BINNENLANDS BESTUUR - WEEK 27 | 2021 ACHTERGROND 23 ‘ Vraag je af wat onder de back-up valt’ Remco Groet van de InformatiebeveiliLet op de vrijheid en kwaliteit van de pentester, beperk de onderzoekstijd niet te veel en zorg voor begrijpelijke rapportage. ‘Daarnaast is het belangrijk de reikwijdte niet te ver beperken.’ Soms krijgt Van Dongen verzoeken om zich te beperken tot bijvoorbeeld de beveiliging van het sociaal domein. Maar zo’n beperking heeft een onethische hacker natuurlijk niet. Tot slot vindt Van Dongen het belangrijk om een fatsoenlijke ‘hertest’ uit te voeren. ‘Heel vaak blijken de genomen maatregelen niet afdoende te zijn.’ 3 MONITOREN WE ONZE SYSTEMEN? Het hebben van een firewall tegen inbraken is één ding, maar daarbovenop hoort monitoring. In het geval van Hof van Twente was er bijvoorbeeld sprake van een aanval met brute force, wat inhoudt dat er grote hoeveelheden aanvallen op de systemen worden uitgevoerd. Met aanvullende monitoring had dit kunnen worden voorkomen. Cyberveiligheidsbedrijf NFIR oordeelde in het forensisch rapport over de hack, dat de gemeente hier tekortschoot: ‘Deze situatie had voorkomen kunnen worden door SOC-dienstverlening te introduceren die monitoring op beveiligingsniveau toepast.’ Het acroniem SOC (Security Operations Center) wordt vaak gebruikt, maar inmiddels is Managed Detection & Response de veelgebruikte term, laat Apperloo weten. ‘Elke organisatie hoort de systemen te monitoren, maar dit wordt vaak niet gedaan.’ 4 WAT ALS MORGEN OM 9 UUR DE COMPUTERS NIET MEER AANGAAN? ‘Maatregelen als tweefactorauthenticatie zijn heel belangrijk, maar er is geen heilige graal’, zegt gingsdienst van de Vereniging van Nederlandse Gemeenten (VNG). ‘Daarom raad ik CISO’s aan om deze vraag te stellen, want dan kom je op maatregelen waarmee je zo’n scenario kunt voorkomen: je gaat nadenken over je bedrijfscontinuïteitsplan, over de volgorde waarin je processen moet opstarten. Dan heb je het automatisch over de vele dingen die je moet doen en over de technische beveiligingsmaatregelen die daarbij horen.’ Voor een uitgebreide lijst maatregelen heeft de VNG twee mindmaps opgesteld, die te vinden zijn op haar website. ‘Leg die voor aan je CISO – hoe staat het hiermee? Als we hierin keuzes maken, wat moeten we dan als eerste doen? Dat hoeft niet voor elke organisatie hetzelfde te zijn. Volgens mij is de kunst voor bestuurders en directeuren om in control te komen van de risico’s. Met zo’n vraag kun je die risico’s veel beter doordenken.’ 5 IN WELKE MATE ZIJN DE SERVERS GESEGMENTEERD? Apperloo vergelijkt het segmenteren van servers met het beveiligen van een huis: het wachtwoord is de sleutel en als er daarna geen verdere hindernissen zijn, komt de inbreker helemaal tot in de kluis. Is er wel segmentatie, dan staat de inbreker ook als die binnen is, voor afgesloten deuren. Het is iets waar Hof van Twente nu meer gebruik van maakt tijdens de wederopbouw. Er zijn verschillende niveaus van segmentatie. ‘We ontdekten laatst dat alles van een grote applicatie voor financiën op één plek stond. Bij een hack zou dat allemaal kwijt zijn, dus we zijn nu segmentatie binnen de applicatie aan het aanbrengen. Sommige gemeenten zullen bijvoorbeeld alles van ‘Vaak zijn genomen maatregelen niet afdoende’ het sociaal domein op een plek hebben. De vraag of je moet segmenteren, is een kwestie van afwegen van de risico’s, de kosten, en welke maatregelen je kunt nemen. Je moet het niet te ingewikkeld maken.’ WAT STAAT ER PRECIES 6 IN DE RAPPORTAGE? ‘De ENSIA-zelfevaluatie is een manier om te kijken naar informatiebeveiliging’, zegt Groet. ‘Het is geen garantie dat je niet wordt gehackt; ook een auto met apk-keuring kan een week later met een kapotte accu staan. Doe je genoeg om de risico’s te verminderen? ENSIA is bedoeld om inzage te geven in de mate waarin je voldoet aan de normen voor informatiebeveiliging. Als je de ENSIA-rapportage ziet als een verantwoording richting de raad, dan zou het goed zijn als iemand in een besloten setting toelicht wat de vragen en de bijbehorende antwoorden betekenen.’ 7 WAT VALT ONDER DE BACK-UP? Hof van Twente was ook de werkschijf kwijt na de hack. Apperloo: ‘De grote brongegevens zijn landelijk, dus die krijg je terug. De eigen aantekeningen waren we kwijt en dat is niet fijn, maar gelukkig hebben we de data terug kunnen halen voor een deel van de getroffen vakgebieden als financiën en werk en inkomen. De G-schijf, waar iedereen op werkt, waren we echter helemaal kwijt.’ Vraag je dus af wat er allemaal onder de back-up valt, en of bijvoorbeeld de G-schijf daar ook bij hoort. Het enige lichtpuntje bij deze affaire, zegt Apperloo, is dat ze die schijf net aan het opschonen waren. ‘Wat dat betreft waren we dus in één keer in lijn met de AVG.’ 8 WAT HOUDT JOU ’S NACHTS WAKKER? ‘Wat de grootste zorg is, kan voor elke CISO anders zijn. Maar stel dat die zegt dat het om netwerksegmentatie gaat, of dat de backups niet goed zijn, of dat er geen tweefactorauthenticatie is, dan weet je dat het moet worden opgepakt. Het is een goede vraag om te stellen als je wilt weten wat je volgende week zou kunnen doen.’
24 Online Touch Home