In veilige handen?
Informatie is essentieel voor het functioneren van een provincie. Het is belangrijk dat de provincie die informatie goed beschermt tegen bijvoorbeeld cybercriminelen. Incidenten kunnen grote gevolgen hebben bijvoorbeeld wanneer informatie van burgers of bedrijven ‘op straat’ komt te liggen. De Rekenkamer Oost-Nederland onderzocht of de provincie Overijssel haar informatie voldoende beschermt. De Rekenkamer concludeert in haar rapport ‘In veilige handen?’ dat de provincie effectieve maatregelen neemt om informatie te beveiligen. Tegelijk zijn er verbeteringen mogelijk om ervoor te zorgen dat dit ook in de toekomst zo blijft.
Effectieve maatregelen, aandacht voor bewustwording blijft nodig
Uit praktijktesten van computersystemen en -netwerken blijkt dat de provincie Overijssel meerdere effectieve beschermingsmaatregelen neemt om haar informatie te beschermen. Het is binnen redelijke termijn niet gelukt om door te dringen tot cruciale systemen. De provincie besteedt bovendien op verschillende manieren aandacht aan het vergroten van de bewustwording rondom informatieveiligheid bij haar medewerkers. De praktijktesten onderstrepen dat aandacht voor bewustwording nodig blijft.
Beleid en praktijk sluiten niet aan
Tegelijkertijd constateert de Rekenkamer dat het beleid en de praktijk op meerdere – soms cruciale – punten niet op elkaar aansluiten. Zo zijn belangrijke controles niet (goed) uitgevoerd terwijl dit wel in het beleid staat. Ook is het beleid op onderdelen niet actueel. Dit brengt onnodige risico’s voor de informatieveiligheid met zich mee. Daarom beveelt de Rekenkamer aan meer aandacht te besteden aan het borgen van het beleid zodat de uitvoering in lijn met het beleid is en het beleid actueel en volledig blijft.
Beheersing informatieveiligheid voldoet nog niet
Voor een goede beheersing van de informatieveiligheid is het belangrijk dat de provincie beveiligingsmaatregelen monitort en dat de directie en het bestuur zich er periodiek van verzekeren dat de informatieveiligheid op orde is. De Rekenkamer constateert dat de monitoring op onderdelen nog beperkt is en dat directie en bestuur vooral betrokken worden bij incidenten. Gezien de grote impact die incidenten zoals hacks kunnen hebben, beveelt de Rekenkamer aan de monitoring van en verantwoording over informatieveiligheid te verbeteren.
Op basis van het onderzoek komen we tot de volgende hoofdconclusie.
De provincie treft verschillende effectieve maatregelen voor systemen en netwerken om informatie te beveiligen en schenkt aandacht aan de bewustwording van haar medewerkers. Tegelijkertijd constateren we dat het beleid en de praktijk op meerdere – soms cruciale – punten niet op elkaar aansluiten. Zo zijn belangrijke controles niet uitgevoerd. Dit brengt onnodige risico’s voor de informatieveiligheid met zich mee. De beheersing van informatieveiligheid voldoet nog niet op gebied van monitoring en verankering in de organisatie.
Op basis van ons onderzoek doen we de volgende aanbevelingen.
1. Verzoek GS aandacht te blijven schenken aan het vergroten van bewustwording van medewerkers rondom informatieveiligheid. Besteed hierbij extra aandacht aan medewerkers die werken met vertrouwelijke informatie.
De provincie zet al in op de bewustwording van medewerkers. De praktijktest onderstreept dat aandacht nodig blijft. Het gaat om aandacht voor de algehele bewustwording van alle medewerkers, maar ook om aandacht voor medewerkers die functies vervullen waarin zij in het bijzonder te maken kunnen krijgen met pogingen tot inbreuk of schending van de informatieveiligheid, bijvoorbeeld medewerkers die verantwoordelijk zijn voor ‘kroonjuwelen’ of voor het beheren van algemene provinciale e-mailadressen.
2. Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat de uitvoering in lijn met het beleid is en het beleid actueel en volledig blijft.
Dit betekent enerzijds de uitvoering conformeren aan het beleid en anderzijds het beleid actualiseren en aanvullen, bijvoorbeeld met beleid voor patching. Bij de actualisatie is het belangrijk het hele beleid door te lichten op zaken die niet aansluiten op de praktijk.
3. Verzoek GS vaart te maken met de implementatie van een Information Security Management System. Besteed daarbij in ieder geval aandacht aan de onderdelen ‘check’ en ‘act’ uit de Plan-do-check-act-cyclus.
Door met name de structurele monitoring (check) te verbeteren en het opvolgen van verbetermaatregelen (act) te bewaken, kan informatieveiligheid beter beheerst worden.
4. Verzoek GS regie te houden op informatieveiligheid door dit bij (externe) dienstverleners actief te (laten) controleren en de opvolging te monitoren.
Vanuit haar rol mag verwacht worden dat de provincie een vinger aan de pols houdt en periodiek laat testen of de informatieveiligheid in de praktijk op orde. Het is van belang dat de provincie bij externe dienstverleners ook zelf opdrachtgever is voor dergelijke testen dan wel als bestuur (van de bedrijfsvoeringsregeling) de opdracht geeft.
5. Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.
De verantwoording kan verbeterd worden door afspraken over rapportage aan directie en rapportage via de P&C-cyclus op te volgen. Verantwoording naar directie en bestuur over informatieveiligheid is noodzakelijk vanwege het belang van informatie voor het functioneren en de continuïteit van de provincie en de mogelijk grote gevolgen wanneer die informatie niet voldoende beschermd of gewaarborgd is. Cybercriminaliteit kan een grote politieke-bestuurlijke impact hebben en daarmee is het belangrijk dat PS zich er van vergewissen dat de informatieveiligheid op orde is.
6. Verzoek GS de capaciteit en verankering van informatieveiligheid in de organisatie in overeenstemming te brengen met de ambities.
Voor blijvende inzet op bewustwording, uitvoering en doorontwikkeling van het beleid, monitoring en het realiseren van ambities is extra inzet nodig. Dit betekent zowel voldoende menskracht als een specialistische rol binnen de organisatie. Daarbij kan in aansluiting op de Baseline Informatiebeveiliging Overheid gedacht worden aan een (chief) information security officer. Op dit moment kent de provincie een dergelijke functie niet.
7. Verzoek GS een jaar na de behandeling van dit rapport inzicht te geven in de implementatie van de aanbevelingen.
Het rapport is op woensdag 27 februari overhandigd aan de Commissaris van de Koning.
Op 27 maart ontvingen wij de bestuurlijke reactie van Gedeputeerde Staten.
Op 29 mei werd het rapport behandeld in een Statentafel. Deze bijeenkomst is hier terug te luisteren.
Provinciale Staten besloten op 12 juni de aanbevelingen over te nemen.
Via het jaarverslag 2019 en de monitor Overijssel 2020-II gaven GS op de meeste aanbevelingen een terugkoppeling. In een bijlage bij ons jaarverslag 2020 (p. 3, 4) gaven we per aanbeveling aan wat de inhoudelijke terugkoppeling van GS was.