dat een uitbesteding aan ICT Noord- en Midden-Limburg vertraagd is. ‘Dit betekent dat, anno nu, de informatiebeveiliging vanaf 2020 (ernstig) gevaar loopt.’ Dagblad De Limburger meldt dat er inmiddels een apart contract voor onderhoud met Microsoft is afgesloten.

Bang om te melden

Tot mei 2019 was er slechts één veiligheidsincident gemeld, schrijft de commissie, en dat is een laag aantal. Het is moeilijk te bepalen of er verder geen incidenten waren of dat verdere incidenten onvermeld bleven, maar het kan zijn dat medewerkers geen melding durven doen. ‘Tijdens een phishingtest is gebleken dat medewerkers bang zijn om een incident te melden.’

Samenwerking

De commissie betwijfelt of Bergen in staat is om alles zelf op te lossen: ‘De vraag die opkomt is of de gemeente Bergen in staat is alles zelf te blijven doen of dat de gemeente gelet op de beperkte omvang van het ambtelijk apparaat samenwerking moet gaan zoeken.’

Imagoprobleem

De informatiebeveiliging in Bergen kampt, net als in veel andere gemeenten, met een imagoprobleem. ‘Informatiebeveiliging draagt niet direct en zichtbaar bij aan de dienstverlening aan inwoners en ondernemers, maar wordt gezien als bijzaak, en soms zelfs als drempel of last.’ De conclusie van de rekenkamercommissie is dat, hoewel Bergen er hard aan werkt, de organisatie op dit moment nog niet AVG-proof is.

Reactie gemeente

Wat betreft de informatieveiligheid kan het college zich vinden in het algemene beeld dat de commissie schetst. ‘Hieruit komt duidelijk naar voren dat de situatie direct aandacht behoeft.’ Er zou inmiddels een GAP-analyse uitgezet zijn, waarmee duidelijk wordt waar de organisatie staat en wat er nog moet gebeuren.