Bestuur
Controlling
444 Vv Gemeente Delft
bezoekadres: Stationsplein 1 2611 BV Delft IBAN NL21 BNGH 0285 0017 87 t.n.v. gemeente Delft
Retouradres : Postbus 78, 2600 ME Delft
Aan de gemeenteraad
Behandeld door mw. H. Koenen [email protected] Internet www.delft.nl Telefoon 14015
VER7ONDEM 2 7 nu 749 Datum 19-11-2019 Ons kenmerk 4101403 Uw brief van
Onderwerp Halfjaarlijkse rapportage Q2/03 2019
Uw kenmerk
Bijlage 1
Geachte leden van de raad,
Bijgaand sturen wij u de halfjaarlijkse rapportage over de stand van informatiebeveiliging en privacybescherming. Deze rapportage wordt, zoals gebruikelijk, gepresenteerd door de CISO van de gemeente Delft in de vergadering van uw commissie op 27 november 2019. Hiermee geven wij invulling aan onze toezegging de raad periodiek te informeren over dit beleidsterrein.
Hoogachtend, Het College van Burgemeester en Wethouders van Delft,
, burgemeester Bijsterveldt-Viiegenthart
, secretaris
dr. M. Berger, l.s.
■■lndeling
• lntroductie nieuwe Functionaris Gegevensbescherming (per 1-10-2019) • Dreigingsbeeld • Belangrijkste risico's: DDOS-aanvallen en achterstand patchmanagement • lnformatiebeveiligingsbeleid: stand van zaken uitvoering agenda • Baseline lnformatiebeveiliging Overheid (BIO) • Monitoring data • Privacybeschermingsbeleid: stand van zaken uitvoering agenda • Data Protection Impact Assessments (DPIA's) en adviezen • Privacy en datagedreven werken • Bewustwording • Deelnemingen en Governance
2 tt Gemeente Delft
CISO en FG ■■
Wat doet de CISO? • Onafhankelijk adviseur • Die activeert, stimuleert en toezicht houdt op
de juiste toepassing van de kaders door de business
• Met het accent op beschikbaarheid en integriteit van systemen en gegevens
• En daardoor de continuïteit van de business van de gemeente, zeals in de levering van diensten
Wat doet de FG? • Onafhankelijk adviseur • Die activeert, stimuleert en toezicht houdt op
de juiste toepassing van de kaders door de business
• Met het accent op vertrouwelijkheid en integriteit van de gegevens waarvoor de gemeente verantwoordelijk is
• Gericht op het bestendigen van het vertrouwen dat burgers in hun gemeente hebben voor wat betreft de verwerking van hun gegevens
En bij conflict? De algemeen directeur (gemeentesecretaris) beslist op basis van beider argumenten.
3 ttt Gemeente Delft
Dreig i ngsbeeld Hoe monitoren we onze omgeving
Om zieht te krijgen op de bedreigingen van de informatieveiligheid van Delft, worden verschillende externe en interne monitors gebruikt:
■■
• Externe monitors zoals https://basisbeveiliging.nl. Deze monitor publiceert kaartjes (zie volgende sheet) waar gevonden risico's worden geduid met een kleur (rood=hoog).
• Pentesten en andere onderzoeken • Responsible disclosure • lncidenten analyse • Interne monitoring door SIEM, kwetsbaarhedenscan en spamanalyse (zie vorige
rapportage voor uitleg)
De lnformatiebeveiligingsdienst van de VNG monitort de trends in bedreigingen en stuurt zo nodig alerts naar de gemeenten. 4
Gemeente Delft
Dreigingsbeeld: externe monitors Op https://basisbeveiliqinq.nl wordt dagelijks gepubliceerd over gevonden risico's bij gemeenten, aangeduid in kleur (groen=laag, oranje=midden en rood=hoog).
