“Cyberincidenten vormen een steeds grotere bedreiging voor overheden, bedrijven en burgers. Deze incidenten kunnen desastreuze gevolgen hebben voor de dienstverlening. Daarom is het belangrijk dat de overheid haar informatieveiligheidsbeleid op orde heeft. Maar als er dan toch iets misgaat, is de overheid dan wel voldoende voorbereid?”, vroeg oud-Staatssecretaris Raymond Knops van Binnenlandse Zaken en Koninkrijksrelaties aan de deelnemers van de Overheidsbrede Cyberoefening.
Weerbaarder worden
De ‘basis op orde’ is een eerste vereiste. De Baseline Informatiebeveiliging Overheid (BIO) vertaalt dit vereiste in één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. Overheidsorganisaties zijn verplicht om in 2020 deze baseline geïmplementeerd te hebben. Er is meer. De tools onder deze stap zijn verdeeld over vier onderdelen die helpen weerbaarder te worden: scans en hulpmiddelen, tools voor bestuurders, bewustwording en games om te oefenen met een cyberincident. Tot slot vind je hier ook belangrijke achtergrondinformatie.
Scans en hulpmiddelen
Met de tools in het uitklapblok krijg je snel inzicht in de stand van zaken, risico’s en verbetermaatregelen.
Scans en hulpmiddelen
Deze quickscan behandelt 3 thema’s om de digitale weerbaarheid te vergroten binnen de eigen organisatie. Verbinden en organiseren, zicht op afhankelijkheden en oefenen & testen.
Dit pakket ondersteunt bij de implementatie van processen en maatregelen uit de BIO met de hoogste prioriteit. Bijvoorbeeld om het bewustzijn van cybersecurity te vergroten, en voor bedrijfscontinuïteitsbeheer. Ontwikkeld voor gemeenten, maar ook bruikbaar voor andere overheden.
Na het incident rondom een lek in de Citrix software is een evaluatie gedaan. De indrukken en geleerde lessen zijn verzameld, en maatregelen in gang gezet. Ervaring is vaak een goede voorbereiding, doe er uw voordeel mee.
Het Cyberkompas helpt om zwaartepunten te bepalen en na te denken over maatregelen die uw organisatie heeft genomen of in de toekomst zou moeten nemen om weerbaar te blijven. Het instrument helpt inzicht te hebben op de uitdagingen en ontwikkelingen van de komende jaren.
Deze factsheet geeft een overzicht van de verschillende soorten ransomware, beschrijft enkele maatregelen om een ransomware-aanval te voorkomen en geeft advies over wat te doen als uw organisatie geïnfecteerd is met ransomware.
De Baseline Informatiebeveiliging Overheid (BIO) helpt het lijnmanagement bij het nemen van haar verantwoordelijkheid voor informatiebeveiliging. De BIO vereenvoudigt het risicomanagement.
Mindmap maatregelen: verschillende checklists op een overzichtelijke pagina. Om op A3 in kleur uit te printen en op strategische plekken op te hangen in de organisatie.
Test of de basis op orde is. De basisscan Cyberweerbaarheid geeft een indruk van de digitale weerbaarheid ten opzichte van de 5 basisprincipes van veilig digitaal ondernemen. Kies als ‘categorie ‘overheid en zorg’. Deze basisscan geeft ook aan welke concrete stappen genomen kunnen worden om de digitale weerbaarheid te vergroten.
Het Nationaal Crisisplan Digitaal biedt bouwblokken om scenario’s van cyberdreigingen mee op te stellen. Om mee te oefenen of om de impact op de organisatie in beeld te krijgen.
De Agenda Digitale Veiligheid geeft een handelingsperspectief voor de lokale bestuurder bij vraagstukken rondom digitale veiligheid.
Met dit pakket organiseren en voeren provincies zelfstandig een interactieve cyberoefening uit. Bevat een scenario waarin een crisis wordt gesimuleerd. Deelnemers ‘beleven’ een cybercrisis en oefenen hoe ze moeten reageren.
Deze handreiking is ontwikkeld om organisaties te helpen bij het opzetten van een cyberoefening. De handreiking is modulair opgebouwd. Afhankelijk van je ervaring met cyberoefeningen kies je de modules uit. Heb je al wat ervaring, dan klik je op de modules die jou helpen. Je kan direct aan de slag of eerst nog je leerdoel bepalen.
De Cybersecurity Health Check is een hulpmiddel dat u in staat stelt inzicht te krijgen in de staat van cyberbeveiliging van uw organisatie. Deze Health Check is een leidraad voor controlerend accountants om met hun opdrachtgevers het gesprek over cybersecurity aan te gaan. Ontwikkeld voor middelgrote bedrijven, ook bruikbaar voor kleinere overheidsorganisaties.
