Netherlands

Loading

Weer groot cyberincident bij gemeente

Blog

En weer een groot incident bij een gemeente. Ditmaal bij de Gemeente Almelo. De gemeenteraad van Almelo is gistermiddag geïnformeerd. Ook de gemeenten Tubbergen, Dinkelland en Wierden, die eveneens gebruik maken van het Werkplein in Almelo, zijn op de hoogte gesteld van het lek. Het Werkplein Twente, een samenwerkingsverband tussen UWV en gemeenten, probeert mensen aan een baan te helpen. De inbraak in het systeem is min of meer bij toeval ontdekt. De hoeveelheid dataverkeer wordt in Almelo niet structureel in de gaten gehouden.

Tijd voor actie bij Gemeenten! Er zijn specifieke Cyber verzekeringen voor Gemeenten in de markt. Hier adviseren we u graag over. Maar we beginnen bij de basis welke stappen kan u zetten om de cyberrisico's te verminderen? Het begint altijd met inzicht!

Wat zijn Cyberrisico’s?
Onder cyberrisico’s verstaan wij als Aon alle bedreigingen gericht op, of samenhangend met de digitale productiefactoren en –belangen van Gemeenten:

  • Onder digitale productiefactoren verstaan wij alle infrastructuur, applicaties en data die uw organisatie nodig heeft om ongestoord te kunnen functioneren;
  • Onder digitale belangen verstaan wij alle belangen gemoeid met het ongestoord functioneren van uw organisatie. Denk aan de beschikbaarheid, veiligheid en integriteit van uw digitale productiefactoren (en in dat verlengde belangen als privacy, financiële zekerheid, voldoen aan wet- en regelgeving, naleven van contractafspraken en algemene voorwaarden, (bestuurders)aansprakelijkheid e.d.).
Cyberrisico’s behelzen in onze optiek nadrukkelijk meer dan alleen opzettelijk veroorzaakte (=cybercrime) risico’s: juist ook risico’s die het gevolg zijn van (onbedoelde) menselijke fouten of technisch falen vallen binnen onze benadering.

Cyberrisicomanagement is vanuit onze zienswijze meer dan cybersecurity c.q. het reduceren van de kans op cyberrisico’s door middel van technische beveiligingsmaatregelen. Gegeven de aard en verschijningsvormen van cyberrisico’s, is het een feit dat elke organisatie wordt geconfronteerd met grotere en minder grote cyberincidenten. Juist om die reden is aandacht nodig voor de te verwachten impact van serieuze cyberincidenten.

Onze adviespraktijk leert ons dat het veel organisaties nog ontbreekt aan in- en overzicht in de (potentiële) financiële impact c.q. schade als gevolg van cyberincidenten. Dat terwijl dit inzicht essentieel is voor het adequaat beheersen en financieren van cyberrisico’s.

Welke cyberrisico’s spelen voor Gemeenten?
Automatisering en digitalisering vormen een strategische noodzaak voor gemeenten. Als alles volgens planning verloopt, is de Rijksoverheid in 2017 volledig digitaal. Denk hierbij aan het digitaal burgerloket, het toenemend gebruik van sociale kanalen (Twitter, Facebook, WhatsApp) voor bijvoorbeeld webcare en informatieverspreiding, maar ook de verwerking en opslag van belangrijke documenten en persoonsgegevens van inwoners.

De integriteit en continuïteit van uw processen zijn van groot belang, en het onderwerp kent ook juridische en financiële aspecten. Diverse staffunctionarissen en afdelingen houden zich daarom met cybercrime en cybersecurity bezig, maar onze ervaring leert dat slechts weinig personen een goed totaalbeeld hebben.

De kans op een incident, als ook de gevolgen van een incident, worden hierdoor sterk vergroot. De traditionele verzekeringen bieden lang niet altijd dekking voor de gevolgen van cyberincidenten, zoals systeemuitval of dataverlies.

Cyber Risico’s met betrekking tot continuïteit (ICT afhankelijkheid)
Met de toenemende afhankelijkheid van ICT, dienen Gemeenten evenredig te investeren in het beperken van risico’s die samenhangen met digitalisering. Om deze doelen te kunnen realiseren is adequate ICT van grote waarde voor een goede en efficiënte bedrijfsvoering. Een continue beschikbaarheid van de ICT-voorzieningen en, daarnaast, het ondersteunen van medewerkers en het beschikbaar maken van informatie voor en communicatie met burgers door middel van digitale toepassingen zijn hierbij van groot belang.

De vragen die Gemeenten zich in dit verband dient te stellen, zijn:

  • Welke digitale assets zijn cruciaal voor onze bedrijfsvoering?
  • Welke cyber risico’s spelen met betrekking tot deze digitale assets?
  • Daarbij ook rekening houdend met afhankelijkheid van eventuele leveranciers
  • Heb ik zicht op de financiële consequenties als ik bovenstaande scenario’s doorreken?
  • Kan en/of wil ik deze financiële consequenties dragen?

Cyber risico’s met betrekking tot Data

Privacy van betrokkenen

Het zit in de aard van dienstverlening van Gemeenten dat zij over veel en zeer privacy gevoelige en strategisch belangrijke gegevens beschikt.