■■Basisbeveiliaina.nl
,
•
·y 9SE15
;~l'Çj
rz a& -..,...r r' : , •. ¿- ~ . -~ ..,.l..
sas #f « y s $
-=7': '_} tr
SECURITY POSTURE SUMMARY FOR DELFT PREPARED ON OCT 25. 2019
OUR CURRENT SECURITY SCORE Network Soc unity
Social Engineering rt/,. ... . 10o NS Heath ¿gen, so-., ·.
delft.nl
Our Industry
lnfo11nal101'1 le.ikr . . . P<1tclung C,1dence • 60 . • . "
Hacke<Challe< \ .••• ••"• ••., •, , .
0
EodpolotSo<w;~
~. '•••· Cubit Score tP Reput ation
pplcatan Socunty
5 t Gemeente Delft
■■Pentesten
Bij een penetratietest (pentest) wordt onderzocht of en zo ja, hoe het mogelijk is om in te breken op geautomatiseerde systemen van de gemeente Delft. Een pentest is een gelegitimeerde hack.
Naast de verplichte pentest voor DiGiD is in de afgelopen periode een pentest gedaan op de Windows 10 VDl-omgeving (voor Delft en Rijswijk samen). Conclusie was dat de VDI-thuiswerkplek zeer solide is opgezet door Delft, maar dat de gebruikte software enige nog niet gepubliceerde kwetsbaarheden bevat. Met aanbevelingen van de pentester hoe deze kwetsbaarheden kunnen worden aangepakt.
6 tt Gemeente Delft
■■Responsible disclosure
In maart 2019 is Responsible Disclosure ingevoerd bij gemeente Delft.
In de periode tot 1 oktober 2019 zijn er 4 meldingen gedaan waarvan 3 echt een kwetsbaarheid betreffen, overigens niet in een kernsysteem. lnmiddels is er in oktober een 5° melding gedaan.
1 melding betreff het kunnen inbreken op een temperatuurregeling op afstand vaneen leverancier van gebouwenbeheer (loT,lnternet of Things).
Het geplande hackevenement is voorlopig geschrapt. Het kost te veel inspanning om deelnemers geïnteresseerd te krijgen.
7 ttt Gemeente Delft
lncidenten analyse DDOS-aanvallen vormen het zwaarste incident in de afgelopen periode.
■■
In 2018 zijn maatregelen getroffen om de impact van DDOS-aanvallen te beperken. Deze investering blijkt te helpen, maar tegelijkertijd kost het bij iedere aanval nog steeds veel capaciteit om de consequenties voor de organisatie beperkt te houden. De gevolgen van de aanvallen zijn nog niet merkbaar geweest in de dienstverlening.
DDOS-aanvallen vormen een groot risica vanuit het oogpunt van continuïteit. In eerste instantie wordt bekeken in hoeverre met organisatorische maatregelen de impact van DDOS-aanvallen kan worden beperkt. Macht dat niet lukken, dan wordt een voorstel gedaan hoe dit risico kan worden aangepakt.
8 tt Gemeente Delft
Interne monitoring Het belangrijkste risica dat uit de interne monitoring naar varen komt is de achterstand in patchmanagement. Door middel van patches repareren softwareleveranciers gevonden kwetsbaarheden in hun software. Als deze kwetsbaarheden niet worden gepatcht, dan kan misbruik gemaakt worden van de kwetsbaarheden. Ook de DRK heeft dit risico al genoemd in zijn rapport.
■■
Er is dit jaar extra geïnvesteerd in capaciteit voor patchmanagement, maar het blijkt niet genoeg te zijn om de achterstand in te halen. Oorzaken: er komen steeds vaker en meer patches, met name op kernsystemen als ORACLE en Microsoft die met veel applicaties verbonden zijn.
Er komt een voorstel hoe dit risico kan worden aangepakt, en wat de consequenties zijn als je het niet doet.
9 tt Gemeente Delft
lnformatiebeveiligingsbeleid stand van zaken
■■Agenda voor informatiebeveiliging en privacybescherming 2019
Planning 2019 01/03 Versterken technische informatiebeveiliging
Beveiligingsbeleid gemeentelijke kantoorgebouwen
Stand van zaken 1-10-2019 SOC en SIEM ingericht en werkend. Responsible disclosure gerealiseerd.
