image

Medewerker is grootste cyberrisico voor gemeenten

vrijdag 25 september 2020, 10:48 door Redactie, 24 reacties

Niet ransomware of hackers, maar medewerkers binnen een gemeente zijn de grootste cyberdreiging voor gemeentelijke organisaties. Dat stelt de Informatie Beveiligingsdienst (IBD) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021-2022.

De meest prominente risico’s liggen bij de ambtenaren die iedere dag gebruikmaken van informatie- en communicatiesystemen om hun werk te doen. Daar kleven risico’s aan, zo staat in het rapport. Medewerkers kunnen bijvoorbeeld misbruik maken van het feit dat ze vanwege hun functie toegang hebben tot veel gegevens en systemen. “Een kwaadwillende kan in zo’n geval gegevens wijzigen, wissen of toevoegen, een onterechte factuur indienen of goedkeuren, vergunningen verstrekken, een uitkering toewijzen, het bepalen van een hoogte van een vergoeding, het verstrekken van een paspoort: dat begint allemaal met het invoeren van gegevens in informatiesystemen.”

Vooral medewerkers met verhoogde toegangsrechten kunnen grote schade aanrichten. Interne medewerkers kennen de interne processen en controlemechanismen en kunnen die daarom beter omzeilen dan iemand van buiten. Deze dreiging is moeilijk te ontdekken, stelt het IBD in het rapport.

Ook de beschikbaarheid van het informatiesysteem is een cruciale factor zoals bijvoorbeeld in het eerste halfjaar van 2020 is gebleken bij het Citrix-lek en het thuiswerken vanwege de coronamaatregelen. “Door het lek in Citrix moest dit systeem, dat ook bij veel gemeenten wordt gebruikt, een aantal dagen van de buitenwereld worden afgesloten. Het gevolg was dat ambtenaren in veel gevallen niet meer konden thuiswerken, kantoren waren overbelast en werkprocessen lagen in sommige gevallen stil.”

Gemeenten dienen volgens de IBD een plan te hebben voor uitval van een informatiesysteem. De risico’s met betrekking tot de bedrijfscontinuïteit nemen toe, omdat online processen steeds meer de standaard worden en de offline alternatieven verdwijnen.

Reacties (24)
25-09-2020, 10:56 door Anoniem
Pen en papier lijkt me wel wat.
25-09-2020, 11:18 door Anoniem
Niets nieuws en daarna toeleveranciers, simpele developers/systeembeheerders die alles maar outsourcen naar een een of andere buitenlandse cloud dienst om hun eigen incompetentie te verhullen.

Ik snap niet dat het uberhaupt is toegestaan dat gemeenten outsourcen naar amerikaanse cloud spam diensten als messagelabs.
25-09-2020, 11:40 door Anoniem
Duidelijk rapport met de nodige onderbouwingen. En met advies waar je wat aan hebt als gemeente zijnde.
25-09-2020, 11:55 door Anoniem
Door Anoniem: Niets nieuws en daarna toeleveranciers, simpele developers/systeembeheerders die alles maar outsourcen naar een een of andere buitenlandse cloud dienst om hun eigen incompetentie te verhullen.

Ik snap niet dat het uberhaupt is toegestaan dat gemeenten outsourcen naar amerikaanse cloud spam diensten als messagelabs.
Dat komt, omdat Nederlanders wel een grote smoel hebben, maar zelf niet in staat zijn het zelf wel goed te doen!
25-09-2020, 12:16 door Anoniem
Schreeuwen vanaf de zijlijn. Knap hoor.

Je kunt gewoon zaken doen met Amerika hoor, daar zijn (naja waren...) gewoon afspraken voor. Als je je daar aan houdt mag je AVG technisch gewoon gegevens in het buitenland plaatsen en verwerken. Nu dat Privacy Shield ongeldig is verklaard geeft dit wel een nieuwe uitdaging...

