In veilige handen?
Informatie is essentieel voor het functioneren van een provincie. Het is belangrijk dat de provincie die informatie goed beschermt tegen bijvoorbeeld cybercriminelen. Incidenten kunnen grote gevolgen hebben bijvoorbeeld wanneer informatie van burgers of bedrijven ‘op straat’ komt te liggen. De Rekenkamer Oost-Nederland onderzocht of de provincie Gelderland haar informatie voldoende beschermt. De Rekenkamer concludeert in haar rapport ‘In veilige handen?’ dat de provincie effectieve maatregelen neemt om informatie te beveiligen. Tegelijk zijn er verbeteringen mogelijk om ervoor te zorgen dat dit ook in de toekomst zo blijft.
Effectieve maatregelen, aandacht voor bewustwording blijft nodig
Uit praktijktesten van computersystemen en -netwerken blijkt dat de provincie Gelderland meerdere effectieve beschermingsmaatregelen neemt om haar informatie te beschermen. Het is binnen redelijke termijn niet gelukt om door te dringen tot cruciale systemen. De provincie besteedt bovendien op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktesten onderstrepen dat aandacht voor bewustwording nodig blijft.
Beleid en praktijk sluiten niet aan
Tegelijkertijd constateert de Rekenkamer dat het beleid en de praktijk op meerdere – soms cruciale – punten niet op elkaar aansluiten. Zo zijn belangrijke controles niet (goed) uitgevoerd terwijl dit wel in het beleid staat. Ook is het beleid op onderdelen niet actueel. Dit brengt onnodige risico’s voor de informatieveiligheid met zich mee. Daarom beveelt de Rekenkamer aan meer aandacht te besteden aan het borgen van het beleid zodat de uitvoering in lijn met het beleid is en het beleid actueel en volledig blijft.
Beheersing informatieveiligheid voldoet nog niet
Voor een goede beheersing van de informatieveiligheid is het belangrijk dat de provincie beveiligingsmaatregelen monitort en dat de directie en het bestuur zich er periodiek van verzekeren dat de informatieveiligheid op orde is. De Rekenkamer constateert dat de monitoring op onderdelen nog beperkt is en dat directie en bestuur vooral betrokken worden bij incidenten. Gezien de grote impact die incidenten zoals hacks kunnen hebben, beveelt de Rekenkamer aan de monitoring van en verantwoording over informatieveiligheid te verbeteren.
Hoofdconclusie
Op basis van het onderzoek komen we tot de volgende hoofdconclusie:
De provincie Gelderland treft verschillende effectieve maatregelen voor systemen en netwerken om informatie te beveiligen en schenkt aandacht aan de bewustwording van haar medewerkers. Tegelijkertijd constateren we dat beleid en praktijk op meerdere – soms cruciale – punten niet op elkaar aansluiten. Zo zijn belangrijke controles niet (goed) uitgevoerd. Dit brengt onnodige risico’s met zich mee. De beheersing van informatieveiligheid voldoet nog niet op gebied van monitoring en verantwoording.
Deelconclusies
De volgende deelconclusies ondersteunen de hoofdconclusie:
Effectieve maatregelen voor systemen en netwerken, aandacht voor bewustwording blijft nodig
Uit de praktijktesten van de systemen en netwerken blijkt dat de provincie meerdere effectieve beschermingsmaatregelen heeft genomen om weerbaar te zijn tegen cyberaanvallen. Het is binnen redelijke termijn niet gelukt om bij de ‘kroonjuwelen’ te komen noch de rechten van systeembeheer te verwerven. De provincie schenkt op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktest onderstreept dat aandacht voor bewustwording nodig blijft.
Beleid en praktijk sluiten niet op elkaar aan
De afgelopen jaren ging er veel tijd en aandacht naar de uitbesteding van de IT-taken en daardoor minder naar andere zaken rondom informatieveiligheid. Dat zien we ook terug in het beleid en de praktijk die op meerdere – soms cruciale – punten niet op elkaar aansluiten. Enerzijds is het beleid op onderdelen niet uitgevoerd waar dit wel wenselijk is. Zo zijn enkele belangrijke controles niet (goed) gedaan. Anderzijds is het beleid op onderdelen niet actueel. Dit brengt onnodige risico’s met zich mee.
Beheersing informatieveiligheid voldoet nog niet
De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.
Op basis van ons onderzoek doen we de volgende aanbevelingen.
1. Verzoek GS om aandacht te blijven schenken aan het vergroten van de bewustwording van medewerkers rondom informatieveiligheid.
De provincie zet al in op de bewustwording van medewerkers. De praktijktest onderstreept dat aandacht nodig blijft. Het gaat om aandacht voor de algehele bewustwording van alle medewerkers, maar ook om aandacht voor medewerkers die functies vervullen waarin zij in het bijzonder te maken kunnen krijgen met pogingen tot inbreuk of schending van de informatieveiligheid. Denk aan het beheer van algemene mailadressen.
2. Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat het beleid actueel en de uitvoering in lijn met beleid blijft.
Dit betekent enerzijds de uitvoering conformeren aan het beleid (bijvoorbeeld het doen van testen) en anderzijds het beleid actualiseren. Bij de actualisatie is het belangrijk om rekening te houden met ontwikkelingen als de AVG en het hele beleid door te lichten op zaken die niet aansluiten op de praktijk. Een deel van de uitvoering ligt sinds kort bij een externe dienstverlener. Onderdeel van het in lijn brengen van de uitvoering met het beleid is daarmee dat de provincie zicht houdt op nakoming van de gemaakte afspraken. De provincie blijft immers verantwoordelijk voor de informatieveiligheid, ook al ligt de uitvoering deels elders.
3. Verzoek GS de controle op informatieveiligheid te versterken door:
a. te zorgen voor een goede monitoring waardoor zicht ontstaat op de daadwerkelijke uitvoering van beveiligingsmaatregelen.
b. regelmatig testen uit te laten voeren om te bezien of de beveiligings-maatregelen in de praktijk voldoende bescherming bieden.
Om te voldoen aan haar ambitie (‘in control zijn’) en landelijke afspraken is een goed managementsysteem voor informatieveiligheid van belang. Monitoring van maatregelen is hier een onderdeel van. Ook het uitvoeren van testen is daarvoor belangrijk. Testen bieden zicht op het niveau van beveiliging en/of bewustwording. Daarnaast leggen testen kwetsbaarheden bloot. Zo ontstaat inzicht in de maatregelen waarmee je risico’s kunt reduceren. Het is dan ook belangrijk met regelmaat testen te doen. Ook in tijden van verandering moet er zekerheid zijn over dat de informatiebeveiliging op orde is.
4. Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.
De verantwoording kan verbeterd worden door afspraken over rapportage aan directie en rapportage via de P&C-cyclus op te volgen. Verantwoording naar directie en bestuur over informatieveiligheid is noodzakelijk vanwege het belang van informatie voor het functioneren en de continuïteit van de provincie en de mogelijk grote gevolgen wanneer die informatie niet voldoende beschermd of gewaarborgd is.
Cybercriminaliteit kan een grote politieke-bestuurlijke impact hebben en daarmee is het belangrijk dat PS zich er van vergewissen dat de informatieveiligheid op orde is.
5. Verzoek GS een jaar na de behandeling van dit rapport inzicht te geven in de implementatie van de aanbevelingen.
Het rapport is op woensdag 27 februari overhandigd aan de Commissaris van de Koning.
Op 19 juni 2019 was de oordeelsvormende bijeenkomst over het rapport.
PS bespraken het rapport op 3 juli 2019 in de PS-vergadering en besloten alle aanbevelingen over te nemen.