Deze week lanceren we vanuit V-ICT-OR samen met onze community het platform “Quick Responsive Community” om bij cybercalamiteiten elkaar veel sneller op de hoogte te brengen.
Één van de vele voorbeelden binnen een lokale overheidscontext waarbij de private en de publieke sector de handen in elkaar dienen te slaan – en wel dringend. Met het groeiende aantal cyberaanvallen en datalekken dat organisaties treft - en de voorspelling dat zo goed als elke organisatie op elk ogenblik een ernstig incident kan ondergaan - zullen ook onze lokale overheden de prioriteit rond “cyberweerbaarheid en duurzaamheid” in de komende periode dienen te verhogen. 'Cyber' verschijnt momenteel al in de top drie van de bedrijfsrisico's.
Volgens het Gartner 2019 CIO Rapport verwacht 95% van de wereldwijde ICT- en digitale leiders dat de cyberdreigingen alleen maar zullen verergeren en velen beschouwen hun organisatie onvoldoende beschermd. Als de potentiële cyberdreigingen bij lokale overheidsinstellingen nu nog niet met regelmaat op bestuursniveau worden bekeken, dan zou dit alvast een zeer laat goed voornemen voor 2020 kunnen zijn. Cybercriminelen worden inventiever en gebruiken ook de nieuwere technologieën zoals internet of things, artificiële intelligentie maar ook “natuurlijke taalprogramma's”. Ook hun “targets” wijzigen continu – niet het minst waar de scoorkans het hoogste is - met mogelijk een veel grotere focus op onze openbare dienstverlening. Het aantal phishing-aanvallen zal alleen maar verhogen en steeds overtuigender overkomen.
Hoewel de focus op menselijke fouten - en dus het belang van bewustzijn, opleiding en verantwoording - de topprioriteit dient te zijn in elk cyberbeschermingsplan, dient men tegelijkertijd ook steeds meer technologie en tools in te schakelen die minimaal op hetzelfde niveau werken dan de cybercriminelen. Digitale leiders dienen ook technologisch een stapje voor te zijn om hun organisaties maximaal te beschermen – hoewel experts hier durven beweren dat we op vandaag nog altijd één stap nakomen. Ook vanuit een bevraging in samenwerking met onze internationale koepel (Linked Organisation of Local Authorities) blijkt dat de publieke digitale leiders flink worstelen met een steeds veranderend cyberbedreigingslandschap, en men drie factoren aanhaalt als de voornaamste redenen:
- Gebrek aan zichtbaarheid en kennis van diverse kwetsbaarheden op alle niveaus, van beleid over de operationele werking tot en met ICT
- Onvoldoende inzetten op vereiste beveiligingsmiddelen (mensen en technologieën)
- Grote afhankelijkheid van logge administratieve processen versus het opzetten van snelle(re) geautomatiseerde beschermingsprocessen
Dat onze “cyberhygiëne” onvoldoende toereikend zou zijn en we daarbij wellicht nooit alle risico’s kunnen uitsluiten, werd door één van de ondervraagde deelnemers als volgt geformuleerd: “Er is een gebrek aan standaardisatie rond cyberbeveiliging in lokale besturen. We kunnen niet alleen veel leren van elkaar, maar ook elkaar versterken in het adopteren van werkwijzen, nieuwe beschermingstechnologieën en -tools. De ‘andere zijde’ zit ook niet stil en deelt vlotjes kennis en tools via ‘dark communities’.”
We horen jammer genoeg te vaak beweren dat de risico's lager zijn in de publieke sector omdat de gegevens minder waardevol zouden zijn dan bijvoorbeeld bij een groot bedrijf met intellectuele eigendom om te beschermen, of met een enorme en waardevolle klantendatabase. In dit soort gesprekken dien je beleefd te blijven, maar deze mensen missen naast gezond verstand enkele belangrijke factoren die vandaag de dag maken dat net openbare diensten een expliciet doelwit zijn. Deze bewering is al even idioot dan de bewering als zou een PC in de publieke sector niet beveiligd moeten zijn onder het motto van “openbaarheid van bestuur”.
Vergeten we hierbij vooral niet dat het al lang niet meer gaat om een zoektocht naar waardevolle data alleen. Het beletten dat er gewerkt wordt met de vereiste informatie in een operationele omgeving kan op zich al veel grotere gevolgen hebben en is “booming business”. Toch graag enkele redenen waarom (lokale) overheidsdiensten een doelwit kunnen zijn van cyberaanvallen:
- Overheidsdiensten hebben een breed gamma aan waardevolle, gevoelige en persoonlijke gegevens over werknemers, politici, partners, ondernemingen en burgers. Het vastkrijgen en enkel na betaling teruggeven is wat cyberterroristen doen
- Kwetsbare mensen zijn vaak afhankelijk van overheidsdiensten. De impact van een cyberaanval op een overheidsdienst kan het leven en welzijn van deze bevolkingsgroep ernstig beïnvloeden
- Aanvallers kunnen zich via overheidsdiensten ook rechtstreeks gaan richten op die zwakkere bevolkingsgroep of organisaties om toegang te krijgen tot de hun gegevens of systemen
- Openbare diensten bezitten en beheren een aanzienlijke hoeveelheid waardevolle activa in geld, gebouwen en apparatuur - een belangrijk doelwit voor fraude, afpersing, … voor cyberterroristen
- Een lokale gebeurtenis kan evenveel verstoring, imagoschade, pers- en politieke aandacht veroorzaken als een nationale gebeurtenis. Aandacht is wat de cyberterroristen opzoeken om te “scoren” in hun community
Naast bewustwording verdient identiteitsmanagement een specifiek aandachtsgebied voor ICT- en digitale leiders, de identificatie van de medewerkers van de organisatie en de burgers. Hoewel we op nationaal niveau al eventjes koploper zijn met instrumenten zoals de e-ID en itsMe om onze identiteit te garanderen in de digitale wereld, blijft de gouden regel om minimaal een aantal verschillende authenticatie categorieën in te zetten bij het controleren van de identiteit met iets dat je weet (bvb paswoord of pincode), iets dat je bent (bvb biometrische gegevens), iets dat je hebt (bvb vertrouwd apparaat met een authenticator app) en tot slot locatie en tijd. Als het op beveiliging aankomt, dan heeft elke factor andere eigenschappen ter herkenning van de persoon met wie je te maken hebt. Multi Factor Authentication (MFA) levert een fundering voor verbeterde beveiliging. Technologie kan hierbij helpen en het helpt natuurlijk ook wel als we lezen dat “basic authentication” - gebruikersnaam en paswoord - bij bepaalde providers eind 2020 zelfs niet meer mogelijk zal zijn voor hun maildiensten.
