Blogs
& video

Een (nog) strenger informatiebeveiligingsbeleid binnen overheden?

Dat er één kader geldt of bestaat voor informatiebeveiliging binnen de overheid bestaat (de BIO, Baseline Informatiebeveiliging Overheid) is goed nieuws schreven we al eerder in deze blog. Overheden die onderling veel data uitwisselen werken op deze manier veiliger samen. Maar zouden de eisen van informatiebeveiliging ook niet minimaal zo streng moeten zijn voor hun toeleveranciers?

Cybercriminelen kijken naar de hele keten

In de nacht van 16 op 17 september jl. werd het bedrijf ID-Ware, wat de toegangspassen voor de Rijksdienst en de Eerste en Tweede Kamer maakt, aangevallen door een ransomware aanval. Volgens het ministerie gaat het om de privé-gegevens van bijna 3500 rijksambtenaren. Cybercriminelen die het, onder andere door de BIO, moeilijker gemaakt worden zien dus slimme mogelijkheden om via externe partijen binnen te dringen. Ze kijken binnen de hele keten naar de zwakste schakel. Ongeoorloofd toegang kunnen krijgen tot overheidsgebouwen en systemen kent helaas een hoge waarde voor mensen met kwade bedoelingen. Wat ons betreft mogen er daarom ook strengere richtlijnen voor toeleveranciers van overheden komen. Wat vind jij daarvan?

Dit voorval is vooral ook een leermoment:

Een overheidsinstelling kan beleid hebben, maar alsnog geconfronteerd worden met aanvallen

Wat precies de oorzaak was van deze ransomware aanval dat wordt, bij het schrijven van deze blog, niet gemeld in de media. Het kan mogelijk voortkomen uit een zeer gerichte phishing aanval, een slecht beveiligde verbinding of het niet toepassen van 2FA (two factor authentication). Op technisch gebied zal er ongetwijfeld van alles gedaan en bedacht zijn, maar ergens in de keten zal er een mens geweest zijn die als zwakste schakel fungeerde.

Ons advies

Dat is om op regelmatige basis te polsen of er minimaal aan de BIO-standaard voldaan wordt. Vooral omdat een public cloudomgeving constant aan verandering onderhevig is. Dat betekent dat het zin heeft om zowel te onderzoeken of het beleid wordt uitgevoerd als de techniek onder de loep te nemen. Op die manier ben je tevens goed voorbereid als er een security audit gedaan wordt. Monitoring tools (dashboards), instant alert management (om preventief aanvallen te voorkomen) en het opstellen van een Zero Trust beleid helpen daar onder andere bij. Zodat je altijd aan het management of auditors duidelijk kunt maken dat een streng informatiebeveiligingsbeleid van grote waarde is voor ons allemaal.

Daag ons maar uit!