Provincie Zuid-Holland moet actieplan maken om cybersecurity te verbeteren

De Nederlandse provincie Zuid-Holland moet een actieplan opstellen over hoe de cybersecurity binnen de provincie verbeterd kan worden. Een motie daartoe van JA21 werd unaniem aangenomen door de Provinciale Staten van Zuid-Holland.

Statenlid Luuk Wilson van JA21 diende de motie in en wees daarbij op het accountantsverslag bij de jaarrekening van 2023. Daarin heeft de accountant aangegeven dat er nog aanzienlijke stappen gezet moeten worden op het gebied van informatiebeveiliging. Het Statenlid benadrukt dat cyberdreigingen toenemen en dat het 'van cruciaal belang is dat de informatiesystemen en bijbehorende beveiligingsmaatregelen up-to-date en effectief zijn'. Als dit niet gebeurt, kan dit leiden tot 'ernstige gevolgen voor de integriteit en betrouwbaarheid van de gegevens en dienstverlening aan de inwoners'.

Wilson roept daarom in de motie op tot het opstellen van een gedetailleerd actieplan met duidelijke mijlpalen en deadlines voor de verbetering van de cybersecurity. Ook wil hij dat er regelmatig wordt gerapporteerd over de voortgang van de implementatie en de effectiviteit van de genomen maatregelen. Verder vraagt hij om trainingen en educatie voor alle werknemers om bewustwording en naleving van nieuwe procedures en beleidslijnen te bevorderen. De leden van de Provinciale Staten namen de motie unaniem aan.

In september vorig jaar kreeg de provincie Zuid-Holland te maken met een datalek in een intern systeem dat gebruikt wordt voor archivering, opslag en intern samenwerken aan documenten. Naar aanleiding daarvan staat de provincie onder toezicht van de Autoriteit Persoonsgegevens, werd in april dit jaar bekendgemaakt. De provincie maakt concrete afspraken met de AP over hoe het zorgvuldiger met persoonsgegevens kan omgaan en moet hierover regelmatig rapporteren aan de AP.

Door Eveline Meijer

Nieuwsredacteur

14-06-2024 • 15:07

24

Submitter: Anonymoussaurus

Reacties (24)

Sorteer op:

Weergave:

Het blijft apart hoe de overheid handreikingen doet, richtlijnen, NIS2, BIO en ga zo maar door en dan toch zelf zo tekort schiet.
Als CISO bij een overheidsinstelling kan ik je vertellen dat het echt lastig is om volledig compliant te worden/zijn (en blijven).

De BIO en NIS2 an sich zijn niet zo spannend. Afhankelijk van de scope. Om het toe te passen op honderden applicaties en processen binnen een organisatie, is zeer complex.

Grote (SaaS)-leveranciers maken het werk er ook niet makkelijker op overigens. Gelukkig heeft de VNG/IBD dit ook geconstateerd en starten er binnenkort gesprekken met een paar grote partijen. Er wordt gedacht over een soort keurmerk vanuit de IBD zodat organisaties (gemeenten in dit geval) weten waar ze aan toe zijn bij het aanschaffen van een softwarepakket. Het is ook waanzin dat 340 gemeenten allemaal dezelfde leveranciers moeten auditten. (Er blijft dan natuurlijk wel een restrisico, bijvoorbeeld omdat een configuratie nooit helemaal gelijk is.)

Bij dit voorbeeld overigens wel goed dat het is opgemerkt door de accountant. Er moet overheidsbreed meer aandacht voor komen. Bij de IT-organisaties is dat er doorgaans wel, maar het is essentieel dat alle lagen van een organisatie hier bewust mee omgaan. Het begint bijvoorbeeld al bij awareness van medewerkers of bij het correct inkopen van applicaties of dienstverlening.
Grote (SaaS)-leveranciers maken het werk er ook niet makkelijker op overigens.
Hoezo? Uiteindelijk heeft een gemeente zelf gekozen om daarmee in zee te gaan, achteraf bedenken dat je daarmee niet aan (mijn inziens) minimale/karige normeringen omtrent informatiebeveiliging kan voldoen is dan gewoon een flater. Informatiebeveiliging is een eis die je kan stellen bij de aankoop van een product, als een leverancier daar niet aan kan voldoen dan koop je het gewoon niet, op dezelfde manier dat je een product zou laten liggen als ieder andere requirement mist.
De ITers hebben niet noodzakelijk gekozen om gebruik te maken van SaaS. Dat wordt meestal hoger in de keten gekozen. Dus zeggen dat je het "gewoon niet" koopt helpt de ITer niet.

