Risicobeschrijving
Door het veelvuldig gebruik van ICT en de digitalisering lopen we ook in toenemende mate risico op het gebied van informatieveiligheid. De kans op en de impact van cybercriminaliteit kan onze gemeente kwetsbaar maken.
We zien een sterke toename van het aantal en de impact van cyber- en gedigitaliseerde criminaliteit, ook bij gemeenten. Belangrijk is om op te merken dat 100% veilig en toekomstbestendig niet bestaat; kwetsbaarheden, dreigingen en daarmee ook het informatiebeveiligingsproces, veranderen continu.
Op basis hiervan achten we de kans gering dat we als gemeente gehackt worden. Maar de impact ervan kan heel groot zijn. Ook financieel gezien kan de impact aanzienlijk zijn. De kosten als gevolg van bijvoorbeeld een kwetsbaarheid in software, een hack of ransomware kunnen oplopen van enkele duizenden euro’s tot een paar miljoen euro. Daarnaast is het mogelijk dat de gemeente bijvoorbeeld als gevolg van een datalek, een boete opgelegd kan krijgen door de Autoriteit Persoonsgegevens.
Op basis van de schade die andere gemeenten in het recente verleden hebben geleden als gevolg van ransomware kwantificeren wij dit risico op € 5.000.000, met een kans inschatting van ‘laag’, hetgeen dan een netto risico geeft van € 1.500.000 (30%).
In dit bedrag zitten kosten zoals externe inhuur voor forensisch onderzoek, het herstellen van data, het inhalen van gemiste werkdagen en het herstellen van schade en verloren werk.
In 2022 is de gemeente niet geconfronteerd met een ransomware aanval.
Beheersmaatregelen
Wij zijn als gemeente constant in beweging en spelen in op nieuwe ontwikkelingen en treffen passende maatregelen op basis van risicomanagement. De Baseline Informatiebeveiliging Overheid (BIO) beschrijft het basisniveau voor informatiebeveiliging voor Nederlandse overheden. Als gemeente voldoen we aan gestelde eisen in de BIO en voeren we hierop jaarlijks een self-assessment uit om te borgen dat we 'in control' blijven.
Gemeenten verantwoorden zich over informatiebeveiliging en kwaliteit middels de ENSIA (Eenduidige Normatiek Single Information Audit). In het kader van ENSIA geeft het college van Burgemeester en Wethouders van gemeente Noordoostpolder aan een externe IT-auditor jaarlijks opdracht voor het uitvoeren van (verplichte) audits ter zake van DigiD en Suwinet en het verzorgen van de daarover uit te brengen assurancerapporten (NOREA Richtlijn 3000).