Gebouwbeleid uitgesteld naar Q4 wegens andere prioriteiten
Tactische toets voor IT-voorstellen Toets ontwikkeld en werkend
Verder implementeren BIG (richtlijnen)
ENSIA (horizontale en verticale verantwoording)
Richtlijn leveranciers afgerond, richtlijn USB-sticks is complexer dan verwacht, hoe om te gaan met Saas wordt een grater project in 2020 ENSIA conform planning afgerond met goedkeurende verklaring
10 tt Gemeente Delft
lnformatiebeveiligingsbeleid stand van zaken
■■Agenda voor informatiebeveiliging en privacybescherming 2019
Planning 2019 01/03 Mobile Device Management (MDM)
Heroverwegen Open mappen structuur
Heroverwegen Thuiswerken met gevoelige gegevens
Shadow-IT: werken buiten de IT-structuur om
Onderzoek Identity- en Accessmanagement
Stand van zaken 1-10-2019 Concept-aanpak gereed, POC uitgevoerd. Wacht op besluitvorming en uitrol.
datas dladl.aahl
Wordt verschoven naar 2020 wegens andere prioriteiten gezien de beschikbare capaciteit
Wordt verschoven naar 2020 wegens andere prioriteiten gezien de beschikbare capaciteit
Verkenning van het vraagstuk in Delft, inclusief probleem stelling en mogelijke aanpak, wordt in 2019 of begin 2020 afgerond. Relatie met implementatie MS Office 365. Verkenning van het vraagstuk voor Delft, inclusief probleemstelling en mogelijke aanpak, wordt in 2019 afgerond
11 ttt Gemeente Delft
BIO: Baseline lnformatiebeveiliging Overheid Er komt met ingang van 2020 een nieuw informatiebeveiligingskader voor alle overheden, de BIO: • BIO lijkt op zijn voorganger BIG, maar zet andere accenten. • Proceseigenaren zijn aan zet. • Er is een beperkte set verplichte maatregelen, verder dienen maatregelen vooral genomen te worden op basis van de verplichte risica-analyse (riskbased)
• Risicotoets op alle processen is verplicht. Deze wordt ingebed in het Delftse stelsel van risicomanagement.
• Classificatie van gegevens is vereist. Daarbij worden 3 basisbeveiligingsniveau's onderscheiden, op basis van vertrouwelijkheid: BBN 1, 2 en 3. Aan een basisbeveiligingsniveau is een pakket beveiligingsmaatregelen gekoppeld. Gemeenten gaan uit van BBN 2.
• De nota lnformatiebeveiligingsbeleid Delft wordt herzien op basis van de BIO.
■■
12 Gemeente Delft
Aanpak BIO ■■
• GAP-analyse ] • Overzicht processen/domeinen ] ~----~
• lnventariseren kritische processen Jan/mrt 2020
• Proceseigenaren betrekken i ]
• Baselinetoets uitvoeren kritische processen
Nov/dee 2019
April/mei 2020
• Verplichte maatregelen: welke zijn nog niet geimplementeerd?
• Toetsen processen aan risico criteria ·Top 5 maken
• lnrichten proces voor toets • Verzamelen bestaande risico
inventarisaties
• Beheersmaatregelen toetsen & optionele maatregelen doornemen Juni/aug 2020
~ Toetsing overige processen
13
l Jan 2021/Juni 2022
ttt Gemeente Delft
■■Wat zijn Kritische Processen
Criteria voor het bepalen van kritische processen zijn: • Leidt tot verstoring of uitval van het proces. • Heeft impact op het leven van de burger of de bedrijfsvoering van het bedrijf. • Zorgt voor vertraging bij het halen van onze ambities. • Verstoring of uitval van het proces stokt de dienstverlening van de organisatie. • Stokt de bedrijfsvoering van meer afdelingen of ketenpartners. • Levert de eigen organisatie imagoschade op. • Brengt een aanzienlijke kostenpost met zieh mee. • Levert schade op bij andere (samenwerkings-)partijen. • Heeft een wettelijke termijn waarbinnen het proces beschikbaar moet zijn. • Snelle doorlooptijd van het proces is belangrijk voor burger of bedrijf.