Een passende authenticatie en identiteitsbeheer is een eerste waarborg dat bij het aanreiken van digitale diensten en informatie, zowel voor werknemers als voor burgers, we met de juiste persoon te maken hebben die op zijn beurt enkel de machtiging krijgt die vereist is om met diensten of gegevens aan de slag te gaan. Vergeten we niet dat de finaliteit en het proportionele karakter van toegangen tot informatie ook vanuit de GDPR al eventjes op de agenda staat. We mogen hopen dat – na een periode waarbij de GDPR-regels ondertussen voldoende de tijd kregen om ingeburgerd te raken - steeds meer openbare diensten door hun DPO’s worden uitgedaagd en ter verantwoording worden geroepen bij inbreuken waarbij men nalatig is geweest of onvoldoende op de hoogte blijkt te zijn van de risico's.
En ook al zijn de cyberrisico's beheerd en de beveiligingsbescherming geïmplementeerd op technisch niveau, cyberbeveiliging is geen gegeven dat alleen aan ICT en digitaal leiderschap kan worden overgelaten. Als veiligheid geen strategische doestelling is, faalt elke implementatie. Het heeft ook uitvoerend (en waar nodig, politiek) toezicht en verantwoording nodig, met een cultuur die iedereen verantwoordelijk maakt voor hun aandeel in de bescherming van de activiteiten van overheidsdiensten. Het vakjesdenken waarbij cybersecurity – het woord alleen al - complex en louter technisch is doet geen deugd aan de implementatie in de lokale besturen. Terwijl men enerzijds aan pen-testers vraagt om applicaties - die vaak niet eens zo relevant zijn – te gaan testen op een mogelijke breach, durft men anderzijds systemen en applicaties niet updaten omdat men de business “raakt” bij de uitvoering.
Het is een gedeelde verantwoordelijkheid waarbij we ook meer “civiele awareness” van burgers zouden kunnen verwachten, ten aanzien van overheidsdiensten of hun leveranciers die fouten maken bij het beheer van persoonsgegevens. Met de wetenschap van het wantrouwen en de groeiende bezorgdheid van de burgers omtrent hoe overheden met hun persoonsgegevens omgaan, kan het vertrouwen in de “digitale overheid” een zwaar en bepalend probleem worden als men nog meer intelligentie, digitalisering en automatisering in publieke processen en dienstverlening wil gaan inzetten met nog minder “inzicht” tot gevolg. Een snelle evolutie in deze mag niet beletten dat we enkele cruciale elementen uit de digitale of cyberwereld gaan over het hoofd zien.
Tot slot schenken we op vandaag nog te weinig aandacht op het feit dat cyberaanvallen calamiteiten kunnen zijn die - net zozeer als een natuurramp - een noodplanning vereisen dat ten gronde uitgewerkt en getest dient te zijn. Het is bedroevend te zien dat bij een polling vorige week 43% geen noodplan heeft voor cyberaanvallen, 42% “er aan werkt” en slechts 3% een uitgetest noodplan klaar heeft. Tijdens diezelfde poll merkten we op dat 30% geen enkele test op kwetsbaarheden van hun omgeving heeft laten uitvoeren, dus anders gesteld helemaal niet weet wat er mogelijk op hun omgeving aan de hand is. Hoewel een noodplanning als dusdanig een gekend gegeven is in de gemeentelijke werking (bvb die van de crisiscel) weet men onvoldoende hoe men één van de steeds belangrijker wordende resources – met name digitale informatie – kan gaan beschermen bij een calamiteit.
Samengevat brengt de juiste aandacht voor bewustwording (cliché maar de mens is en blijft de zwakste schakel), een correct opgezet identiteitsbeheer (bvb MFA) en het inzetten van technologie ondersteund door de juiste experten ons al een heel eind. Vergeten we hierbij niet dat het toch nog altijd kan (en zal) gebeuren en we dan liefst op een goede noodplanning dienen terug te kunnen vallen. Managementteams lezen ook de persberichten en zien dat veel instanties gehackt worden, maar weten vaak niet hoe hun eigen infrastructuur & organisatie er echt aan toe is.
Hoe meer we digitaal transformeren hoe meer aandacht cyber- en informatiebeveiliging aan de orde moet zijn. Stel jezelf gewoon de vraag wat er gebeurt in jouw organisatie als een cyberaanval de informatiesystemen vergrendelt met een kwaadaardige encryptie. Ben jij er klaar voor?