Paragrafen

Paragraaf Weerstandsvermogen en Risicobeheersing

9.

Risico’s informatieveiligheid

Risico

De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI en maakt nog geen onderdeel uit van deze paragraaf.

Oorzaken

  • Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
  • Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
  • Kwetsbaarheid voor cybersecurity-incidenten
  • Onvoldoende aandacht van medewerkers
  • Hogere afhankelijkheid van digitale systemen;
  • Toegenomen professionalisering van cybercriminelen

Gevolg(en)

  • De dienstverlening kan stilvallen.
  • Gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
  • Onvoldoende informatiebescherming kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang. Financiële schade kan zich uiten in onderzoeks- en herstelkosten, maar ook in het betalen van losgeld na een ransomware besmetting.

Achtergrond-informatie

Binnen de provincie wordt steeds meer datagedreven gewerkt. Dit betekent dat besluiten op data worden gebaseerd en daarmee is betrouwbare informatie cruciaal om onze organisatie te laten functioneren. Onze bedrijfsvoering kan substantieel geschaad worden als knelpunten optreden in de informatievoorziening of -bescherming. GS en PS worden periodiek vertrouwelijk geïnformeerd over (optredende) risico’s van informatieveiligheid.

Maatregelen

  • Regelmatig onderzoeken uitvoeren en ethische hackers inzetten.
  • Risicomanagement toepassen binnen de operationele processen van de afdeling I&A.
  • Uitbreiding van logging en monitoring.
  • Communicatie en bewustwording (ook een risicobeperkende maatregel) van informatieveiligheid en privacy heeft inmiddels een continu karakter.
  • Betere beschikking over cyber kwetsbaarheidsinformatie.
  • Verzekering tegen cybercriminaliteit.
  • Voor de implementatie van de ISO27001 norm en de Baseline Informatiebeveiliging Overheid wordt een opgave geformuleerd en een routeplan opgesteld.
  • Het IPO heeft recent besloten een informatieknooppunt in te richten om de toegang tot informatie over kwetsbaarheden te verbeteren

Status risico

Wereldwijd is er nog steeds een toename van cyberdreigingen, zoals phishing en ransomware, waardoor het risico op verstoringen reëel blijft. De schade als gevolg hiervan is sterk afhankelijk van de aard van de verstoring, de aangebrachte schade aan ICT-systemen en de aard van de informatie die in handen van derden is gekomen. De bandbreedte van de schade varieert van tonnen tot miljoenen. Eensluidende cijfers hierover ontbreken, waardoor kwantificering van de herstel- en/of losgeldkosten lastig te begroten is. Voorlopig wordt een risico opgenomen met een kans van 0-25% en een gevolgschade van € 1 mln.  

In 2021 zijn er bij de provincie geen grote incidenten opgetreden die tot uitval of (financiële) schade hebben geleid. Toch zijn er aanvullende maatregelen genomen tegen dreigingen, zoals de invoering van actieve monitoring van de digitale footprint van de provincie op internet. De breed gevoelde kwetsbaarheden in de Microsoft Exchange (e-mail) omgeving en de Log4j problematiek benadrukten nog eens de kwetsbaarheid van de digitale samenleving.

Deze pagina is gebouwd op 07/01/2022 10:11:46 met de export van 07/01/2022 10:03:51