14 ttt Gemeente Delft
Monitoring registraties ■■
Om inzicht te krijgen in het dagelijks preces van informatiebeveiliging worden vers ch i I lende reg i strati es bijgehouden:
• lncidenten • Datalekken (intern geregistreerd en meldingen aan Autoriteit Persoonsgegevens)
• Verzoeken van betrokkenen om inzage in hun gegevens
Afgesproken is dat over deze registraties periodiek wordt gerapporteerd aan de raad.
15 tt Gemeente Delft
lncidenten jan 2019- sept 2019 De incidenten laten een normaal patroon zien: vooral spam en phishing. Geen ransomware
■■
Meldingen informatiebeveiliging en datalekken jan-sept 2019
o ] Mn Fe Mt , , Mei
Type incident t ~ ■ Spam~~ ph.shone l&<m•ldt:391 .__ __ s•_l --+-' _396
4 362 ·r-,63 327
■_T_•lt_fo_noschph.sh_ln_&(&ffn_ tld) O O O -, -o--'---ï 1 O 1-- O--+-- -
·Advesvrren of huevroren 1[ ,",TI. li
2:.:: ',i/i/'/',ili rt t I
Jun _LJul Aus T ......__. 276 335 133
Okt Nov L
Dec
-l l l t ± E i
16 ttt Gemeente Delft
Datalekken 01-01-2019 tot 1-10-2019 ■■
Melding datalek
Bij AP ge melde dat ale kken
Jan Febr Maart April Mei Juni Juli Aug Sept
Conform AVG worden alle meldingen van datalekken intern geregistreerd. Voor het grootste deel betreffen ze persoonsgegevens die intern zichtbaar zijn voor meer medewerkers dan bedoeld.
Gemeld bij de Autoriteit Persoonsgegevens: • 2 x document met bijzondere
persoonsgegevens naar verkeerde ontvanger
• 1 direct doorsturen klacht met persoonsgegevens naar aannemer
• 1zwervend ID-document • 1niet werkend anonimi seer programma • 1onbevoegde inzage door onvoldoende
ingerichte autorisatie in een cliëntenadministratie
17 tt Gemeente Delft
Verzoeken van betrokkenen om inzage gegevens 1 januari 2019 tot 1 oktober 2019
■■20 ----------------- 18 16 14 12 10 8 6 4 2 o
V, e a > ., o ., OD a ro
o .., .., Oll z E 2 d d e g Reeks1 ~ ~ e
., > U L ., Ei o
Oll 5 T e E ::, r0 a a .,
E E :,. o 2 "O a :¡:¡ 7 r0 ., -" ro .s:: ±2 V,
U Q. U a a
3 L e .s:: .s:: o e U e n ., a a- >
Inzage verzoeken 010119 - 300919
1 bezwaarschrift ingediend tegen de beschikking tot inzage in gegevens 1verzoek tot aanpassing van de verwerking
• 3 inwoners van Delft hebben in deze periode contact gezocht met de functionaris gegevens bescherming van de gemeente over mogelijke schending van de bescherming van hun persoons gegevens (1 klacht, 2 vragen)
18 t Gemeente Delft
Privacybeleid ■■
Agenda voor informatiebeveiliging en privacybescherming 2019
Planning 2019 Q1/Q3
Handreiking gebruik foto- en camerabeelden
Onderzoek verhouding wet Politiegegevens en AVG
Onderzoek BRP onder de AVG
Handreiking gebruik BSN
Convenant Veiligheidskamer herzien
Verdiepingsslag verwerkingsregister
Evaluatie procedure inzageverzoeken
Handreiking anonimiseren en pseudonimiseren 19
Stand van zaken 1-10-2019
In concept gereed, vergt een intensief communicatietraject met betrokken ambtenaren en bestuurders (de doelgroepen)
Gereed, wordt verwerkt in actualisering nota Privacybeleid Wordt verwerkt in actualisering nota Privacybeleid
Wordt in 2019 afgerond
Gereed
Stopgezet, tot de kamst van een nieuwe FG
In concept gereed, vervolgstappen richting uitvoering moeten nog genomen worden
Aanpak nu in BI-traject, handreiking naar 2020 tt
te Delft
DPIA's en adviezen: groei Toepassen OPIA in Delft nog in ontwikkeling De vraag naar Data Protection Impact Assessments en adviezen op privacygebied groeit. Werkwijze en basistoets voor OPIA is ontwikkeld. Uitgangspunt is een opdracht van een lijnmanager of programmeur. In de intake worden inhoud en reikwijdte en fasering van het onderzoek bepaald, en wordt bekeken welke specialismen nodig zijn in het team dat de OPIA gaat uitvoeren (technisch, juridisch, proceskennis). In deze ontwikkelingsfase wordt geëxperimenteerd om de aanpak te verfijnen.
