Paragraaf 5 Bedrijfsvoering

GR BAR-organisatie

De bedrijfsvoering wordt door de GR BAR-organisatie uitgevoerd. Voor een toelichting op de bedrijfsvoering verwijzen wij u naar de jaarstukken 2020 van de GR BAR-organisatie.
De bijdrage aan onze organisatie voor de bedrijfsvoering ziet er als volgt uit:

Bijdrage Primitieve Begroting 2020 Begroting 2020 na wijziging Realisatie 2020 Verschil
Bijdrage GR BAR-organisatie 30.386.900 31.828.500 30.939.647 888.853

Eenduidige Normatiek Single Information Audit

1. Inleiding/aanleiding:

a) VNG resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente”
Met de VNG resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat uit de zelfevaluatie, een IT-audit, een verklaring van het college van burgemeester en wethouders en een passage over informatieveiligheid in het jaarverslag.

Van BIG naar BIO
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies.
Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.

b) Verantwoordingsverplichting ENSIA
Om aan te tonen dat de gemeente Ridderkerk werkt in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes worden gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken uit de BIO, een horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet).

2. IB-beleid, doelstellingen en afspraken
Gemeenten beschikken over uiterst gevoelige informatie van burgers en hebben zowel de wettelijke als morele plicht om daar zorgvuldig mee om te gaan. Het college van burgemeesters en wethouders van de gemeente Ridderkerk draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor een passend niveau van informatieveiligheid en privacybescherming. 100%-veilig bestaat niet. Risico’s worden doelbewust en proactief geaccepteerd en beheerst. Het college van burgemeester en wethouders van de gemeente Ridderkerk stelt, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders zoals de BIO, de kaders ten aanzien van informatieveiligheid en privacybescherming voor de gemeente vast. De belangrijkste gemeentelijke informatiebeveiligingsdoelstellingen zijn:

  • Het zorgvuldig omgaan met informatie en deze gegevens beschermen tegen onrechtmatige toegang en/of misbruik en/of manipulatie;
  • Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze (persoons)gegevens en de continuïteit van de dienstverlening van de gemeente Ridderkerk;
  • Het voldoen aan wet- en regelgeving;
  • Het beheersen van risico’s.

Het informatiebeveiligingsbeleid van de gemeente Ridderkerk bevat de kaders voor het treffen en onderhouden van een samenhangend pakket van maatregelen teneinde de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) van de informatievoorziening te waarborgen. Het informatiebeveiligingsbeleid van de gemeente Ridderkerk is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).

3. Algemeen beeld en resultaten afgelopen periode
Informatieveiligheid reikt veel verder dan het implementeren van technische informatiebeveiligingsmaatregelen. Het is namelijk een groot misverstand om te denken dat informatieveiligheid iets technisch is.

4. Beheersmaatregelen IB
Hieronder wordt een overzicht gegeven van de belangrijkste beheersmaatregelen die bijdragen aan het realiseren van de IB-doelstellingen van de gemeente Ridderkerk:

a) Het creëren van bewustzijn binnen de organisatie door regelmatig op intranet te communiceren over informatieveiligheid;
b) In 2020 werd op 9 risicovolle gegevensverwerkingen een Data Protection Impact Analyse (DPIA) inclusief een dataclassificatie uitgevoerd;
c) In 2020 hebben de CISO en Privacy Officer 19 verwerkingsovereenkomsten beoordeeld/opgesteld, inclusief het voeren van de gesprekken met leveranciers en externe partijen hierover;
d) Het adviseren bij en het opstellen van het pakket van eisen rondom informatieveiligheid en privacybescherming bij inkoop trajecten.

5. Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico’s)
Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstellingen die zijn gerealiseerd:

a) De Baseline Informatiebeveiliging Overheid (BIO) is per 1 januari 2020 de opvolger Baseline Informatiebeveiliging Gemeenten (BIG). De BIO is vanaf dat moment van het verplichte normenkader voor de informatieveiligheid binnen gemeenten. In 2020 werd het op de BIG gebaseerde informatiebeveiligingsbeleid van de gemeente Ridderkerk herzien en conform de BIO vernieuwd en vastgesteld door het college van burgemeesters en wethouders;
b) b) Het beoordelen en afhandelen van datalekmeldingen en informatiebeveiligingsincidenten (inclusief de vertrouwelijke cyberdreigingen overeenkomstig het Traffic Light Protocol (TLP) afkomstig van de informatiebeveiligingsdienst voor gemeenten (IBD));
c) Het adviseren van het (lijn)management/proceseigenaren over de implementatie van informatiebeveiligings- en privacybeschermende beheersmaatregelen voor hun verantwoordelijkheidsgebieden;
d) De CISO heeft samen met de domeindeskundige medewerkers van de verschillende afdelingen (ICT, HRM, Backoffice, Sociaal Domein, informatiemanagement) over het jaar 2020 de zelfevaluatie ENSIA uitgevoerd.

