Cybercriminelen slaan steeds meer toe bij overheidsinstellingen, vaak met grote gevolgen. Zo hebben hackers in maart ingebroken in de mailomgeving van DeSom, het ict-samenwerkingsverband van lokale overheden in West-Friesland. En vorig jaar werden de servers bij Hof van Twente door een hacker versleuteld, waardoor de gemeente er niet meer bij kon. Het wordt voor overheden dus steeds belangrijker om data goed te beveiligen. Als Sweco doen we er alles aan om ervoor te zorgen dat de data van onze klanten veilig is. En ook in de doorontwikkeling van Obsurv besteden we hier continu aandacht aan.
ISO-27001 certificaat voor Sweco
Vorig jaar hebben we als GIS&ICT het ISO 27001-certificaat voor informatiebeveiliging gehaald en sinds april 2021 is heel Sweco ISO-gecertificeerd. Dit certificaat toont aan dat je als organisatie voldoet aan de internationale standaard voor informatiebeveiliging en dat er adequate voorzorgsmaatregelen zijn getroffen om gevoelige informatie te beschermen.
‘Een ISO-certificering krijg je niet zomaar’, stelt Myron Ramkisoen, projectleider bij Sweco. ‘Daar gaat een heel traject aan vooraf. Een externe organisatie toetst of je als organisatie voor 100% aan alle eisen voldoet. Onze ISO-certificering laat zien dat informatie in goede handen is en dat Sweco een betrouwbare partner is.
‘We blijven doorontwikkelen’
‘Met een ISO-certificering zet je natuurlijk een grote stap, maar daar blijft het niet bij. Het certificaat bevestigt dat we processen op een zorgvuldige manier hebben ingericht en dataveiligheid waarborgen, maar we blijven hier continu mee bezig. Zo huren we bijvoorbeeld periodiek een externe partij in, die controles uitvoert. Op deze manier blijven wij de veiligheid van onze hosting garanderen en verbeteren’, aldus Myron.
Risico’s spreiden
Om meer grip te houden op dataveiligheid, is het ook mogelijk om Obsurv via onze Azure Cloud af te nemen of als service te gebruiken. ‘In een steeds complexer wordende ICT- en datawereld, zijn processen en nieuwe regelgevingen rondom dataveiligheid lastig bij te houden. Wij zijn hier altijd van op de hoogte en voeren dit ook door in onze processen. Dit vraagt de ISO-certificering ook van ons. Want zo’n certificaat is niet iets dat je één keer haalt, het wordt elk jaar opnieuw getoetst. We zorgen er dus voor dat we altijd up-to-date blijven’, legt Myron uit.
Toen Hof van Twente vorig jaar bijvoorbeeld werd gehackt, was alles wat lokaal stond versleuteld. Het beheer van de openbare ruimte was één van de weinige dingen waar de gemeente nog bij kon. ‘Achteraf zijn we heel blij dat Obsurv niet bij ons in huis draaide. Anders waren we ook al onze openbare ruimte data kwijt geweest en hadden we dat helemaal opnieuw moeten opbouwen. Ik heb geen idee waar we dan hadden moeten beginnen’, vertelt Eef Agteresch, productbeheerder bij gemeente Hof van Twente.
‘Door processen te spreiden en gedeeltelijk buiten je eigen organisatie onder te brengen, verklein je de risico’s om data kwijt te raken’, stelt Myron. Eef is het daarmee eens: ‘Onze begraafplaatsadministratie draait ook via een Cloud. Die data hebben we dus ook nog, maar alles wat lokaal stond is verdwenen. Door de hack is ons gemeentelijk beleid ook veranderd. Vroeger wilden we alles in huis hebben. Nu werken we zoveel mogelijk in de Cloud, tenzij het niet anders kan. Op die manier spreiden we de risico’s.’
Nóg veiliger inloggen vanaf Obsurv 3.0
De hack bij Hof van Twente is waarschijnlijk veroorzaakt door een te eenvoudig wachtwoord. ‘Er is een ‘brute force’ aanval geweest op een FTP-server met vele duizenden inlogpogingen achter elkaar. De servers waren niet voldoende gesegmenteerd, waardoor de hackers het hele netwerk op konden’, aldus Eef.
Hieruit blijkt hoe belangrijk het is om inlogprocedures goed te beveiligen. Komende zomer wordt Obsurv 3.0 verwacht. Een belangrijk onderdeel van de doorontwikkeling is dan ook het verder verhogen van de beveiliging van Obsurv. Zo wordt de inlogprocedure nóg beter beveiligd en wordt het makkelijker om Single Sign-On te configureren.
‘Met Single Sign-On kun je straks in Obsurv inloggen met de inloggegevens van de gemeente zelf’, vertelt Myron. ‘Hierdoor heb je als gebruiker dus maar één gebruikersnaam en wachtwoord nodig. Daarnaast is het een veiligere manier van inloggen, doordat het configureert met het inlogbeleid van de betreffende gemeente. Gebruikt de gemeente bijvoorbeeld een token op de mobiel? Dan gebruik je dat dus ook om in te loggen bij Obsurv.’
Voorkomen is beter dan genezen
‘Natuurlijk beseffen wij ook dat een 100% veilige dataomgeving niet bestaat. Maar om een zo veilig mogelijke omgeving te creëren, treffen we wel alle mogelijke maatregelen, spelen we tijdig in op de actualiteit en zorgen we voor bewustwording door dataveiligheid continu onder de aandacht te brengen. Zowel bij onszelf als bij onze klanten. Voorkomen is immers beter dan genezen’, besluit Myron.
Meer informatie
Heb je vragen over dataveiligheid? Of wil je meer weten over de Single Sign-On implementatie bij de release van Obsurv 3.0? Neem dan contact op met Myron Ramkisoen of Marijn van den Berg. Zij denken graag met je mee.