Dat het plaatsen van dit soort gegevens buiten Europa voor een overheidsinstantie niet bepaald handig is ben ik met je eens, maar wettelijk gewoon toegestaan.
25-09-2020, 12:18 door Anoniem
Dat is wel een open deur zeg. En erg verrassend, zo niet zorgwekkend...
Gemeenten zijn toch al jaren verplicht hun IB in te richten (pas toe of leg uit) volgens de Baseline Informatiebeveiliging Overheid (BIO) die is gebaseerd op ISO27001.
Daar staan heel veel maatregelen in die juist deze dingen moeten mitigeren.
Als de IBD nu dus zegt dat deze risico's er nog steeds zijn vraag je je toch af hoe goed de controle van BZK op de toepassing van de BIO dan wel niet is.
Of is dat ook allemaal geduldig papier....
25-09-2020, 12:56 door packetguy
Uh.. het is IBD niet IDB.
25-09-2020, 13:00 door Briolet
Door Anoniem: Pen en papier lijkt me wel wat.

Als je goed leest om wat voor zaken het gaat, dan zijn het juist zaken die in het papieren tijdperk ook al gebeurden.
25-09-2020, 13:05 door Anoniem
Een kwaadwillende kan in zo’n geval gegevens wijzigen, wissen of toevoegen, een onterechte factuur indienen of goedkeuren

Deze problemen zijn zo generiek omschreven door de IBD dat het ook voor het bedrijfsleven opgaat. Maar daar gaat het IBD niet over. :-)

Door Anoniem: Als de IBD nu dus zegt dat deze risico's er nog steeds zijn vraag je je toch af hoe goed de controle van BZK op de toepassing van de BIO dan wel niet is.
Of is dat ook allemaal geduldig papier....

Daar zijn audits voor. Maar ja, dat is het geduldige papier waar je naar verwijst.
De werkelijkheid kan heel anders zijn. Maar ook dat geldt voor het bedrijfsleven. (bv Diginotar)


Maar gezien de grote risico's die het IBD waarneemt en die nooit 100% verholpen kunnen worden zolang er mensen bij gemeenten werken, stel ik voor om alles weer op de oude analoge manier te doen. Ook voor het rijk.

Dus geen berichtenbox meer, geen digid. Geen online belastingaanslag vooringevuld krijgen.
Alles aanvragen en ophalen op het gemeentehuis (zonder afspraken).
Geen automatiseringsgsystemen meer voor de overheid. Alles met pen en papier (of typemachine) en kaartenbak.
Dus ook geen landelijke basisregistraties meer. Geen gekoppelde gegevens via bv Suwinet. etc.

Dit bespaart bakken met geld, is goed voor de werkgelegenheid, en voorkomt dat grote hoeveelheden data gecorrumpeert raken door misdragingen van personeel of lekken in (landelijke) datasystemen.
En gemeenten kunnen zich weer op hun core business richten. Niet ICT 9waar ze niets van snappen), maar dienstverlening en voorzieningen voor de inwoners.
25-09-2020, 15:53 door Anoniem
Water is nat en vuur is heet.

IBD is dat alles wat je kan?
25-09-2020, 16:14 door Anoniem
Door Anoniem:
Door Anoniem: Niets nieuws en daarna toeleveranciers, simpele developers/systeembeheerders die alles maar outsourcen naar een een of andere buitenlandse cloud dienst om hun eigen incompetentie te verhullen.

Ik snap niet dat het uberhaupt is toegestaan dat gemeenten outsourcen naar amerikaanse cloud spam diensten als messagelabs.
Dat komt, omdat Nederlanders wel een grote smoel hebben, maar zelf niet in staat zijn het zelf wel goed te doen!
Daar hebben we in het Nederlands een spreekwoord voor om het wat netter te formuleren alleen de vraag rijst of dat spreekwoord wel begrepen wordt: Holle vaten klinken het hardst.
25-09-2020, 16:44 door Anoniem
Door Anoniem: Water is nat en vuur is heet.

IBD is dat alles wat je kan?

