9. | Risico’s informatieveiligheid |
|---|
Risico | De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen. |
|---|
Oorzaken | - Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
- Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
- Kwetsbaarheid voor cybersecurity-incidenten
- Onvoldoende aandacht van medewerkers
- Hogere afhankelijkheid van digitale systemen
- Toegenomen professionalisering van cybercriminelen en geopolitieke cyberdreigingen
|
|---|
Gevolg(en) | De primaire processen van de provincie kunnen ernstig geschaad worden als er knelpunten optreden in de informatieveiligheid: - De dienstverlening kan stilvallen.
- Gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
- Compromittatie van vertrouwelijke gegevens, waaronder (bijzondere) persoonsgegevens (zie ook risico 36).
- Onvoldoende informatieveiligheid kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang. Financiële schade kan zich uiten in onderzoeks- en herstelkosten.
|
|---|
Achtergrond-informatie | De informatievoorziening van de provincie is essentieel om de processen van PZH ongestoord te laten functioneren. PZH moet aantoonbaar voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast is Interprovinciaal afgesproken dat alle provincies per 1 januari 2023 aan de ISO 27001 voldoen.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI. Het informatieveiligheidsrisico op deze objecten maakt onderdeel uit van risico 22. |
|---|
Maatregelen | PZH neemt maatregelen om de informatieveiligheid structureel te verbeteren: - De ISO 27001 wordt verder geïmplementeerd bij de provincie.
- Op basis van een geactualiseerd Informatieveiligheidsbeleid en nieuw risicomanagementbeleid en -proces wordt het Information Security Management system (ISMS) opgebouwd binnen de operationele processen van de afdeling I&A.
- Regelmatig uitvoeren van security testen (ethische hackers).
- Uitbreiding van logging en monitoring.
- Communicatie en verhogen van bewustwording van informatieveiligheid en privacy.
- Interprovinciale samenwerking voor het delen van kennis, ervaring en het oprichten van een informatieknooppunt om de toegang tot informatie over kwetsbaarheden te verbeteren.
|
|---|
Status risico | Wereldwijd blijft de cyberdreiging toenemen, met name ransomware, waardoor het risico op verstoringen reëel blijft. Geopolitieke ontwikkelen in 2022 voegen daar extra dreiging in het cyberdomein aan toe. De potentiële schade als gevolg hiervan is sterk afhankelijk van de aard van de verstoring, de impact op ICT-systemen en de aard van de informatie die in handen van derden is gekomen. De bandbreedte van de schade varieert van tonnen tot miljoenen. Eensluidende cijfers hierover ontbreken, waardoor kwantificering van herstelkosten lastig te begroten is. Voorlopig wordt een risico opgenomen met een kans van 0-25% en een gevolgschade van € 1 mln. |
|---|