Ik vind jouw "hoezo" vraag wel interessant op een ander vlak: wat doen SaaS leveranciers niet goed dat het niet makkelijker maakt?
Bij de aanbestedingen worden bepaalde cruciale vragen wel eens vergeten (of vermeden?) heb ik gemerkt. Het is bijna niet te bevatten, maar bij het uitzetten van tenders worden echt regelmatig dergelijke cruciale vereisten regelmatig vergeten. Dat komt omdat de inkopers andere poppetjes zijn dan die in de IT-keten en die worden niet consequent bevraagd. En dan zit je een poosje later als IT-specialist weer met een applicatie waarbij je hoofdschuddend aan je leidinggevende uitlegt waarom we nu weer met de ballen in de bankschroef zitten, dat je op den duur maar je eieren voor het geld kiest en zodoende ook goede, bewuste IT-ers ook schaarser worden in de overheidssector.
Apart is mijn inziens een understatement.
Ook bijzonder dat dit uit een accountantsverslag blijkt.
Ik heb de "eer" gehad een aantal van die rapporten te mogen zien. Erg grote partijen die gewoon een lijstje afvinken, daar een rapport van maken en dat tegen aanzienlijke kosten naar de klant sturen.

Er zullen echt wel mensen rondlopen die weten waar ze mee bezig zijn maar mijn eerste indruk van dit soort rapportages is ongeveer kleuterschoolwerk in Cyber land.

Is er een backup, is er anti-virus, is er een firewall en nog meer van dat soort zaken. Geen woord over BCP / DRP bijvoorbeeld.
Ik kan beamen dat het niveau helaas om te huilen is. Maar als je als organisatie een beetje goed nadenkt over cyber security en een visie hebt en plannen maakt, dan is er vaak prima te praten. En zul je niet dergelijke conclusies in een rapport vinden.

Ik vermoed dat er toch wel een kern van waarheid in zit.

Ze zoeken trouwens nog een CISO https://werkenvoor.zuid-h...ity-officer-ciso-1085985/

Genoeg uitdaging denk ik.

[Reactie gewijzigd door BytePhantomX op 22 juli 2024 13:46]

Inderdaad heel basic en uit eigen ervaring bij clubs zoals PWC en Deloitte krijgen wij zelfs als IT de opmerking dat er mensen zijn met Admin rechten op de AD. En dat dit niet toegestaan is mits er toestemming is PER handeling van een lid van het College van Bestuur. Hoe moet je dan je werk gaan uitvoeren? Tuurlijk is het mogelijk en veilig maar niet werkbaar. De voorzitter van het CvB ziet mij aankomen voor elke klik die ik doe in de AD voor toestemming... Dus ook de heren en dames van PWC en Deloitte moeten misschien een beetje schikken naar de werkelijkheid dunkt mij.
Het is wel beetje best practice om geen domain admin account te hebben in AD. Hoe je je werk moet doen? Een procès om snel en gecontroleerd de juiste rechten te krijgen om je werk te doen. De rechten zo instellen dat je geen domain admin nodig hebt of fancy PAM tools zoals Cyberark die je toegang geven zonder een persoonlijk account en je sessie opnemen.

Edit: wil hier niet mee zeggen dat ik die rechten nooit heb gehad (of de vergelijkbare global admin in Entra) ;) maar t is goed te beseffen hoe het ook kan

[Reactie gewijzigd door Mellow Jack op 22 juli 2024 13:46]

Tja, de vaststelling dat het een risico is dat iemand admin is, is correct. De voorgestelde mitigatie lijkt misschien overdreven maar de impact van misbruik is gigantisch.

Dit staat los van vertrouwen in jou als medewerker en legt de verantwoordelijkheid bij cvb die bewust moet zijn dat dit risico er is.

Er zijn vast wel tools en procesinrichtingen die (controle op) admin-activiteiten praktisch maken.
Dat is niet aan de auditor maar aan het cvb om uit te (laten) zoeken.

sterker nog, PWC en Deloitte hebben daar ook afdelingen en mensen voor. Die mogen echter niet als consultant optreden in jouw organisatie als ze ook auditor zijn.
Veel van die lijstjes hebben wat vinkjes over MFA, maar gaan daar totaal niet op door, terwijl MFA allang achterhaald is :+
Sterker nog, de nieuwste EU & Amerikaanse normen eisen het ook direct. Normen/ wetten zullen nooit voorop lopen, helaas zie ik nog veel te veel systemen zonder MFA, en waar CS een scheldwoord is.
Ik weet niet zeker of je bedoelt dat het bijzonder is dat een accountant dit controleert of dat je had verwacht dat dit al op een andere manier duidelijk had moeten zijn, maar al je het eerste bedoelde:

Dat is helemaal niet bijzonder. De controle van een jaarrekening door accountants is al lang niet meer alleen het beoordelen van de boekhouding.