Nou nou nou, anoniem... schrijf zelf anders even een rapport.
25-09-2020, 17:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets nieuws en daarna toeleveranciers, simpele developers/systeembeheerders die alles maar outsourcen naar een een of andere buitenlandse cloud dienst om hun eigen incompetentie te verhullen.

Ik snap niet dat het uberhaupt is toegestaan dat gemeenten outsourcen naar amerikaanse cloud spam diensten als messagelabs.
Dat komt, omdat Nederlanders wel een grote smoel hebben, maar zelf niet in staat zijn het zelf wel goed te doen!
Daar hebben we in het Nederlands een spreekwoord voor om het wat netter te formuleren alleen de vraag rijst of dat spreekwoord wel begrepen wordt: Holle vaten klinken het hardst.

Nee, als je dan commentaar geeft doe het dan goed, beter past. "De beste stuurlui staan aan wal"
25-09-2020, 17:36 door Anoniem
Door Anoniem:
Door Anoniem: Water is nat en vuur is heet.

IBD is dat alles wat je kan?

Nou nou nou, anoniem... schrijf zelf anders even een rapport.

Maar dit is in de kern een rapport wat je voor elke organisatie/commercieel bedrijf kunt (her)gebruiken.
Uw medewerkers zijn uw zwakke plek.

Duh.
25-09-2020, 22:36 door Anoniem
Door Anoniem:
Door Anoniem: Water is nat en vuur is heet.

IBD is dat alles wat je kan?

Nou nou nou, anoniem... schrijf zelf anders even een rapport.


${gebruiker} is grootste cyberrisico voor ${bedrijf/instelling/organisatie}

Klaar.


Dat weet iedereen die zich meer dan 2 minuten ingelezen heeft in cybersecurity, de gebruiker is ALTIJD de zwakste schakel als het gaat om onzorgvuldig gedrag, lekken of diefstal. 99% van alle ransomware infecties komen voort uit social engineering en/of klikken op een malafide link.
CEO fraude komt voort doordat mensen geld overmaken zonder verificatie of het een valide overboeking betreft.
26-09-2020, 12:11 door Anoniem
Medewerker is grootste cyberrisico voor gemeenten
De kop van dit artikel moet zijn "Concern-hoofden van afdelingen en inkoop-afdeling zijn verantwoordelijk voor uitrusten van organisaties met onverantwoorde middelen"!

Want first things first.
Je je kan keihard je punt willen maken over wellicht aantoonbaar domme, nalatige tot verwijtbare fouten dat overal in gemeente organisaties worden gemaakt in het gebruik van die applicaties.
Maar mag het misschien iets specifieker?

Gemeente organisaties zitten met een heel cluster aan applicaties op je IT park.
Op deze website hier is al bericht over het feit dat het onmetelijk en misschien wel onmogelijk veel applicaties betreft.
Het aantal is wel de afgelopen teruggebracht.
Maar menig applicatie heeft nog steeds een beperkte update-cyclus ondanks ondanks de gebreken die de onderliggende software heeft.
En vervolgens ga je met rapporten in de hand beweren dat het aan gebruikers overal in de gemeente organisaties ligt?
Hoe duidelijk en eerlijk is dat?
Al was het maar door de bibliotheken waar de applicaties onderliggend in gevallen uit opgebouwd zijn dan zou je weten dat het in teveel gevallen een gaten kaas is die je nergens mee kan dichten zo lang je nalaat figuurlijk gesproken hele nieuwe kazen te gebruiken. Het dichten van gaten in die kaas is een ondoenlijke zaak.

We kunnen ons punt wel maken over de consequenties die uit de missers van mensen kunnen ontstaan.
Maar daarbij kunnen niet doen alsof de missers door de applicaties en onderliggende bibliotheken die bij de gemeenten aan de man en vrouw worden gebracht voor toepassingen waar ze überhaupt niet kunnen functioneren de oorsprong zijn van de ellende.
En dan ook nog eens moeten functioneren binnen het eisenpakket dat gemeenten logischerwijs moeten (kunnen) stellen aan die applicaties terwijl dat regelmatig een onoverbrugbare mis-match is die kundig wordt verbloemd met service-en-support contracten.