6. Incidenten(afhandeling)
Cybercriminaliteit heeft de laatste jaren een grote vlucht genomen en geen enkele overheidsorganisatie ontkomt aan pogingen van onbevoegden om informatie buit te maken of om de bedrijfsvoering te verstoren. Cybercriminaliteit is inmiddels “BIG business” en een serieus verdienmodel voor criminelen. Daarmee is een permanente wedloop ontstaan tussen het implementeren en in stand houden van informatiebeveiligingsmaatregelen en de innovatie in het hacken van organisaties. Op hoofdlijnen onderkennen we de volgende typen cyberdreigingen:

  1. Extern en ongericht, bijvoorbeeld grootschalige phishing- en ransomwarecampagnes;
  2. Intern en onbedoeld, bijvoorbeeld fouten van medewerkers met incidenten als gevolg;
  3. Extern en gericht, bijvoorbeeld doelgerichte pogingen om geld of informatie buit te maken;
  4. Intern en gericht, bijvoorbeeld fraude en ondermijnende activiteiten van eigen medewerkers.

Ook gemeenten worden hiervan het slachtoffer en staan bloot aan deze cyberdreigingen. Onlangs nog werd door een externe cyberaanval het computersysteem van de gemeente Hof van Twente plat gelegd en als gevolg daarvan viel de complete dienstverlening van deze gemeente (langdurig) stil.
Ook de gemeente Ridderkerk heeft het afgelopen jaar (2020) te maken gehad met diverse cyberdreigingen, waaronder phishingmails en ransomware dreigingen, enzovoorts. We ervaren binnen de gemeente Ridderkerk een toename van het aantal cybercrime dreigingen/aanvallen.

Helaas betreft het voorkomen van onrechtmatige toegang (door cyberaanvallen/hacking/fraude/ ondermijnende activiteiten) tot onze gegevens en het treffen van passende beveiligingsmaatregelen een bewegend doel, waardoor we nooit “klaar” zijn. De dreigingen, kwetsbaarheden en technische mogelijkheden veranderen namelijk constant. Om dergelijke incidenten gecoördineerd af te handelen hebben we intern een Computer Emergency Response Team (CERT) samengesteld onder aansturing van de CISO.

7. Doorkijk prioriteiten voor 2021 informatieveiligheid
Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling voor 2021. Voor informatieveiligheid zijn deze prioriteiten:

  • De verdere implementatie van de BIO en de bijbehorende verplichte overheidsmaatregelen;
  • De uitvoering van de ENSIA cyclus voor de verantwoording over het jaar 2021;
  • Het op- en laten vaststellen van het volgende onderliggend beleid:
    1. Cryptografiebeleid;
    2. Logging beleid;
    3. Wachtwoordbeleid;
    4. Clear screen clean desk Beleid.
    5.

Naast deze prioritering zal een groot deel van de beschikbare capaciteit worden besteed aan “reguliere” werkzaamheden zoals:

  • Het afhandelen van cybercrime dreigingen (IBD tlp meldingen, phishingmails en ransomware) en datalekken (zoals vermiste telefoons enzovoorts);
  • Het treffen en onderhouden van preventieve en correctieve beveiligingsmaatregelen, waaronder het installeren van beveiligingspatches op het moment dat deze naar aanleiding van een kwetsbaarheid door de leverancier beschikbaar worden gesteld;
  • Het adviseren van het college van burgemeester en wethouders van de gemeente Ridderkerk, de BAR-directie, de managers en medewerkers binnen de afdelingen;
  • Het opstellen, evalueren en/of onderhouden van verwerkersovereenkomsten, beleid, procedures en beveiligingsmaatregelen;
  • Bewustzijn creëren, oftewel het “scherp” houden van medewerkers op het gebied van informatieveiligheid