‘Sluit aan bij wat er is en werk samen’
Nog niet alle medeoverheden besteden voldoende aandacht aan het testen en oefenen in het kader van informatieveiligheid. Dat blijkt uit een onderzoek dat ICTU uitvoerde. De belangrijkste aanbevelingen: gebruik wat er al is aan ondersteuning en zoek de samenwerking op.
ICTU en de Haagse Hogeschool onderzochten in hoeverre gemeenten, waterschappen en provincies testen en oefenen op het vlak van informatieveiligheid. Het onderzoek werd uitgevoerd in opdracht van het ministerie van BZK en maakt onderdeel uit van het Overheidsbreed Cyberprogramma. Christi Geurts en Fred Uiterweerd waren vanuit ICTU bij het onderzoek betrokken.
Het ministerie van BZK wilde meer inzicht in hoe medeoverheden testen en oefenen en gaf daarom de opdracht voor het onderzoek. Informatiebeveiliging is een verantwoordelijkheid van medeoverheden zelf, waar BZK hen bij kan ondersteunen. Dat doet het ministerie onder meer door kennis te delen, zoals in het Overheidsbreed Cyberprogramma. De jaarlijkse grote Overheidsbrede Cyberoefening maakt daar onderdeel van uit.
Nauwe samenwerking
Voor het onderzoek werden interviews gehouden en een enquête uitgezet. Aan de enquête deden 120 gemeenten mee, 19 waterschappen, 10 provincies en 35 gemeenschappelijke regelingen. Daarnaast werden 23 mensen geïnterviewd, van gemeenten, waterschappen, provincies en BZK. Geurts vertelt over de nauwe samenwerking met gemeenten, waterschappen en provincies: “We hadden vaste contactpersonen per sector en we hebben hen vanaf het begin meegenomen bij de onderzoeksopzet. Zo hebben we de aanpak met hen afgestemd, net als de vragen in de enquête en de interviews die we deden. Na elke fase hebben we de resultaten gedeeld en gingen we erover in gesprek. De medeoverheden waren daardoor nauw betrokken bij elke stap in het onderzoek.”
Eigenaarschap
Een algemene conclusie uit het onderzoek, is dat er vooral door kleine en middelgrote gemeenten nog te weinig wordt geoefend en getest of de genomen maatregelen voor informatieveiligheid daadwerkelijk voldoen. Uiterweerd: “Dit ligt vaak op het bordje van de Chief Information Security Officer, de CISO. Maar die kan ook niet alles. Een belangrijke aanbeveling in het onderzoek is dan ook om informatieveiligheid beter in de organisatie te beleggen, bij de systeem- en de proceseigenaren.” Een webinar in het Overheidsbreed Cyberprogramma ging hierover: een gemeente had voor verschillende afdelingen specifieke scenario’s van een beveiligingsincident gemaakt. Dat werd op de betreffende afdelingen besproken, zodat het onderwerp meer ging leven. “Dat is een manier om het eigenaarschap in de organisatie te leggen,” zegt Uiterweerd.
Het webinar is terug te kijken op de website van het Overheidsbreed Cyberprogramma.
Oefeningen
Veiligheidsregio’s hebben veel ervaring met het organiseren van crisisoefeningen. Een algemene aanbeveling van de onderzoekers is dan ook om meer samen op te trekken met de veiligheidsregio’s en een cyberaspect aan de oefeningen toe te voegen. Ook kunnen gemeenten meer samenwerken met provincies en waterschappen. Naast het gebruiken van al aanwezige kennis in de regio, adviseren de onderzoekers om aan te sluiten bij bestaande oefeningen. Zoals de Overheidsbrede Cyberoefening en ISIDOOR. Deze laatste is een grootschalige cyberoefening, die wordt georganiseerd door het NCSC in samenwerking met de NCTV. Uiterweerd: “Dit lijkt misschien niet geschikt voor kleinere medeoverheden, maar het kan heel leerzaam zijn om hieraan mee te doen.” De gemeente Delft deed mee aan ISIDOOR en vertelt erover in een webinar van het Overheidsbreed Cyberprogramma.
NIS2 geeft impuls
De algemene conclusie van het onderzoek is dat er nog wel wat valt te verbeteren als het gaat om het testen en oefenen in het kader van informatieveiligheid. Het belangrijkste advies is praktisch en haalbaar: maak meer gebruik van wat er al is en werk samen met medeoverheden. De inwerkingtreding van NIS2, de richtlijn voor de beveiliging van netwerk- en informatiesystemen, kan hierbij een impuls geven, besluit Uiterweerd: “NIS2 verplicht overheden om aan te tonen dat beveiligingsmaatregelen die ze hebben genomen, werken. Door te testen en te oefenen, kun je dit laten zien. Dat maakt het belang van testen en oefenen nog groter.”
Het onderzoeksrapport ‘Testen en oefenen van informatiebeveiliging’ is te vinden op de website van Digitale Overheid.