Hoe zag 2015 er uit?

Informatieveiligheid in 2015: de cijfers

• 99: 99 besturen uit Vlaams-Brabant ondertekenden voor 01/07/2015 de intentieverklaring van Stad Tienen om VERA aan te duiden voor een risicoanalyse m.b.t. informatieveiligheid.
• 43: 43 besturen gunden effectief de opdracht aan VERA voor 01/01/2016 waarvan
  • 26 gemeentebesturen
  • 12 OCMW-besturen
  • 5 politiezones
• 38: Momenteel zijn we reeds aan de slag bij 38 besturen.
• 5: Enkele besturen hebben geduld moeten oefenen. De komende weken komen zij aan bod.
• 19: Intussen hebben reeds 19 besturen een informatieveiligheidsbeleid en –plan op tafel liggen.
• 16: 16 besturen hebben er reeds uitdrukkelijk voor gekozen dat we hen ook begeleiding bij de uitvoering van het informatieveiligheidsplan. Dit is het zogenaamde 'vervolgtraject'.
• 24: Van de 38 besturen waar onze veiligheidsconsulenten aan de slag zijn, hebben er 24 besturen ons ook officieel aangesteld bij de VTC of de KSZ.
• 1 – 2 – 2,5: Einde 2014 startten we deze dienstverlening met 1 veiligheidsconsulent. Begin 2015 volgde een 2de veiligheidsconsulent. Dit bleek echter nog niet genoeg om aan de vraag tegemoet te komen en daarom is er sinds half 2015 beroep halftijds gedaan op Sarah Smolders, de veiligheidsconsulent van de provincie Vlaams-Brabant. In april 2016 zal zij de stap nemen om voltijds ons team te versterken

Informatieveiligheid in 2015: in de media

Het aantal begeleide besturen is exponentieel toegenomen in 2015. Dat betekent ook meer projecten, meer ervaring en meer aandacht.

OCMW-visies oktober 2015 – tijdschrift voor OCMW-secretarissen

Titel? Gemeente & OCMW: één samenwerking, één veiligheidsconsulent?

Thema? Samenwerking tussen OCMW en gemeente op vlak van informatieveiligheid.

Getuigenis I? Elisabeth Dedecker, OCMW-secretaris van Steenokkerzeel

Focus?

• Het belang van samenwerking tussen beide besturen wegens optimaal gebruik van infrastructuur en knowhow van het gemeentebestuur.
• Mogelijk dankzij een beheersovereenkomst van het OCMW met het gemeentebestuur inzake ICT
• Waarom een externe veiligheidsconsulent? Meer vaktechnische kennis dan eigen mensen. Vermits er al een zeer goede samenwerking met VERA was lag de keuze voor VERA voor de hand.

Getuigenis II? Gilles Kempgens, van de POD MI, de controlerende overheidsinstantie van OCMW’s op het gebied van oa informatieveiligheid

Focus?

• Het belang van externen, gezien hun kanalen om informatie te verspreiden
• Nood aan aandacht voor de eigenheid van de organisatie en regelmatige aanwezigheid ter plaatse.

Impuls december 2015 – tijdschrift voor gemeentesecretarissen

Titel? Informatieveiligheid in Tienen

Thema? De implementatie van informatieveiligheid binnen het stadsbestuur van Tienen. Getuigenis? Wendi Goethuys, ICT-verantwoordelijke stad Tienen

Focus?

• 3 fases om een informatieveiligheidsbeleid en –plan op maat uit te werken
• Informatieveiligheidsplan: vooral aandacht voor inventarisatie en naleving van de wettelijke verplichtingen zoals de algemene machtigingen van de VVSG en Bibnet.
• Het belang van de aanwezigheid van de veiligheidsconsulent bij het bestuur. Het bestuur kan dan vragen, opmerkingen en bedenkingen overmaken aan de veiligheidsconsulent, en wij kunnen vice versa proactief vragen en opmerkingen formuleren aan het bestuur.
• De belangrijke rol van de veiligheidsconsulent bij het implementeren van nieuwe projecten. Bijv. de overeenkomst die getekend moest worden met APCOA, een organisatie die de parkeerretributie verzorgt. Hier gebeurt er informatie-uitwisseling met bijvoorbeeld het Verenigd Koninkrijk en dan duiken vragen op als ‘welke maatregelen moeten genomen worden ter bescherming van die gegevens?’ en ‘ wie is hier verantwoordelijk voor deze verwerking?’. Typisch een taakje voor de veiligheidsconsulent.

