Hoe gaat uw gemeente om met de verplichte eisen van de BIO, de Baseline Informatiebeveiliging Overheid? Onze ervaring leert dat de meeste gemeenten de BIO minimaal invullen om ‘het vinkje’ te kunnen zetten. Maar hiermee blijft uw organisatie kwetsbaar voor ransomware en andere digitale aanvallen. Zo’n aanval kan grote schade tot gevolg hebben. Lees hier hoe u uw informatiebeveiliging goed inricht en hoe Secura hierbij kan helpen.
BIO voor gemeentes: een invuloefening of écht veilig?
Datum:
16 januari 2023 |
Author(s):
Bram Blaauwendraad - Security Consultant
16 januari 2023 |
Author(s):
Bram Blaauwendraad - Security Consultant
Additionele eisen
Gemeenten in Nederland moeten sinds 1 januari 2020 voldoen aan de BIO. Dit normenkader is van toepassing op alle overheidsorganisaties en stelt meer dan honderd additionele informatiebeveiligingseisen verplicht boven op de ISO/IEC 27002 maatregelen, afhankelijk van het zogenaamde basisbeveiligingsniveau (BBN 1, 2 of 3) waaraan de organisatie moet voldoen. De BIO hanteert het ‘past-toe-of-leg-uit’ principe, waarbij aan alle normen moet worden voldaan tenzij de organisatie hier een gegronde reden voor heeft.
Uit onze ervaring blijkt dat organisaties in de praktijk vaak wel aan de BIO voldoen, maar niet daadwerkelijk veilig zijn. De BIO wordt toegepast met een minimale invulling om ‘het vinkje’ te kunnen zetten. Zo wordt bijvoorbeeld logging verzameld maar hier niet naar gehandeld en blijven veel beleidsdocumenten een papieren werkelijkheid. Dit is niet geheel onbegrijpelijk, want voldoen aan de BIO is een wettelijke verplichting, maar er is vooralsnog geen externe certificeringsverplichting. Daarnaast brengt implementatie natuurlijk financiële kosten met zich mee.
Digitale veiligheid
De BIO-verplichting heeft echter een goede reden. Het aantal en de complexiteit van digitale aanvallen neemt de laatste jaren sterk toe. Ransomware aanvallen zijn orde aan van de dag en succesvolle aanvallen als gevolg van onvoldoende digitale weerbaarheid van gemeenten, kunnen leiden tot negatieve media-aandacht, zoals bij gemeente Antwerpen, gemeente Buren en zelfs juridische gevolgen bij het Hof van Twente (gehackt met wachtwoord "welkom2020").
Hiernaast betekent ‘voldoen aan de BIO’ ook een stukje goed huisvaderschap, en kan het belanghebbende tonen dat digitale veiligheid serieus genomen wordt. De uitdaging is dus om te voldoen aan de BIO als bijproduct van een goed informatiebeveiligingsbeleid, wat tevens pragmatisch is ingericht om genoeg draagvlak binnen de organisatie te hebben.
Mens, proces en techniek
Hoe richt je de BIO pragmatisch in en niet als compliance verplichting? In de ogen van Secura kan dit door kritisch te kijken naar mens, proces en techniek:
- Mens: bewustzijnstraining hoeft het personeel niet tot last te zijn maar maakt hen tot wapen in de digitale strijd;
- Proces: beleid en processen dienen inzicht en controle te geven over de informatiebeveiliging;
- Techniek: beveiligingsmaatregelen en onderzoek dienen de digitale weerbaarheid van de organisatie te bevorderen.
Als onafhankelijke cybersecurity expert kan Secura u helpen bij alle onderwerpen van zowel de ISO/IEC 27002 als de additionele BIO maatregelen om volwassenheid inzichtelijk te maken en te helpen om deze effectief te implementeren.
