Dataveiligheid belangrijker dan ooit

Dataveiligheid belangrijker dan ooit

JILDOU VISSER

De hoeveelheid informatie die binnen veiligheidsregio’s wordt gebruikt en verwerkt is de afgelopen jaren sterk toegenomen. Daarmee groeit ook het belang om de systemen technisch veilig te houden en er op een verantwoorde manier mee om te gaan. Wat zijn de risico’s als toch iets misgaat? En hoe kun je je daarop voorbereiden?

BR201807-2425DATAVEILIGHEID2
Josien Oosterhoff.
BR201807-2425DATAVEILIGHEID1
Marco Zannoni.

Over wat de risico’s precies zijn als systemen niet goed zijn beveiligd of als er niet veilig mee om wordt gegaan zijn Marco Zannoni, directeur van het COT Instituut voor Veiligheids- en Crisismanagement, en Josien Oosterhoff, programmamanager informatievoorziening van het IFV, het deels eens. ‘Natuurlijk moet je incidenten zien te voorkomen, maar bij de brandweer is een cyberincident niet per se schadelijker dan bij andere organisaties. De meest gevoelige informatie die bij de incidentbestrijding wordt gebruikt, loopt vooral via het systeem van de meldkamer. Bovendien verwerkt de brandweer geen gegevens van burgers zoals de GGD dat wel doet. Indien er bij de brandweer een datalek is, beperkt zich dit al snel tot het stelen van politiek geladen stukken of personeelsgegevens. Het is niet zo dat door een datalek bij de brandweer de veiligheid van brandweerlieden of burgers direct in gevaar komt’, aldus Oosterhoff. Zannoni vult dat aan: ‘Natuurlijk kan bedrijfsgevoelige informatie worden gestolen, maar er is meer mogelijk. Zo kunnen indringers bijvoorbeeld ook knoeien met de systemen waar een regio gebruik van maakt. Denk bijvoorbeeld aan bereikbaarheidskaarten die worden aangepast of meldingen waarbij je niet meer kunt zien waar die vandaan komen. Als je tot de ontdekking komt dat de informatie die je krijgt niet meer klopt, sta je voor een groot vraagstuk. Je weet namelijk op dat moment niet meer wat je wel en niet moet geloven. Hoe ga je daarmee om? Daarnaast moeten regio’s zich ook goed voorbereiden op uitval van systemen die door ketenpartners worden beheerd, zoals LCMS en GMS. Hoe raakt dat je eigen continuïteit, hoe ga je daarmee om en wie doet wat? Dat zijn essentiële vraagstukken als het gaat om dataveiligheid.’ Deze vragen komen wel aan de orde binnen het programma Informatievoorziening Veiligheidsregio’s van het IFV, informatieveiligheid is daar één van de speerpunten.

Voorkomen

De veiligheidsregio’s zijn sinds 2015 bezig om samen met het IFV de informatiebeveiliging goed te regelen. Samen met de regio’s is onder andere een informatiebeveiligingsplan opgesteld waarin gezamenlijk een normenkader en de bijbehorende maatregelen zijn vastgelegd. Enerzijds heeft dat een technische component. Aan de andere kant is de mensfactor ook erg groot. ‘Het gedrag van het eigen personeel vormt het grootste risico’, vertelt Oosterhoff. ‘Ieder jaar organiseren de regio’s een collegiale toetsing waarbij ze bij elkaar controleren hoe ver ze zijn met de implementatie van de gemaakte afspraken. Daarin worden alle maatregelen getoetst, van de technische maatregelen tot fysieke maatregelen en het gedrag van personeel. Bij de fysieke maat- regelen gaat het bijvoorbeeld om het fysiek beveiligen van ruimtes. Kan iedereen zomaar in en uit het gebouw lopen, doe je deuren op slot en vergrendel je het beeldscherm als je erbij wegloopt? Bij het gedrag van het personeel spelen bijvoorbeeld het regelmatig wijzigen van wachtwoorden en het niet gebruiken van onbeveiligde usb-sticks een rol.’

Campagne

Om het personeel bewust te maken van de risico’s van het eigen gedrag is Veiligheidsregio Rotterdam-Rijnmond twee jaar geleden gestart met de campagne Informatie Veilig!. ‘We wilden iets dat laagdrempelig en herkenbaar was en mensen echt aan het denken zou zetten. Daarbij zijn we uitgekomen op een soort informatiespook, een man in een zwarte jas met een zwarte hoed die door de organisatie waart. Het is echt een schimmige persoon die ongemerkt altijd met je meekijkt en informatie probeert te ontfutselen. Dit hebben we uitgewerkt in vijf video’s, banners en posters die door de hele organisatie hangen’, vertelt Jerry van Horik, beleidsadviseur informatiemanagement bij Veiligheids-regio Rotterdam-Rijnmond. Op de campagnematerialen staan de vijf gouden regels. De campagne heeft in de regio gezorgd voor een groter veiligheidsbewustzijn, laat Van Horik weten. ‘Mensen praten erover, ze zijn er bewuster mee bezig.’

Naast dat Van Horik verantwoordelijk is voor de campagne, is hij nauw betrokken bij alle maatregelen op ict-gebied, zoals de firewalls en systemen die mensen dwingen hun wachtwoord regelmatig aan te passen. ‘En we zijn ook de fysieke beveiliging gaan vastleggen. Dat gaat van het beveiligen van het gebouw en de ruimtes tot en met hoe je omgaat met de inhuur van extern personeel.’

BR201807-2425DATAVEILIGHEID3
Veiligheidsregio Rotterdam-Rijnmond probeert met de campagne Informatie Veilig! medewerkers bewust te maken van het veilig omgaan met informatie en systemen.

Voorbereid

Een onderdeel waar volgens Zannoni bij veel regio’s nog meer aandacht aan mag worden besteed is het opstellen van een continuïteitsplan. ‘Heb je zicht op alle kwetsbare systemen die in de organisatie worden gebruikt? Dan gaat het deels om de eigen systemen, maar ook die van ketenpartners. Waar zit de afhankelijkheid? Weet je wat de gevolgen zijn van systeemuitval en wat je moet doen als dat gebeurt? Leg vast wie je nodig hebt om de problemen op te lossen, wie waarvoor verantwoordelijk is en hoe die processen gaan’, vertelt Zannoni. ‘Ga hierover in gesprek met je ketenpartners en betrek daarbij niet alleen informatiemanagers en ict’ers, maar ook incidentbestrijders zodat je weet wat voor hen belangrijk is. Het is een samenspel, waarbij je iedereen nodig hebt.’ Daarnaast is het volgens Zannoni belangrijk dat niet alleen wordt gedacht aan kwaadwillenden die opzettelijk systemen verstoren. ‘Systemen kunnen ook uitvallen door bijvoorbeeld een grootschalige stroomstoring of het internet dat uitvalt. Neem dit ook mee.’

Een groot nadeel bij de voorbereiding op ict-incidenten is volgens Zannoni dat de hulpdiensten in Nederland nog niet zijn aangemerkt als vitale infrastructuur. ‘In veel landen is dit wel het geval. Gelukkig komt dat besef bij onze overheid ook steeds meer. Als je onderdeel bent van de vitale infrastructuur heb je namelijk ook toegang tot onderzoeken en veiligheidsstudies van de overheid waarin trends worden gedeeld. Als je die informatie hebt, kun je er ook op in spelen.’

Jildou Visser

Andere artikelen in deze aflevering