Door verschillende landelijke ontwikkelingen is er een groeiende hoeveelheid privacygevoelige informatie bij gemeenten komen te liggen. Tevens wisselen gemeenten steeds vaker gegevens uit met (keten)partners. De gemeente, als verantwoordelijke, dient passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De Meldplicht Datalekken heeft daarom grote impact op uw gemeente.

Deze veranderingen binnen het gemeentelijk domein met betrekking tot de verwerking van persoonsgegevens zullen de volle aandacht van het CBP hebben. Zo heeft het CBP in 2015 al onderzoek gedaan naar de beveiliging van persoonsgegevens door gemeenten.

Privacy eigen medewerkers

Ook de data van eigen medewerkers dienen goed beschermd te worden. Gezien de aard van de (sommige) functies binnen een gemeente is het absoluut niet wenselijk dat NAW-gegevens of meer kritische data zoals HR of salaris gegevens openbaar zouden worden. Naast het feit dat Gemeenten op basis van goed werkgeverschap goed dient om te gaan met de gegevens van haar medewerkers, dient voorkomen te worden dat haar medewerkers op enigerlei wijze chantabel zouden kunnen worden.

Reputatie

Het behoeft geen uitleg dat juist de Publieke sector onder een vergrootglas ligt als het gaat om issues omtrent data en privacy. Onderstaand slechts enkele voorbeelden van cyber incidenten die tot reputatieschade hebben geleid:

  1. http://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-gemeenten-onzorgvuldig-bij-uitwerking-privacyregels-sociaal-domein
  2. http://www.gemeente.nu/Organisatie/Nieuws-in-Organisatie/2016/4/Zorggegevens-Amersfoorters-op-straat-2789217W/
  3. http://www.nrc.nl/nieuws/2014/11/19/geheime-documenten-op-straat-door-groot-veiligheidslek-bij-de-politie
  4. http://www.ad.nl/ad/nl/1012/Nederland/article/detail/4292966/2016/05/02/Verdwenen-USB-stick-brengt-GGD-in-verlegenheid.dhtml
  5. http://www.ad.nl/binnenland/enorme-hack-bij-gemeente-almelo-waarschijnlijk-persoonsgegevens~a5496f8c/

Financiële schade

Bij een data incident zal ook financiële schade optreden. Denk hierbij aan opsporen en dichten van bijvoorbeeld een datalek. Kosten voor datarecovery en extra beveiliging. De stilstand van de organisatieprocessen en medewerkers die hun werk niet kunnen uitoefenen.

Daarnaast zal alles in het werk dienen te worden gesteld om de betrokken op een juiste manier te informeren (PR- en notificatiekosten).

Tot slot kan een data incident leiden tot een bestuurlijke boete.

Volgens recent onderzoek van Deloitte is de jaarlijkse schade gerelateerd aan Cyber incidenten per jaar EUR 10 miljard. EUR miljard 2.4 hiervan zit in de publieke sector.

Dit zijn kosten op het gebied van bedrijfsstilstand, juridische boetes, aansprakelijkheidstellingen, datarecovery, notificatie van betrokkenen, etc.

Uit het door Aon gesponsorde onderzoek (Ponemon 2015) blijkt dat de gemiddelde kosten bij een cyber incident (met een gemiddelde per incident van 23.000 records) liggen tussen EUR 141 en EUR154 per record.

Privacy Impact Analyse
Bijna bij alle gesprekken die we nu bij klanten hebben, zien we dat (mede door de Meldplicht Datalekken en de GDPR) het bewustzijn is gegroeid dat risicomanagement op het gebied van data en privacy niet alleen bij ICT ligt. Door middel van onze Privacy Impact Analyse (PIA) toetsen wij of Gemeenten op de juiste wijze omgaan met privacygevoelige gegevens en welke risico’s u loopt. Wij toetsen ook uw (voorgenomen) beleid en de gewijzigde wetgeving van de Wet bescherming Persoonsgegevens en eventueel andere wetgeving welke van toepassing is.

Een PIA legt de risico’s bloot die te maken hebben met privacy. Door middel van een PIA kan op systematische wijze inzichtelijk worden gemaakt of er een kans is dat de privacy de betrokkene schaadt. Op basis van de uitkomsten van de PIA kunnen Gemeenten gericht acties ondernemen om deze risico’s te verminderen.

Bij een PIA wordt o.a. ingegaan op vragen als:

  • Weet u welke gevoelige gegevens u beheert en verwerkt?
  • Is het duidelijk wie verantwoordelijk is voor de verwerking van de gegevens?
  • Heeft uw opslag van persoonsgegevens een gerechtvaardigd doel?
  • Weet u of deze gegevens veilig zijn en kunnen ze bij verlies worden teruggehaald?
  • Weet u of deze gegeven encrypted zijn?
  • Weet u welke systemen en applicaties van vitaal belang zijn voor de opslag en verwerking van deze gegevens?
Onze adviespraktijk leert ons dat het veel organisaties nog ontbreekt aan in- en overzicht in de (potentiële) impact c.q. schade als gevolg van cyberincidenten. Dat terwijl dit inzicht essentieel is voor het adequaat beheersen en financieren van privacy en cyberrisico’s.

Tijd voor actie!

Wij staan u graag bij.

Sjaak Schouteren | Manager Cyber Risk Solutions