Ben je dan als schrijver van deze rapporten net als destijds Deloitte richting de provincies deed met haar accountant verantwoording bezig de eindgebruikers van je klanten erin te luizen tegen een koninklijke contractvoorwaarden?
Of probeer je professioneel te doen maar heb je eigenlijk niet in je omdat je misschien te weinig van het spelersveld van toeleveranciers en het personeel-dynamiek DAARVAN durft te benoemen en durft te verbeteren?
In plaats daarvan tik je "braaf" je euro's binnen zoals een uurtje factuurtje fabriek ook financieel probeert te overleven.
Dankbaar voor hoe de klant-opdrachtegever ook is, blijf je heimelijk als rapporteren fabriceur hopen op kleine verbeteringen.
Dankbaar voor hoe je als rapporteren fabriceur deze fantastische opdrachten in de schoot geworpen zijn vermijd je dat het onbegonnen werk is wat je rapport propageert.
Niet omdat de gemeente organisatie niet wil, maar omdat je niet durft op te schrijven dat niet de hele wereld van de IT de kop boven water kan houden zo lang het niet langer aan elkaar hangt van gebreken.

Zo lang niet heel Nederland doorheeft dat er in Silicon bedrijven zijn die dagelijks honderd duizenden hacks plegen en mensen in geheime diensten daar nauwe banden mee hebben blijven dit soort rapporten een kwestie van honden die gezamenlijk in hun eigen staart bijten.
En dan moet je niet alleen denken aan degenen die er bij gemeenten een potje van maken en door hun managers gevrijwaard worden tegen disciplinaire maatregelen.
Eventuele disciplinaire maatregelen om nalatigheid in gebruik van IT zijn in deze verhouding naar menselijke maat beschouwd ook nauwelijks meer als hysterisch.
Hoe functioneel, logisch en constructief bedoeld het corrigerende effect van de maatregelen tegen de mensen ook kan zijn om structurele missers voortaan uit je organisatie te halen.
Als organisaties wil je immers ook niet met de kraan open blijven dweilen.
Maar zeker zo lang je zonder gevoel voor materie als organisatie hoofden zelf je op de mouw laat spelden wat het besparing potentie en scala van mogelijkheden van applicatie x, y, z is, blijven die maatregelen in verhouding verregaand unfair.
Want ga je als eind-baas in die organisatie wel die mensen bestraffen die uit de bocht vliegen terwijl je ze zelf laat uitrusten en instrueert met inherent gebrekkige middelen om hun taken voor jou, de gemeentesecretaris, de gemeenteraad en de burger uit te voeren?
De consequenties ben je dan toch echt als eind-baas in eerste aanleg zelf verantwoordelijk voor.
En in tweede aanleg zijn eind-bazen zelf debet aan de gevolgen van die keuzes.

Dus heeft het uitbrengen van een rapport als dit meer weg van een landelijke poging van "wegmasseren" van gebreken die je niet oplost met wegmasseren en disciplineren.
Die los je in de eerste plaats op met toepassing van veel meer realisme en gevoel voor materie.
Dat voorkomt een hoop mogelijke naïviteit over welke verwachtingen je kan hebben over nog weer een advies rapport.
Door meer realisme en gevoel voor materie ga je vervolgens aan de slag met meer gevoel waar het mensen-werk en juiste middelen het meeste effect kan sorteren.
Dan snap je ook dat je met top-down opdrachten of strenge verwachtingen laag in de organisatie leggen niet oplost wat in cluster verbanden finaal fout blijft gaat.
26-09-2020, 13:18 door Anoniem
al die lui hierboven die commentaar op de diepgang van het rapport hebben. besef dat als de details en diepgang er wel ingezeten had, onze bestuurders, politici en managers er nog steeds niets mee kunnen. de westerse wereld is kapot gemanaged al een tijdje. lees vandaag eens over tata steel. niemand hier in NL wilt het, niemand kan zogenaamd ingrijpen, oh niemand had dit aan zien komen? hetzelfde met de huidige tekorten en chaos aan test capaciteit voor covid. en dat terwijl er een straat verder op studenten en supportes staan te joelen? joh naief!
26-09-2020, 15:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Water is nat en vuur is heet.

