Man aan het werk op een laptop met daarnaast een smartphone

IBD: ‘Gemeentemedewerkers vormen grootste risico voor cyberaanvallen’

Laatst bijgewerkt: 28 september 2020
Leestijd: 4 minuten, 32 seconden

Niet hackers, maar medewerkers zelf zijn veelal verantwoordelijk voor een cyberaanval bij een gemeente. Dan gaat het niet zozeer om een vergissing, maar om medewerkers met verhoogde toegangsrechten en kwade bedoelingen. Dit type cyberaanval is uiterst gevaarlijk, omdat het zeer moeilijk is om deze ontdekken en er iets aan te doen.

Daarvoor waarschuwt de Informatie Beveiligingsdienst (IBD) in het rapport Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022. Het adviesorgaan van de Vereniging Nederlandse Gemeenten (VNG) gaat in het rapport in op de beveiligingsrisico’s van informatiebeveiliging voor de ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers.

‘Informatiebeveiliging vergt doorlopende aandacht’

Hackers, statelijke actoren, jongeren die zich vervelen, script kiddies (hackers die zich willen bewijzen) en medewerkers: grofweg zijn dit de vijf belangrijkste dadergroepen die verantwoordelijk zijn voor cyberaanvallen. Omdat steeds meer apparaten altijd verbonden zijn met het internet (denk aan automotive, domotica, Internet of Things toepassingen, computers en smartphones), is het zowel voor consumenten als het bedrijfsleven en andere organisaties belangrijker dan ooit om hun informatiebeveiliging op orde te hebben. Volgens het IBD vergt dit de “doorlopende aandacht van het management”.

“Het is zaak een digitale veiligheidscultuur te cultiveren waarin veilig werken beloond wordt, medewerkers niet schromen om onveilige situaties te melden en waarin onveilige situaties ook daadwerkelijk worden voorkomen of verholpen.” Toch komt het af en toe voor dat medewerkers een datalek, hack of storing veroorzaken, al dan niet per ongeluk. Het is aan organisaties om dit zo goed mogelijk zien te voorkomen. Betrouwbaarheid, integriteit en beschikbaarheid -in het Engels ook wel CIA genoemd, wat staat voor Confidentiality, Integrity en Availability– zijn niet voor niets de pijlers van cybersecurity.

Transparantie onmisbaar om veiligheidsrisico’s uit te sluiten

Transparantie is een belangrijke voorwaarde om lessen te trekken uit incidenten en toekomstige veiligheidsrisico’s te voorkomen. Organisaties durven zich hierover vaak niet uit te spreken, omdat de schuldvraag direct om de hoek komt kijken. Dat probeert de IBD met haar Dreigingsbeeld te voorkomen.

De Beveiligingsdienst onderscheidt vier typen dreigingen. Het grootste deel van de veiligheidsincidenten vloeit voort uit externe bron en is ongericht. Dat zijn veelal geautomatiseerde bulkaanvallen, waarbij hackers scannen op bekende zwakheden bij organisaties die zijn aangesloten op het internet. Gemeenten die hierdoor getroffen worden hebben veelal domme pech. Als de daders erin slagen om ransomware of andere malware te installeren, kunnen de gevolgen desalniettemin groot zijn.

Een medewerker die een fout maakt en daardoor zijn organisatie blootstelt aan cybercriminelen, is de tweede categorie. Dit type dreiging wordt ook wel intern en onbedoeld genoemd. Daarbij kun je denken aan een medewerker die per ongeluk een bestand wist, een malafide link in een phishing e-mail opent of een ‘verloren’ USB-stick aansluit en opent.

Grootste dreiging komt van binnen de organisatie

Externe en gerichte aanvallen leveren volgens de IBD “spannende verhalen op in de media”, maar komen in praktijk naar verhouding vrij weinig voor. Dit komt omdat het ontdekken van dergelijke aanvallen “een hoog volwassenheidsniveau” vereisen waarin “monitoring en detectie en het controleren van losbestanden onderdeel zijn van de dagelijkse werkprocessen”. Het IBD zegt regelmatig van dit soort meldingen te krijgen, maar vormt naar eigen zeggen niet het grootste veiligheidsrisico voor gemeenten.

De meest riskante dreiging komt volgens het IBD van binnen de ambtelijke organisatie en wordt bewust uitgevoerd. “Medewerkers met kwade bedoelingen kunnen uit hoofde van hun functie bij veel gegevens en systemen. Vooral medewerkers met verhoogde toegangsrechten zoals ICT-beheerders en management kunnen grote schade aanrichten”, zo schrijft de Beveiligingsdienst. Dit type dreiging is zeer lastig te detecteren, omdat de medewerkers de interne processen en controlemechanismen kennen en weten te omzeilen.

In de eerste helft van dit jaar deden zich volgens de IBD twee gevallen voor waarbij de dreiging van binnenuit kwam. Ambtenaren die dagelijks gebruikmaken van informatie- en communicatiesystemen om hun werk te doen, waren hiervoor verantwoordelijk.

Dit zijn de gevaren als informatiesystemen niet beschikbaar zijn

De dienstverlening van de organisatie mag niet in gevaar komen. Daarom is het van groot belang dat informatiesystemen van gemeenten beschikbaar blijven. Zoals de kwetsbaarheden van Citrix hebben aangetoond, kan de bedrijfscontinuïteit in gevaar komen als systemen eruit liggen.

Een andere dreiging dat zich voordoet als de beveiliging van informatiesystemen niet op orde is, dat de integriteit van gegevens niet gewaarborgd kan worden. “Een kwaadwillende kan in zo’n geval gegevens wijzigen, wissen of toevoegen. Een onterechte factuur indienen of goedkeuren, vergunning verstrekken, een uitkering toewijzen, het bepalen van een hoogte van een vergoeding, het verstrekken van een paspoort: dat begint allemaal met het invoeren van gegevens in informatiesystemen”, zo benadrukt het IBD.

Gemeenten verwerken grote hoeveelheden vertrouwelijke informatie. Ze moeten er dan ook alles aan doen om ervoor te zorgen dat deze niet in de verkeerde handen belandt. Alleen medewerkers die toegang tot deze schat aan informatie nodig hebben om hun werk te kunnen doen, zouden toegang moeten hebben tot deze gegevens.

Veiligheidstips voor gemeenten

Wat kunnen gemeenten eraan doen om hun informatiebeveiliging op orde te brengen? Het IBD geeft diverse tips. Om te beginnen moeten gemeenten de regie voeren over hun risicomanagement. Het gaat dan om controleren en bijsturen van informatieprocessen. Techniek is een belangrijke factor om informatiesystemen te beschermen, maar vergeet de menselijke factor niet. Een toegangssysteem kan nog zo veilig zijn, maar als de verkeerde mensen toegang hebben, kan dat alles ondermijnd worden.

Verder pleit de IBD voor veilige gereedschappen, een open cultuur en dat gemeenten niet besparen op het beheer van ICT. Regelmatig cyberincidentoefeningen houden en evalueren verbetert de crisisstructuur van de organisatie.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen