Dit is de rapportage betreffende de stand van zaken van de informatiebeveiliging (IB) binnen de gemeente Dordrecht. In 2020 verliep de termijn van het informatiebeveiligingsbeleid. Eind 2020 is dan ook het strategische informatiebeveiligingsbeleid herijkt en vastgesteld. Aangezien dit strategisch beleid betreft gaat de gemeente Dordrecht dit jaar aan de slag met de vertaling hiervan naar een tactisch beveiligingsbeleid waarin de consequenties voor de bedrijfsvoering zijn opgenomen.
IB plan
Er zijn dit jaar verschillende inspanningen geweest op het gebied van informatiebeveiliging. In grote lijnen zijn dat de onderstaande.
Ten eerste hebben we in de tweede helft van 2020 ingezet op het in kaart brengen van de zogenaamde kroonjuwelen van de gemeente. De kroonjuwelen zijn de belangrijkste processen, applicaties en bezittingen die de hoogste prioriteit moeten krijgen als het gaat om (informatie)- beveiliging. Nu de kroonjuwelen helder zijn is de volgende stap om hierop risicoanalyses uit te voeren. Hiermee creëren we inzicht in de maatregelen die nodig zijn om mogelijke risico die de gemeente loopt te mitigeren. De kroonjuwelen en de maatregelen die hierbij nodig zijn krijgen tevens een plek binnen het tactische informatiebeveiligingsbeleid. Op deze manier zijn we als gemeente actief bezig met het realiseren van de plannen en het inrichten van de informatiebeveiligingsorganisatie.
Een tweede punt wat een grote rol speelt bij informatiebeveiliging is het bewustzijn van medewerkers. Hoewel het bewust maken van de medewerkers het afgelopen jaar minder aandacht heeft gehad in verband met corona, is dit een van de speerpunten om de tweede helft van 2021 verder mee aan de slag te gaan. Afgelopen jaar is ook weer in de media te zien geweest dat menselijk handelen een groot onderdeel is van informatiebeveiliging. Denk hierbij aan de papieren onder de arm van minister Ollongren of het niet gebruiken van de BCC-optie door de PVV Overijssel. Hieruit blijkt dat we veel rondom beveiliging op kunnen vangen met IT-maatregelen, maar dat er ook een verantwoordelijkheid ligt bij medewerkers zelf. In de afgelopen periode is er een e-learning aan de medewerkers aangeboden over Informatie Beveiliging. Wij constateren dat de informatie beter beklijft in een interactieve sessie, bij voorkeur op locatie. Vanaf juli 2021 worden er daarom sessies georganiseerd via MsTeams en na de zomer hopen we weer live trainingen te kunnen geven op het Stadskantoor. We hebben hiervoor een nieuwe training ontwikkeld samen met de collega's van Privacy. Daarnaast is er een phishing-test uitgevoerd om na te gaan hoeveel medewerkers ingaan op een dergelijke mail.
Ten derde rollen we nog voor de zomer 2021 de applicatie Zivver uit. Zivver is een dienst waarmee medewerkers op een veilige manier via email privacygevoelige informatie kunnen versturen. Zo hoeven er geen BSN’s of gezondheidsgegevens via onveilige mail verstuurd te worden, hiervoor gebruiken medewerkers Zivver. Begin 2021 is er hier een pilot voor uitgevoerd waarin is gekeken naar het gebruik en de uitrol van Zivver. De volgende stap is het gemeentebreed uitrollen van deze dienst.
Met de inventarisatie van de kroonjuwelen en de inspanningen op het gebied van informatiebeveiligingsbewustzijn is een groot deel van ons IB&P plan 2020-2021 gerealiseerd. Voor 2022 wordt er een nieuw plan opgesteld.
ENSIA
In de collegeverklaring verklaart het college dat de gemeente Dordrecht op 31 december 2020 in opzet (inrichting en beschrijving) en bestaan (implementatie) grotendeels voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid. Er zijn twee uitzonderingen:
- de eerste uitzondering is te vinden bij één van de DigiD aansluitingen. Hierbij voldoet leverancier Centric niet aan één van de gestelde normen. Dit is een landelijk probleem dat bij Centric ligt en waar wij als gemeente geen directe invloed op hebben. Echter, omdat deze collegeverklaring ook voor de verantwoording naar de betreffende toezichthouder gaat, moeten wij dit hierin aangeven. Voor de gemeente heeft dit geen gevolgen voor de DigiD aansluiting en daarmee heeft het geen effect op de bedrijfsvoering.
- daarnaast zijn er een aantal normen waarbij de SDD niet aan de gestelde eisen voldoet. In november 2020 bleek dat er bij de SDD meerdere Suwinet aansluitingen aanwezig waren, die in 2019 nog niet meegenomen werden door ENSIA. De controle op deze aansluitingen (DKD inlezen) is nieuw voor 2020. Deze aansluitingen zijn pas in februari 2021 beoordeeld, maar de SDD had hiervoor nog niet alle processen ingericht. Daarbij speelt mee dat zij door de late ontdekking van deze aansluitingen niet mee hebben gedaan aan de pre-audit en daardoor veel extra informatie en tips vanuit de auditor gemist hebben. De SDD heeft de nog te nemen verbeterpunten opgenomen in een plan van aanpak. De gemeente Dordrecht, maar ook de andere Drechtsteden gemeenten, zien komend jaar toe op de aanpak van de verbeterpunten rondom deze aansluitingen. We gaan er daarmee vanuit dat de bevindingen volgend jaar zijn opgelost. Aangezien er een verbeterplan is, loopt de gemeente geen risico op het afsluiten van de aansluitingen. Daarmee heeft het geen direct effect op de bedrijfsvoering.
Registratie van informatiebeveiligingsincidenten
Sinds 2015 worden alle gemelde informatiebeveiligingsincidenten, binnen de reguliere registratieprocessen van het Serviceloket geregistreerd. Er zijn dit jaar tot en met 31 mei in totaal 57 incidenten gemeld, daarvan zijn er 37 geclassificeerd als spam- of phishing melding. Daarnaast zijn er 12 potentiële data-lek meldingen gedaan, hiervan bleken er uiteindelijk twee daadwerkelijk een datalek. De overige meldingen zijn van beperkte omvang.
Registratie en melding van datalekken
Sinds de ingang van de Meldplicht Datalekken per 1 januari 2016 wordt bij alle informatiebeveiligingsincidenten tevens getoetst of er sprake kan zijn/is van een eventueel data-lek. Een mogelijk data-lek wordt nader onderzocht en de resultaten worden in de incidentmelding geregistreerd. In het geval van een (vermoed) data-lek wordt dit door SCD-JKC binnen de verplichte 72 uur gemeld bij de Autoriteit Persoonsgegevens. Tot 7 juni 2021 zijn er twee datalekken binnen gekomen. Deze hadden betrekking op een foutief verstuurde brief en een intern verkeerd gekoppeld email-adres aan bepaalde gegevens.