Met de toenemende digitalisering neemt het belang van informatieveiligheid ook toe. We merken dat de digitale kwetsbaarheden en dreigingen fors toenemen. Ook de complexiteit en de impact van security-incidenten nemen toe op zowel bestuurlijk als uitvoerend niveau. Betrouwbare (en veilige) informatievoorziening is een absolute randvoorwaarde voor een gemeente.
Er worden daartoe diverse maatregelen ondernomen, zoals het implementeren van de Baseline Informatiebeveiliging Overheid (BIO), die geldt als basisnormenkader binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen) voor informatiebeveiliging. Deze is leidend voor onze organisatie.
In 2022 heeft onze organisatie niet te maken gehad met grote incidenten. Wel werd er in het eerste kwartaal nog gewerkt aan de nasleep van de ‘log4j’ kwetsbaarheid uit december 2021. Deze kwetsbaarheid heeft geen directe nadelige impact op de organisatie gehad.
In 2022 zijn er 29 incidenten door medewerkers gemeld. 24 meldingen betroffen phishing e-mails en 5 betroffen beveiligingsincidenten. De gemelde hoeveelheid phishing e-mails lijkt, gezien de grootte van de organisatie, slechts een deel te zijn van het daadwerkelijk ontvangen aantal phishing e-mails. De organisatie zal dan ook blijvend geïnformeerd worden over meldingswaardige incidenten. Wel is duidelijk dat er een stijgende lijn is in medewerker awareness. Dit is een belangrijke en positieve ontwikkeling.
Als gemeente nemen wij deel aan GGI-Veilig (GGI staat voor Gemeentelijke Gemeenschappelijke Infrastructuur). We kunnen daarmee onze digitale weerbaarheid verhogen en onze ICT-infrastructuur nog veiliger maken.
In 2022:
- zijn de jaarlijkse ENSIA en DigiD audits behaald.
- is er een meerjaren planning opgesteld (2022-2024) om de technische basis stapsgewijs verder te verhogen en/of te verstevigen.
- is gestart om de digitale weerbaarheid van de organisatie te verhogen en de ICT-infrastructuur nog veiliger maken. Om dit te kunnen bewerkstelligen is Security Information & Event Management (SEIM) onderdeel geweest van de aanbesteding via Vereniging van Nederlandse Gemeenten (VNG). Dit is echter in verband met juridische procedures gestopt. Hierdoor is in 2022 SEIM en SOC niet ingezet in de organisatie.
Voorkomen van fraude en onregelmatigheden
Als college zijn we ons bewust van inherente risico’s van fraude die, zowel intern als extern, worden gelopen bij het uitvoeren van de gemeentelijke taken. Hiervoor hebben wij in 2022 een frauderisicoanalyse opgesteld om de risicogebieden te identificeren en bewustwording te creëren. Vanuit de bedrijfsvoering is er verhoogde aandacht voor de inrichting van onze administratieve organisatie en interne beheersing (AO/IB) ten aanzien van de geïdentificeerde risicogebieden en tevens worden de relevante geldstromen/processen betrokken in de interne controles die gedurende het jaar worden uitgevoerd.
Stakeholders van de gemeente moeten er op kunnen vertrouwen dat wij op een betrouwbare, eerlijke en zorgvuldige manier zaken doen. De gemeente beschikt over een uitgebreid scala aan zogenaamde soft controls. Iedere medewerker onze gemeente en de werkmaatschappij 8KTD legt bij indiensttreding een ambtseed of ambtsbelofte af en overlegt een verklaring omtrent gedrag. Daarnaast kennen we een vastgestelde regeling en gedragscodes, onder andere op het gebied van nevenwerkzaamheden en financiële belangen, welke openbaar beschikbaar zijn. We beschikken daarnaast over een regeling van melden vermoeden misstanden en in de organisatie is een vertrouwenspersoon en er is een meldpunt ingesteld waar eventuele misstanden vertrouwelijk kunnen worden gemeld.
Onze (financiële) processen en systemen kenmerken zich door de aanwezigheid van functiescheidingen, zogenaamd hard controls. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en/of zelfstandig toegang heeft tot activa.
Ondanks alle beheersingsmaatregelen resteert het risico dat management of directie maatregelen doorbreekt en het risico van samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, de aanwezigheid van een vertrouwenspersoon om niet-integer handelen (anoniem) te melden, periodieke interne en externe audits op de naleving van beheersingsmaatregelen dragen er toe bij dat onregelmatigheden worden gesignaleerd.
De afgelopen jaren zijn er regelmatig berichten in de media over cyberaanvallen, gevallen van ransomware en datalekken. Informatiebeveiliging vanuit de perspectieven continuïteit, fraude en privacy heeft een hoge prioriteit.
Tijdens de dagelijkse bedrijfsvoering vinden controles plaats om vast te stellen of gewerkt wordt volgens de daarover gemaakte afspraken, waaronder de diverse protocollen voor informatiebeveiliging. Daarnaast beoordelen de security en privacy officer de kwaliteit en naleving van de getroffen beheersingsmaatregelen. Periodiek wordt de beheersing van informatiebeveiliging getoetst, zowel intern, maar ook extern vanuit de sector. Eventuele verbeterpunten vormen de input voor verdere aanscherping en/of naleving van het informatiebeveiligingsproces.
Conclusie
Wij zijn van mening dat, met alle analyses en getroffen beheersingsmaatregelen, de risico’s met betrekking tot een beheerste en integere bedrijfsvoering inzichtelijk zijn en op een adequate wijze aandacht krijgen.