HAP wil informatiebeveiliging hoog op gemeenteagenda
De gemeente moet haast maken met verbetering van de beveiliging van haar digitale informatie. Recent oordeelde de Rekenkamercommissie dat de informatiebeveiliging niet doeltreffend en onvoldoende is. “Schokkend”, reageert HAP-raadslid Tim van Essen. “Niet dat we nu meteen in paniek moeten raken en vrezen dat criminele hackers onze gegevens binnen luttele seconden kunnen stelen en dat we daar niets tegen kunnen doen. Maar dit rapport is wel een duidelijke oproep om in actie te komen.”
Geslonken vertrouwen
Bedrijven en inwoners kunnen uiterlijk in 2017 alle zaken die ze met de overheid doen digitaal afhandelen. Hierdoor komt er steeds meer informatie digitaal bij de gemeente beschikbaar. “We moeten er op kunnen vertrouwen dat onze gegevens bij de gemeente veilig zijn”, stelt Van Essen. Het vertrouwen hierin is gezien de uitkomsten van het onderzoek door de Rekenkamer flink geslonken.” Van Essen waarschuwt dat inwoners en bedrijven niet mogen geloven in honderd procent veiligheid: “Die bestaat niet. Er kan altijd iets misgaan. Wat we wel mogen verlangen is dat als het misgaat de juiste alarmbellen afgaan en er adequaat gehandeld wordt.” Daarnaast moet goed worden gekeken naar welke informatie het meest waardevol is en dus goed achter het digitale slot en grendel moet zitten. “Hierbij moet altijd de afweging gemaakt worden van bruikbaarheid en transparantie die je als gemeente wilt uitstralen in relatie tot veiligheid”, zegt Van Essen.
Ethische hackers
In september vorig jaar publiceerde Van Essen een blog over dit onderwerp op de website van HAP en stelde hierover schriftelijke vragen aan het College van B&W. Daarin doet hij een opvallend voorstel: maak gebruik van de diensten van ethische hackers. “Ethische hackers vinden het leuk om beveiligingslekken in computersystemen te ontdekken en maken hier geen misbruik van. In plaats daarvan melden ze het lek aan de organisatie zodat die het kan dichten. In meerdere gemeenten is de politiek aan de slag gegaan om ethisch hacken van gemeentelijke computersystemen mogelijk te maken.” Van Essen denkt dat een dergelijke oproep aan ethische hackers ook waardevol kan zijn voor Haarlemmermeer, al vereist dit natuurlijk wel dat goede afspraken worden gemaakt. “Dit kan in de vorm van een responsible disclosure. Hierdoor wordt de kwetsbaarheid eerst gemeld aan de gemeente voordat dit eventueel aan de buitenwereld kenbaar wordt gemaakt.”
Grotere weerbaarheid
Voor HAP staat buiten kijf dat er geïnvesteerd moet worden om dit voor elkaar te krijgen. “De zwakste schakel in informatiebeveiliging is vaak de mens. Mijn oproep luidt dan ook: Begin met investeren in bewustzijn onder het personeel van de gemeente.” Daarnaast moeten er wat Van Essen betreft regelmatig testen plaatsvinden op het netwerk van de gemeente. “Van je auto wil je ook graag weten of de remmen goed werken en of de centrale deurvergrendeling goed werkt. Je auto krijgt daarvoor regelmatig een onderhoudsbeurt en APK keuring. Deze APK keuring voor de gemeente Haarlemmermeer is voor het laatst in 2013 gedaan, terwijl je dit minimaal één keer per jaar zou moeten doen.” Veiligheid vereist dat er vanaf het begin over deze dingen wordt nagedacht. “Welke informatie hebben we als gemeente? Hoe belangrijk is deze informatie? En hoe gaan we deze informatie beveiligen?’ Waakzaam wil zeggen dat je alert bent op wat er mogelijk fout kan gaan. Weerbaarheid zegt iets over hoe snel je terug kan veren na een bepaald veiligheidsincident. Dat is de basis. En die moet op orde zijn.”
Matige reputatie
HAP zou graag zien dat de gemeenteraad wat vaker over dit onderwerp zou discussiëren. “Veel, zo niet bijna alles, gaat in de toekomst digitaal. Dit vraagt veel van de gemeentelijke organisatie. En het moet worden gezegd: De overheid heeft nou niet een heel erg goede reputatie als het om ICT gaat. Wij vragen ons af of iedereen zich daar wel voldoende van bewust is.”