Ransomware-aanvallen kunnen organisaties helemaal stilleggen, met enorme schade als gevolg. Dave Woutersen – coördinator Operatie bij het NCSC vertelt in dit artikel meer over ransomware, de consequenties daarvan en hoe organisaties zich kunnen weren.
Uitval van telecom kan in iedere organisatie tot problemen leiden. Het vijfstappenplan Telekwetsbaarheid van Agentschap Telecom helpt u om uw organisatie hier op voor te bereiden.
Samen sta je sterker. Het NCSC heeft samen met zijn partners een handreiking opgesteld. Zet aan de hand van drie fases concrete stappen voor succesvolle regionale samenwerking.
In dit rapport zijn maatregelen bijeengebracht die moeten leiden tot een aanzienlijke verbetering van de digitale veiligheid van hard- en software.
Op deze website kunt u zien of uw gemeente de beveiliging van de website op orde heeft. Groen is ja, rood is nee.
Dit model beschrijft de 7 fasen die cyberaanvallers doorlopen om hun doel te bereiken. Door inzicht te geven in hoe hackers te werk gaan, kunnen organisaties beter ingrijpen en hackers makkelijker de pas afsnijden.
Bestuurders
Bestuurders hebben de regie in een cybercrisis. Weten zij wat hun verantwoordelijkheden zijn en hoe ze op cybersecurity kunnen sturen?
Tools voor bestuurders
Welke taken hebben burgemeesters bij het bestrijden van cybercriminaliteit? Bekijk het in deze video van de VNG.
Wat zijn de verantwoordelijkheden van bestuurders bij cybersecurity? En wat kunnen zij doen om de implementatie te versnellen?
“Bij ons gebeurt dat niet”, is dat een hardnekkige overtuiging in de organisatie? Gebruik dan dit voorbeeld van de gemeente Lochem over haar cybercrisis. Het kan namelijk iedereen overkomen. De rapportage geeft ook inzicht in de geleerde lessen en laat zien welke onderzoeken gedaan zijn in de crisis.
Deze strategische handleiding geeft bestuurders handvatten om de organisatie voor te bereiden op een cyberincident, de schade ervan te beperken en de herstelcapaciteit te vergroten. Handig is ook de checklist die snel inzicht geeft in de vraag: waar staan we?
Bewustwording
Bewustwordingsprogramma’s maken van de mens de sterkste schakel bij het voorkomen van incidenten.
Tools voor bewustwording
Hoe verhoog je het bewustzijn van informatieveiligheid bij gemeentemedewerkers? De Informatie Beveiligingsdienst (IBD) maakte een toolkit ‘behaviour-by-design’; een gestructureerde aanpak voor meer informatieveilig gedrag.
Er bestaan verschillende podcasts rondom informatieveiligheid. Beluister bijvoorbeeld de podcastserie “Let’s talk about hacks”, de podcast van het CIP, Cyberstelling van BNR nieuwsradio, Cyberhelden van Ronald Prins of de podcast van het ECP Crisistijd: Hoe houden wij het internet- en e-mailverkeer veilig? In de RADIO podcast staan diverse cyberpodcasts bij elkaar, waaronder de podcast Privacy in de praktijk.
CIP (Centrum Informatieveiligheid en Privacybescherming) maakte veel verschillende awareness-producten; filmmateriaal (‘CIP-casts’), e-Learning-modules (bijvoorbeeld over social engineering en phishing), een bestuurdersmanifest (vijf ik-boodschappen) en tips voor een programmatische aanpak.
Wat kan een (Rijks)ambtenaar doen om digitaal veilig te zijn en te blijven? Welke ontwikkelingen zijn er op dit gebied? Waar moet u op letten tijdens uw werk? Directeur Hans de Vries en adviseur Koen Sandbrink van het Nationaal Cyber Security Centrum vertelden hierover tijdens een RADIO-webinar (alleen beschikbaar wanneer je een overheidsmailadres hebt).
Op de website van de Overheidsbrede Cyberoefening zijn alle cyberwebinars 2021 nog tot en met maart 2022 terug te zien. Verschillende webinars met tips en gedeelde ervaringen: wat kunnen organisaties doen om zich te beschermen tegen cyberaanvallen? En wat is hierbij de werkwijze van andere overheidsorganisaties?
Meer weten over ransomware (wat is het en wat zijn de trends?) en de gevolgen voor uw organisatie? In de Masterclass Ransomware komen verschillende experts aan het woord. Hoe valt het te voorkomen en wat kunt u doen als de organisatie toch wordt getroffen? Bekijk ook de korte animatie over wat ransomware is.