■■
Wanneer een DPIA De AVG omschrijft in welke gevallen een OPIA verplicht is. Door de Autoriteit Persoonsgegevens (AP) is deze bepaling omgezet in criteria. Komend jaar zal getoetst worden wat dit betekent voor de onderzoeken bij de gemeente Delft. Op dit moment wordt gewerkt met een lijst van gewenste DPIA's ( 18 per 1-10-19). Soms op grand van wettelijk voorschrift en regionale of landelijke afspraken, soms omdat de betrokken manager een onderzoek nodig acht, bijvoorbeeld bij introductie van een nieuwe werkwijze of systeem. Gezien de beperkte beschikbare capaciteit, bepaalt de FG de prioriteit.
20 ttt Gemeente Delft
Onder handen Data Protection Impact Assessments ■■
• Uitvoering postverwerkingsproces gemeente Delft door Werkse!, is afgerond • lnformatiestromen tussen gemeente en Delft Support in het kader van ontvlechten en
invlechten Delft Support (uitbesteed aan externe auditor) • Vroegsignalering schuldhulpverlening door middel van meldpunt EMMA • Nieuwe software voor de scanauto's van Parkeren Delft • lnrichting datawarehouse voor datagedreven werken • SHAG-project, onderdeel "Zeg ja-team" (re-integratie Werk en lnkomen) • Verplichte GGZ • Outsourcing Kantoorautomatisering Werkse!
21 tt Gemeente Delft
■■Onder handen adviestrajecten privacybescherming
• Ontvlechten en invlechten Delft Support, deelproject Privacy Het ontvlechten van de informatiehuishouding van de gemeente en Delft Support is een complex project. Gekozen is voor zelfstandige organisaties met eigen verantwoordelijkheden, en tegelijkertijd een enorme verwevenheid in werkprocessen en informatiestromen. Het aanbrengen van een privacy technisch verantwoorde scheiding hierin is een ingewikkelde opgave. Door de verzelfstandiging ontstaan bijvoorbeeld discussies rondom het toestaan van gebruik van BRP-gegevens door Delft Support, de verantwoordelijkheid voor aansluiting op landelijke systemen en de toegang van Delft Support-medewerkers tot gemeentelijke systemen. Eind 2019 worden de afspraken vastgelegd in de verwerkersovereenkomst tussen gemeente Delft en Delft Support.
• Privacybescherming in de ontwikkeling van datagedreven werken 22 Gemeente Delft
Privacy by Design en by Default ■■
Een belangrijk principe van de AVG is dat systemen en processen moeten worden ingericht op basis van de principes van gegevensbescherming. In de praktijk wordt de basis hiervoor gelegd door een OPIA. De aanbevelingen vanuit de OPIA zijn input voor de herinrichting.
Juist de start vaneen nieuwe ontwikkeling (procesen/of systeem) is een goed moment om ook een OPIA uit te voeren en deze gedurende de ontwikkeling te herhalen. Een voorbeeld van de toepassing van privacy by design is de manier waarop datagedreven werken (Bl) wordt ontwikkeld bij Delft.