Een accountant beoordeelt ook de integriteit van de gegevens. En omdat deze gegevens al sinds jaar en dag uitsluitend digitaal zijn, moet de accountant de integriteit van deze digitale gegevens beoordelen.
Dat doe je weer door aan te tonen dat systemen goed beveiligd zijn en dat auditing e.d. op orde is. 
Dus vandaar dat een groot deel van een accountantscontrole over informatiebeveiliging gaat.
Dank je voor de toelichting, ik had werkelijk geen idee dat dit ook onderdeel was van een accountantscontrole.
Precies. Bij ons controleert de accountant b.v. ook of het uitgeven van software licenties controleerbaar is. Dat het niet (makkelijk) mogelijk is om licenties uit te geven die niet goedgekeurd zijn volgens het vastgelegde proces.
Mooi dat deze handtekeningen in ieder geval online staan
Waarom gaan we als overheid/provincies/gemeentes/bedrijcen etc niet een samenwerking aan met een library van baselines en maatregelen in algemeen belang? Het grootste probleem zit hem in dat iedere club weer zijn eigen wiel uit gaat vinden. Werk samen en ontwikkel jezelf om te groeien.

Een mens mag blijven dromen.
Dat is er al : https://www.informatiebev...atiebeveiliging-overheid/

Ik zou eerder voor pleiten om als overheid / zorg / etc afspraken maken om gezamenlijk licenties in te kopen voor een Microsoft / Crowdstrike / SentinalOne / Trend etc etc. Zou vele miljoenen besparen m.i. een hacker boeit het niet als je een of andere Nen of ISO certificering hebt.
De provincie valt toch onder NIS2? Wie is er dan namens de directie aansprankelijk, leden van de gedeputeerde staten of de 55 leden van de provinciale staten? of is de overheid weer uitgezonderd hiervan?
NIS2 is mooi bedoeld, maar zal uiteindelijk moeilijk te implementeren zijn (waarmee ik zeker niet zeg dat je het niet kan implementeren).
Als ik goed herriner is trouwens NIS2 nog steeds niet officieel in de nederlandse wetgeving opgenomen, in Belgie wel. Dus officieel hebben Nederlandse bedrijven nog steeds geen idee wat ze nu juist moeten doen om compliant te worden aan NIS2.

Dan al het regeltjes etc waar reeds iemand naar verwees door de grote accountingkantoren. An sich logisch dat Admin rechtne enkel zouden mogen kunnen gebruikt worden na goedkeuring door een hoger geplaatst persoon. Realiteit is dat het dan onwerkbaar wordt. Vroeger zelf op die plekken gezeten. Ik kan verzekerne : dan ligt 95% van de KMO en grote multinationals plat omdat de betreffende persoon in meetings zit etc en dus niet reageerd op deze toelating tot gebruik van admin rechten.

Dan verder NIS2 : prachtig geborduurd voor IT omgevingen. Nu mag je het eens ook toepassen op OT omgevingen, die onder die zelfde wetgeving vallen. Wordt helemaal drama. Dan ligt niet 95% van de bedrijven plat, maar 100%. Enkel greenfield projecten zullen min of meer tijdig compliant raken.

Vervolgens de momentele wildgroei van europese richtlijnen mbt alles over data/cyber veiligheid : ik begin het lijstje : NIS2 act, cyber resilience act, DORA act, AI act, machinery safety act en vermoedelijk ben ik er nog wel enkele vergeten. En bij de eerste 4 worden in een boel gevallen al niet enkel alleen IT diensten betrokken, maar letterlijk ook andere ondersteunende departementen zoals HR, accounting, procurement, ... Implementeren van al die verordeningen vergt een boel resources en tijd van bedrijven, losstaand nog van de gewone doordedaagse werkzaamheden.
Ik heb te doen met de CISO's dezer dagen van grotere bedrijven.

[Reactie gewijzigd door Falcon10 op 22 juli 2024 13:46]

Het valt wel mee met de EU richtlijnen! NIS2 is niet heel spannend, vooral proces matig gericht. Cyber Resilianse act wordt ook geen schokker. AI act heeft niks met CS wetgeving te maken. Machine Safety act --> ik gok dat je de Machine Regulation bedoeld? die stelt slechts "gij zult cyber secure zijn", en er zijn al interpretaties die wijzen op een enkel proces die meerdere wetten afvangen.
Ja, het is even lezen, maar niks doen is ook geen optie.
De consultancy toko’s krijgen het hier lekker warm van

Op dit item kan niet meer gereageerd worden.