Met een red teaming oefening test je de informatieveiligheid van je organisatie. Ethische hackers voeren een aanval uit die alle onderdelen van de organisatie op de proef stelt. Op die manier krijg je inzicht in de digitale weerbaarheid, op welke punten het beter kan en maak je medewerkers bewuster.
Games
Naast alle maatregelen, scans en incidenten is oefenen van groot belang bij het leren omgaan met een toekomstige crisis. Er zijn verschillende games beschikbaar.
Games
Serious gaming is een effectieve methode om cybergevaar onder de aandacht te brengen. Daarom ontwikkelde RADIO in samenwerking met het Nationaal Cybersecurity Centrum (NCSC) de serious game, cybercare.
In de database staan verschillende cyberprojecten en games die gemeenten en samenwerkingsverbanden de afgelopen jaren ontwikkelden. Hiermee kunnen organisaties zelf aan de slag om de cyberweerbaarheid in de eigen gemeente of regio te vergroten.
Teamspel waarin u ervaart wat het is om een beveiligingscrisis in de organisatie te bestrijden. De game duurt 75 minuten en kan gespeeld worden in groepen van 5 tot 15 mensen. Er is een gemeente-, waterschap- en een tienervariant.
In het bordspel ‘Spion op je pad’ maken de deelnemers kennis met de dilemma’s rondom informatiebeveiliging en privacy. De spelers werken onder begeleiding van de spelleider samen onder tijdsdruk en moeten telkens de afweging maken tussen beveiliging, snelheid en kwaliteit. Maar pas op: een incident ligt op de loer, net als in de echte wereld!.
VNG Academie organiseert diverse train-de-trainer sessies waarin gemeentelijke moderatoren worden opgeleid om de cybergame in de eigen organisatie te kunnen uitvoeren.
Alert Online heeft in samenwerking met een partner verschillende Escape Rooms ontwikkeld, die u kunt inhuren om medewerkers bij het thema cybersecurity te betrekken.
Dit risicomanagementspel is bedoeld voor mensen in de informatiebeveiliging en privacybescherming. Het doel is bewustwording te creëren over de onverwachte dingen die kunnen gebeuren in van cybersecurity en de noodzaak maatregelen te nemen om risico’s te minimaliseren. Vraag het spel op bij ron.vantroost@ictu.nl
Voorbeeldproject: met deze jaarlijkse hackwedstrijd daagt de Gemeente Den Haag ethische hackers uit om de gemeentelijke systemen grondig te testen.
Beleid voor cybersecurity
In verschillende beleidsstukken vind je de ambities en aanpak voor cybersecurity.
Beleidsstukken en achtergrondinformatie
Het rapport Voorbereiden op digitale ontwrichting (rapport nr. 101, 2019) pleit voor een betere voorbereiding op een digitale ontwrichting door adequate bevoegdheden om escalatie te voorkomen en inspanningen op het terrein van cyberverzekeringen te verrichten. Maak kennis met het fenomeen en wat dat betekent voor overheid en maatschappij.
Cybercrime, cyberspionage en cybersabotage kunnen systemen en processen verstoren, met grote gevolgen voor de volksgezondheid, veiligheid en economie. Deze digitale bedreigingen vragen van de waterpartners om een gezamenlijke aanpak en inspanning.
De Nederlandse Cybersecurity Agenda (NCSA) beschrijft de zeven ambities die bijdragen aan de doelstelling: Nederland is in staat om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen.
Kabinetsbrede ambitie en doelstellingen op het terrein van digitalisering.
In juli 2018 lanceerde de overheid de interbestuurlijke agenda NL DIGIbeter: Agenda Digitale Overheid. Medio 2019 werd deze agenda geactualiseerd. Deze agenda valt, net als de Nederlandse Cybersecurity Agenda, onder de Nederlandse Digitaliseringsstrategie.
Tips van deelnemers en experts
Sprekers en deelnemers van de Overheidsbrede Cyberoefening gaven de volgende tips:
- “Uw organisatie is groter dan u denkt. Elke plek thuis is ook een werklocatie, dus veel organisaties hebben wel duizend werkplekken.”
- “Weet goed wat de kroonjuwelen zijn die u wil beschermen.“
- “Een oefening – zoals de Overheidsbrede Cyberoefening – leert wat er kan gebeuren tijdens een incident en waar verbeterpunten liggen. En u kweekt er écht awareness mee.”
Meer tips en ervaringen vindt u in het online magazine in het kader van de Overheidsbrede Cyberoefening 2021.