Nieuws

Gemeentelijke informatiebeveiliging: hoe zit het nu?

In September publiceerde de Vlaamse overheid haar rapport omtrent de audit rond gemeentelijke informatiebeveiliging. Het beeld dat we hebben van de ambtenarij (log en stuntelig) lijkt volgens het rapport aan wat nuances toe te zijn.

 

Ik had het genoegen met Alex Ongena van AXS Guard te spreken, een IT-beveiligingsbedrijf dat heel wat gemeenten zoals Haacht, Mol, Linkebeek en vele andere tot klant mag rekenen.

 

Het bedrijf AXS Guard reikt technische infrastructuur voor beveiliging aan, en geeft opleidingen over het gebruik van de apparatuur. Daarnaast wordt het bedrijf ook steeds vaker gevraagd om veiligheidsdoorlichtingen uit te voeren voor haar klanten.

 

Werk aan de winkel

 

Volgens de thema-audit informatiebeveiliging van de Vlaamse Overheid worden er op gemeentelijk niveau heel wat initiatieven ondernomen in het kader van informatiebeveiliging. Het gaat hier dan veelal om bijscholingen, en de sensibilisering van medewerkers.

 

Gemeenten beginnen echter steeds meer externe partners in te schakelen. In één specifiek geval spreekt het rapport zelfs van een penetratietest die extern werd uitgevoerd. Uit die test kwamen redelijk verontrustende resultaten naar voren. Zo wisten ethische hackers namelijk in 24 van de 28 gemeenten toegang te forceren tot de volledige IT-omgeving.

 

Ook Ongena beaamt dat dat geen schitterende resultaten zijn. “Het grootste probleem ligt bij het gebruik van e-mail en phishingtechnologie. Die resultaten zijn uiteraard problematisch aangezien de gemeenten toch ook beschikken over een groot aantal persoonsgegevens zoals je rijksregisternummer en dergelijke.”

 

Gebrek aan samenwerking

 

Zoals vermeld rekent Ongena verschillende Vlaamse gemeenten tot klant, en zit hij dus op de eerste rij wat betreft veiligheidsperikelen bij de gemeentelijke ambtenarij. Zo merkt hij bijvoorbeeld op dat er tussen de gemeenten nauwelijks samenwerking is. “Daardoor moet iedere gemeente vaak het warm water opnieuw uitvinden”, verzucht Ongena. Ongena stelt daarom voor om een soort van informatieplatform op poten te stellen waar gemeente onderling informatie kunnen delen.

 

Ook opleiding en sensibilisering van de werknemers zijn stappen in de goede richting. Ongena: “Zo’n opleiding kan bijvoorbeeld bestaan uit de ambtenaren het onderscheid laten maken tussen goede en slechte of phishingmails.

 

Niet sanctioneren, maar sensibiliseren

 

Allemaal goed en wel, maar wordt de ambtenarij niet gekenmerkt door een starre werkcultuur, gekant tegen alles wat nieuw is? “Alles hangt natuurlijk af van de manier waarop je de bijscholing aanpakt. Met verwijten gooien is een slechte aanpak. Beter is wanneer je de persoon in kwestie een speciale opleiding aanbiedt. Je mag nooit het gevoel geven dat je actief sanctioneert. Als je de bijscholing op een dergelijke manier geeft, zal er ook geen verzet zijn”, aldus Ongena.

 

De technische informatie die dan toch binnen raakt bij de gemeenten, komt er ook vaak via softwarepartners. Volgens Ongena brengt dat ook zijn nadelen met zich mee. “De softwareleveranciers beheren ook het IT-park van de gemeenten, maar de expertise van die betreffende softwarepartner is vaak software op zich, en niet het internetgebeuren. Het is echter erg belangrijk dat je als gemeente op zoek gaat naar experts qua internetbeveiliging.”

 

Een IT-spaghetti

 

Een andere trend die Ongena ook regelmatig opmerkt, is het feit dat er binnen gemeenten nooit echt een verantwoordelijke voor IT wordt aangeduid. Vaak ligt het initiatief bij een IT-ambtenaar die wel zijn best doet, maar die ook op een eilandje zit, en niet over het broodnodige communicatieplatform beschikt om kennis uit te wisselen met zijn collega’s.

 

Ongena wijst ook op de verouderde infrastructuur waarmee gemeenten vaak te kampen hebben. “Veel van die informaticasystemen werden doorheen de jaren op elkaar gebouwd zonder eens van een volledige tabula rasa te beginnen. Daardoor is veel van die IT-infrastructuur nu één groot spaghettikluwen.”

 

Onbekend is…

 

Volgens de audit van de Vlaamse Overheid blijven belangrijke risico’s voor de burgers te weinig beheerst en hebben burgers te weinig garanties dat hun gegevens veilig zijn bij de lokale besturen. Dat is verontrustend aangezien ze toch ook over gevoelige info zoals rijksregisternummers beschikken. Hoe is het dan mogelijk dat zulke inbreuken niet eerder gebeurd zijn?

 

Volgens Ongena blijven die inbreuken onderbelicht. (Slik) “Voor de GDPR was er geen rapporteringsplicht en kon men dergelijke incidenten onder de mat schuiven. Met de intrede van de GDPR is dat nu grotendeels veranderd en moeten zulke inbreuken gemeld worden. Het is dus nu dat we pas echt een concreet zich zullen krijgen op de gemeentelijke gegevensbeveiliging.”

 

’t Stad en de parking

 

Er is wel een verschil qua beveiliging tussen gemeenten en steden. Dat heeft waarschijnlijk met budgetten te maken, maar het reikt veel verder dan dat. In steden heb je vaker een gespecialiseerde informaticadienst, waar men meer mensen met gespecialiseerde kennis kan verenigen. In een gemeente valt de IT-kennis vaak op één en dezelfde persoon, die dan moet optreden als technologische duizendpoot.

 

Hoop aan de horizon

 

Ongena ziet echter een positieve kentering. “Steeds meer klanten zijn zelf vragende partij voor een beveiligingsaudit. Dat is een goede evolutie.” Dat die evolutie met de GDPR te maken heeft, staat volgens Ongena buiten kijf: “Daar ben ik van overtuigd”, antwoordt hij volmondig. “GDPR heeft een belangrijke bewustwording in het leven geroepen, die ook de tendens naar een betere gegevensbeveiliging aanwakkert. Het gaat de goede richting uit.”

ambtenarijbeveiligingbusinesscybersecuritygemeente

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken