Digitaal waar het kan, persoonlijk waar het moet. Dit is het nieuwe motto waarmee gemeenten en andere lagere overheden zaken met burgers en bedrijven moeten afhandelen. Bij deze toegenomen digitalisering komen drie grote security risico’s kijken: veiligheid van privacygevoelige gegevens, cybercriminaliteit en mobility.

Digitale volwassenheid

De digitale dienstverlening van de overheid moet beter. Dat staat in de Rijksbegroting 2017 van het ministerie van Binnenlandse Zaken (Digitaal 2017). Uit onderzoek van Deloitte blijkt dat de verschillen tussen gemeenten nog erg groot zijn op dit vlak. Als het gaat om ‘digitale volwassenheid’ liggen de scores tussen 23,4 % en 87 %. Hierbij scoren grotere gemeenten beter dan kleine en is te zien dat de waterschappen de grootste digitale volwassenheid hebben van alle onderzochte overheden.

In de ontwikkeling naar een digitaal volwassen organisatie krijgen overheden te maken met verschillende (mobiele) security uitdagingen: 1. Beveiliging van privacygevoelige gegevens, 2. Bedreigingen van cybercriminelen en 3. Het inrichten van een veilig en betrouwbaar BYOD-beleid.

1. Veiligheid van privacygevoelige gegevens

Bij het verwerken van de gegevens die uit deze digitale dienstverlening voortvloeien, is de beveiliging een belangrijk aspect. Er ligt een grote verantwoordelijkheid bij overheden om zorgvuldig om te gaan met de persoonsgegevens van burgers. Zeker met het oog op de nieuwe Europese privacywet ‘General Data Protection Regulation (GDPR) die in 2018 wordt gehandhaafd. Deze wet zegt dat organisaties – in het geval zij persoonsgegevens onreglementair verwerken – het risico lopen op een administratieve geldboete tot 20 miljoen euro of 4% van de jaaromzet.

Digitale overheid systemen

Een belangrijk aspect van digitale veiligheid zit ook in de veiligheid van de systemen. Uit onderzoek van het Ministerie van Sociale Zaken blijkt dat met name het systeem Suwinet, waarmee overheden (gemeenten, UWV, SVB, etc.) gegevens van burgers en bedrijven digitaal kunnen opvragen, onvoldoende beveiligd is. Gemeenten werden getoetst op 7 beveiligingsnormen rond Suwinet en slechts 17% van alle gemeenten voldeed aan alle normen.

Meldplicht datalekken

Om bedrijven en organisaties op hun verantwoordelijkheden te wijzen als het gaat om privacybescherming, is op 1 januari 2016 de meldplicht datalekken geïntroduceerd. Deze uitbreiding van de Wet bescherming persoonsgegevens (Wbp) eist van organisaties dat zij in het geval van een datalek daar melding van doen bij de Autoriteit Persoonsgegevens (AP). Doen zij dit niet – en het datalek wordt openbaar – dan riskeren zij een boete die kan oplopen tot 820.000 euro. Zoals hierboven al benoemd verandert deze meldplicht in 2018 in een Europese meldplicht.

Wilt u meer lezen over de meldplicht datalekken? Download de Whitepaper ‘Mobiele datalekken: wat kunt u doen?’. 

2. Cybercriminaliteit

De aanvallen van hackers en cybercriminelen op overheidssystemen zijn actueler dan ooit. Zeer Recent nog werden de computersystemen van de Tweede Kamer getroffen door ransomware. Daarom is het voor overheden van groot belang dat zij goede preventieve security oplossingen gebruiken, dat zij de kennis en het vermogen hebben te herstellen van incidenten en dat medewerkers bewust zijn van de risico’s die ze lopen.

Bekende vormen van cybercriminaliteit op dit moment zijn:

  • Ransomware; malafide software die bestanden of uw desktop gijzelen en deze alleen teruggeven in ruil voor losgeld.
  • Phishing; vorm van internetfraude waarbij valse emails (vaak nagebootst van een voor u bekende afzender) u vragen om een malafide link aan te klikken. Phishing mails zijn vaak ook het begin van een ransomware aanval.
  • DDoS; bij een DDoS-aanval wordt via een groot netwerk van emailadressen grote hoeveelheden data verstuurd naar een server, waardoor het netwerk plat komt te liggen.

3. Het nieuwe werken: BYOD, CYOD en COPE

Met name overheden zijn enthousiast over het nieuwe werken; het onafhankelijk kunnen werken van tijd, plaats en device maken het werk van ambtenaren een stuk eenvoudiger. Bovendien kan het werken met mobiele apparaten zorgen voor een grote stijging in tevredenheid en productiviteit.

Echter, een ‘mobiel beleid’ brengt aanzienlijke security risico’s met zich mee. Cruciaal is het dat zowel het netwerk als het apparaat zelf goed beveiligd zijn, zeker als medewerkers naast privézaken ook met hun smartphone of tablet werken. Er zijn verschillende scenario’s, die in meer of mindere mate risico lopen.

  1. Bring Your Own Device (BYOD); het gebruik van privé devices voor werk gerelateerde zaken brengt het grootste risico met zich mee, omdat gebruikers de volledige controle hebben over het besturingssyteem.
  2. Choose Your Own Device (CYOD); de overheid schaft mobiele apparatuur van medewerkers zelf aan. Doordat de IT-afdeling de devices beheert en voorziet van een set regels, is de beveiliging eenvoudiger.
  3. Corporate-owned, Personally enabled (COPE); combinatie van BYOD en CYOD, waarbij organisaties het device aanschaffen en afspraken maken met medewerkers over privé gebruik.

Het beste beveiligingsplatform voor overheden

Samsung Knox biedt overheden een uitgebreid beveiligingsplatform met diverse securitymogelijkheden. Of u nu kiest voor een BYOD-, CYOD-, of COPE-beleid, Android of iOS, de beveiligingssuite biedt uitstekende gelaagde bescherming voor ieder device op overheidsniveau.

Een virtuele werkomgeving voor uw medewerkers

Knox bestaat uit zes oplossingen, waaronder drie verschillende security diensten: Knox Workspace, Knox Premium en My Knox. Workspace realiseert een aparte ‘container’ op uw smartphone, waardoor bedrijfsgegevens geïsoleerd van de rest van het toestel worden versleuteld. Workspace is compatibel met uw bestaande MDM.

Premium is een eigen cloud-based MDM-oplossing met dezelfde veilige container op het toestel als Workspace. Hiermee kunt u zowel Android- als iOS-toestellen (iPhone) beheren. My Knox is nauw afgestemd op uw BYOD-beleid en creëert een ‘virtuele’ werkomgeving, die medewerkers zelf installeren en vergrendelen met een wachtwoord. Bovendien kunnen medewerkers hiermee zelf op afstand hun toestel lokaliseren en/of wissen in het geval van verlies of diefstal.