VC 2015 informeert

Het behoort tot onze kerntaken om de lokale besturen te informeren en kennis te delen. Dat geldt natuurlijk ook voor informatieveiligheid. Daarom organiseerden we op 8 december 2015 een infodag informatieveiligheid en -beheer. In de voormiddag behandelden we informatieveiligheid, enkel voor de besturen waar wij actief zijn. Na de middag waren alle besturen van Vlaams-Brabant welkom voor het onderdeel informatiebeheer. We lichten vanzelfsprekend enkel de topics van de voormiddag toe.

Enquête omtrent het gebruik van paswoorden

In november stuurden we een enquête uit naar alle besturen waar wij actief zijn als veiligheidsconsulent: gemeentebesturen, OCMW’s en politiezones. In totaal kregen we 720 antwoorden binnen.

Enkele opvallende vaststellingen volgens Johan Soons i.v.m.:

• Wachtwoordsterkte: bij gemeentes zwak tot matig – bij politiezones zelfs zwak - bij OCMW’s meestal sterke wachtwoorden
• Wijzigen van wachtwoorden: bij gemeentes wordt dit vaak beheerd door de IT-er, terwijl dit toch heel persoonlijk zou moeten zijn - bij politiezones is het nog lang niet ingeburgerd – bij OCMW’s wordt wijzigen vooral technisch door de systemen afgedwongen.
• Schermbeveiliging: bij gemeentes is het nog lang niet overal ingeburgerd - bij politiezone bijna altijd afgedwongen door de systemen - ook bij OCMW’s vaak gebruikt maar nog niet overal. Dit zou toch een automatisme moeten zijn want anders kan iedereen met jouw login verderwerken…
• Invullen van persoonlijke gegevens op websites: bijna niemand heeft aandacht voor het feit of de site beveiligd is met een certificaat. Dit is nochtans belangrijk om op een veilige manier vertrouwelijke gegevens te verwerken op een website.
• Gebruik van wifi: vooral gebruikt om informatie te zoeken – minder voor e-mail en andere toepassingen

Elk bestuur kan de resultaten opvragen bij Johan, Sarah of Margot. Zij lichten deze met veel plezier toe!

Why websecurity matters

Philippe De Ryck, medewerker van DistriNet, lichtte met allerlei praktijkvoorbeelden het belang van toe:

• https ipv http om network sniffing & het doorsturen naar andere dan de verwachte pagina te voorkomen
• geen http en https samen gebruiken om ssl-striping te voorkomen: dan vervangt de aanvaller de https-url door een http-url om je login en paswoord te achterhalen. De enige oplossing is enkel https-urls te gebruiken omdat de server dan enkele https-urls verwacht.
• sql-injection, waarbij de aanvaller informatie ontfutselt uit de databank of deze helemaal doet verdwijnen. Dit voorkomen is niet zo moeilijk, maar hiervoor dient de ontwikkelaar wel een inspanning te doen.

Vlaamse Toezichtscommissie (VTC)

Anne Teugels, adviseur bij VTC, lichtte heel wat zaken toe:

• de opdracht van de VTC, zoals o.a. controle van informatiestromen die uitgaan van een Vlaamse instantie, waaronder ook lokale besturen indien de betreffende bron wordt beheert door een Vlaamse instantie.
• het begrip persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare persoon. Dit beperkt zich dus niet tot de privacy en persoonlijke levenssfeer.
• de taken van een veiligheidsconsulent, adhv artikel 9 uit het e-governmentdecreet van juli 2008. Ze benadrukte nogmaals dat een veiligheidsconsulent voor een gemeente minimaal 4u per week moet presteren en indien gemeente en OCMW samenwerken is dit zelfs minimaal 6u voor beide besturen samen. Ze merkte hier ook nog op dat er geen onverenigbaarheid ivm andere taken mag zijn die de veiligheidsconsulent uitvoert.

Classificatie informatie

Sarah Smolders toonde aan dat informatie in een classificatiemodel gegoten kan worden waarbij we langs de ene kant bekijken of informatie nuttig, belangrijk of kritisch is en langs de andere kant of de informatie publiek, intern of vertrouwelijk is. Ook hier is de veiligheidsconsulent de geschikte persoon om de informatie op een correcte manier te evalueren en dus te classificeren.