23 ttt Gemeente Delft
Hoe willen we datagedreven werken met elkaar Intake o
■■Output
Financien
t ran.alb y e op
ptriton
l · "E= » pr
• ttroc te rtb yo r tt.ta tetti ai tr
i L t
• i. re
29 aprii 2019 Toekomstbeeld Bl Gemeente Delft
De BI-fabriek ■■
iiii n les1 ee
1. Vraaganalyse Scope Refinement Definition of Done
2. Functionele analyse Definities Business rules Watis er al Privacy
Toets op gebruik persoonsgegevens
3. Technische analyse W/aar staat de data Hoe te ontsluiten
4. Ophalen van data
6. Slimme dataset maken voor vraag
T oets op gebruik persoonsgegevens
6. Koppelen met Cognos (of anders)
7.presenteren I visualiseren van data
25 ttt Gemeente Delft
Toets op de bescherming van (persoons)gegevens Compliance: Voldoet de informatievoorziening aan de wet en regelgeving? Zoals de AVG
■■
Bl fabriek
Intake war"zg7%,· Control/ Privacy in
samenwerking met Bl
Controleren in de keten Wordt het proces
osvo9",,gg de data
tt Gemeente Delft
■■lnrichten Datawarehouse
ET ETL
; Gebruiker
% Gebrulker
; Gebrulker
27
Om tot een rapport te kamen worden de gegevens uit verschillende brennen verwerkt in een zogenaamd datawarehouse. De wijze waarop de gegevens worden opgehaald, verwerkt, gepubliceerd en bewaard wordt getoetst aan de principes van de AVG. Oat geldt ook voor de inrichting van het systeem. Vragen die daarbij aan de orde kamen zijn bijvoorbeeld in welke gevallen gegevens geanonimiseerd of gepseudonimiseerd verwerkt dienen worden, of de bewaartermijn van gegevens mag worden overschreden uit oogpunt van continuïteit van de datareeks, en zo meer.
it Gemeente Delft
Deelnemingen De 100% deelnemingen van de gemeente Delft hebben een bijzondere plek in het privacybeleid.
■■
Werkse! • Eigen FG • Eigen privacybeleid (binnen kaders gemeentelijk beleid)
• Periodiek overleg met gemeentelijke FG • Verwerkersovereenkomst in concept
Delft Support • Eigen FG (per 1-1-2020) • Periodiek overleg met gemeentelijke FG • Verwerkersovereenkomst in concept
Via de gemeente als gegevensverantwoordelijke:
• Afhandeling datalekken • lnzage in Persoonsgegevens • DPIA's
Parkeren Delft • Geen eigen FG • Ad hoc overleg met directeur en CISO • Verwerkersovereenkomst
28 tt Gemeente Delft
Bewustwording
• Er is een basistraining 'Veilig werken met informatie' opgestart. Deze training is verplicht gesteld voor nieuwkomers in de organisatie.
• Er is een specifieke week over informatiebeveiliging georganiseerd in de maand van de informatie (september) met onder meer de security-game van de IBD, een crashcourse informatiebeveiliging en een goedbezochte lezing van Brenno de Winter.
• Voor het uitbreiden van de basistraining naar alle medewerkers en voor het bewustwordingsprogramma voor de managers is (nog) geen budget beschikbaar.
29
■■
)A,Zo \S HET NIET LEUK MEEz
ttt Gemeente Delft
Governance, organisatie en middelen ■■
Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1/Q3 Statuut voor CISO en FG vaststellen
Aanstellen nieuwe Functionaris Gegevensbescherming (FG) Met OR afspraken maken over personeelvolgsystemen
Stand van zaken 1-10- 2019 Statuut wordt in 2019 afgerond
Aangesteld per 1-10-2019
Eerste gesprek met OR is geweest. Afronden instemmingsprocedure verschuift naar 2020
30 tt Gemeente Delft
Top Related