IBD is dat alles wat je kan?

Nou nou nou, anoniem... schrijf zelf anders even een rapport.

Maar dit is in de kern een rapport wat je voor elke organisatie/commercieel bedrijf kunt (her)gebruiken.
Uw medewerkers zijn uw zwakke plek.

Duh.


Ehh Medewerkers? Zwakke plek? Logging! Wanneer is het ook al weer voor het laatst dat de logging daadwerkelijk bekeken is en ook gecontroleerd is? Logging (en het hele proces van controleren) wordt blijkbaar onvoldoende gedaan. Als er tien aanvragen voor een nieuw paspoort zijn en elf transacties in de logging dan moeten toch ergens de alarmbellen af gaan? Blijft lastig om het gehele proces van logging goed uit te voeren. En ja, dat kost capaciteit!
26-09-2020, 20:08 door Anoniem
Het grote probleem is dat gemeenten door de verregaande automatisering IT bedrijven zijn geworden maar het senior management inclusief de gebruikers dat zich totaal niet beseffen. Bij veel gemeenten is het senior management niet of nauwelijks betrokken bij risicomanagement terwijl ze daar wel verantwoordelijk voor zijn. Daarnaast zijn er veel teveel CISO's bij gemeenten die als grootste risico zien om niet door de ENSIA audits heen te komen en zich daardoor alleen focussen om aan de normen te voldoen zonder überhaupt hun grootste risico's te kennen of daarop te sturen.
Maar goed, dit geldt net zo goed voor veel bedrijven die het begrip passende maatregelen uit de AVG niet eens snappen laat staan dat ze weten hoe ze hun eigen gegevens moeten beschermen.
Risicomanagement begint bovenin en niet vanaf de werkvloer.
26-09-2020, 20:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets nieuws en daarna toeleveranciers, simpele developers/systeembeheerders die alles maar outsourcen naar een een of andere buitenlandse cloud dienst om hun eigen incompetentie te verhullen.

Ik snap niet dat het uberhaupt is toegestaan dat gemeenten outsourcen naar amerikaanse cloud spam diensten als messagelabs.
Dat komt, omdat Nederlanders wel een grote smoel hebben, maar zelf niet in staat zijn het zelf wel goed te doen!
Daar hebben we in het Nederlands een spreekwoord voor om het wat netter te formuleren alleen de vraag rijst of dat spreekwoord wel begrepen wordt: Holle vaten klinken het hardst.

Nee, als je dan commentaar geeft doe het dan goed, beter past. "De beste stuurlui staan aan wal"
Nee, in de bedoelde context past dat zeker niet beter. De beste stuurlui staan .... zegt niets over het hebben van een grote schmoel.
27-09-2020, 17:08 door Anoniem
zonder de grote faciliteur te noemen een waardeloos rapport.
28-09-2020, 09:49 door Anoniem
Oplossing: geen personeel meer gebruiken. Dan kan er ook niets fout gaan door menselijk handelen.


Volgens een burgermeester tijden seen eindejaarborrel (enkele jaren terug):
"Een gemeente heeft alleen een burgermeester, bodes en beleidsmedewerkers nodig. [hik]"
(En die kunnen zonder ICT werken)
28-09-2020, 11:01 door Anoniem
Tja en dan als IBD gewoon je rapport op een WORDPRESS site zetten....
28-09-2020, 20:59 door Anoniem
Door Anoniem: Tja en dan als IBD gewoon je rapport op een WORDPRESS site zetten....
Je hebt iets gelezen en daarin kwam het woord Wordpress in voor? Heb je het wel echt goed gelezen? Wordpress is hier niet geschikt voor of zo? Oh je doelt waarschijnlijk op de diverse kwetsbare plug-ins die regelmatig in het nieuws komen en je bedoelt niet Wordpress .... ah duidelijk!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.