BIO onderwerpen | Secura dienstverlening |
|---|---|
| Beleid organisatie | Om vast te stellen waar uw organisatie staat, begint Secura met een Security Maturity Assessment. Waar de GAP-analyse van het VNG enkel de additionele BIO maatregelen toetst, beoordeelt Secura de volwassenheid ook ten opzichte van de (verplichte) ISO/IEC 27002 maatregelen in één overzichtelijk rapport, ondersteund door grafieken. Hierna kan Secura ondersteuning bieden bij het inrichten van de nog ontbrekende delen van de BIO middels implementation support. Let op: De BIO is momenteel gebaseerd op de 2013 versie van de ISO/IEC 27002 maar dit zal in de nabije toekomst aangepast worden. Secura kan de organisatie ook toetsen tegen de ISO27002:2022 om extra werk en kosten in de toekomst te voorkomen. |
| Risicobeoordeling | Conform de BIO, steunt informatiebeveiliging op risicomanagement om tot de juiste beveiliging van informatie en informatiesystemen te komen binnen de context en de doelstellingen van de organisatie. Hiertoe moet een degelijke risicoanalyse worden uitgevoerd waarbij de context van de organisatie, het unieke profiel, evenals de risicobereidheid in acht worden genomen. Door middel van Risk Assessments kan Secura ondersteuning bieden tijdens alle stappen van het risicobeoordelingsproces: van de risicobeoordelingsmethode tot het analyseren van de risico’s en het wegen/prioriteren van de uitkomst. |
| Awareness en gedrag gericht op leren, motiveren en faciliteren. | De menselijke factor is essentieel om uw organisatie en uw digitale assets te beschermen. In de praktijk zien we vaak dat kennis van medewerkers niet overeenkomt met bewustzijn omdat mensen door meerdere factoren zijn gedreven. Secura levert een security awareness en gedragsveranderings-programma en gerelateerde services en trainingen om de cyberweerbaarheid van uw werknemers te verhogen. Hierbij richten wij ons niet alleen op kennis (awareness), maar ook het verhogen van de motivatie en het beter faciliteren van uw organisatie. |
| Technische veiligheid | Aanvallers maken vaak gebruik van technische kwetsbaarheden, zowel om binnen te komen als om maximale schade aan te richten. Door periodiek uw eigen netwerk, systemen en applicaties gecontroleerd te laten onderzoeken kunnen kwetsbaarheden geïdentificeerd en preventief verholpen worden. Ransomware is daarbij een van de grootste dreigingen waar gemeentes van wakker liggen. De eerste stap hierin is de omgeving in kaart te brengen. Dit wordt gedaan middels Threat Modeling. Hierbij kan ook worden gekeken naar de fysieke beveiliging van de omgeving. Hierna kunnen externe scans worden uitgevoerd, gevolgd door applicatieonderzoeken en interne penetratietests. Tijdens deze tests kan expliciet aandacht worden besteed aan zaken als backups en kwetsbaarheid voor ransomware, waarbij rekening wordt gehouden bij de tactics, techniques and procedures (TTPs) van moderne ransomware-groepen. Dit alles wordt uitgevoerd door Security Specialisten van de Public marktgroep binnen Secura, die bekend zijn met de unieke uitdagingen van de publieke sector. |
Secura kan u helpen met de BIO, maar niet volledig ontzorgen. Voldoen aan de BIO vereist betrokkenheid en handelen door de gemeente zelf. Bij de dagelijkse werkzaamheden moet de organisatie immers zelf de verantwoordelijkheid voor de BIO dragen. Mocht u daarbij capaciteit tekortkomen, dan kan onze CISO-as-a-Service dienst uitkomst bieden.
Voorkomen én genezen
Secura richt zich op het onafhankelijk toetsen van en adviseren over informatiebeveiliging. Cybersecurity is echter een complex en dynamisch werkvlak en het lukt aanvallers in de praktijk toch om soms in te breken. U dient daarom altijd met dit scenario rekening te houden, het zogenaamde ‘assume breach’-principe. Op zo’n moment is het van vitaal belang dat een organisatie zowel voldoende detectiecapaciteit heeft, als security experts die 24/7 beschikbaar zijn om impact van een succesvolle aanval te beperken en schade te voorkomen.
Daarom werkt Secura samen met Eye Security, een toonaangevende dienstverlener op het gebied van cybersecurity, gespecialiseerd in monitoring, verzekering en incident response. Eye Security levert een complete oplossing om uw systemen en netwerken te beschermen en neutraliseert een cyberaanval binnen vier uur.
De dienstverlening van Eye Security en Secura zijn complementair aan elkaar, waardoor gemeenten hun BIO-uitdagingen kunnen afdekken als beide bedrijven samen worden ingeschakeld. Daarom zeggen wij graag samen tegen alle gemeenten: "welkom2023"!