9. | Risico’s informatieveiligheid |
|---|
Risico | De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen. |
|---|
Oorzaken | - Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
- Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
- Kwetsbaarheid voor cybersecurity-incidenten
- Onvoldoende aandacht van medewerkers
- Hogere afhankelijkheid van digitale systemen
- Toegenomen professionalisering van cybercriminelen en geopolitieke cyberdreigingen
|
|---|
Gevolg(en) | De primaire processen van de provincie kunnen ernstig geschaad worden als er knelpunten optreden in de informatieveiligheid: - De dienstverlening kan stilvallen (zie ook risico 22).
- Gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
- Compromitteren van vertrouwelijke gegevens, waaronder (bijzondere) persoonsgegevens (zie ook risico 36).
- Onvoldoende informatieveiligheid kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang. Financiële schade kan zich uiten in onderzoeks- en herstelkosten.
|
|---|
Achtergrond-informatie | De informatievoorziening van de provincie is essentieel om de processen van PZH ongestoord te laten functioneren. PZH moet aantoonbaar voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en de ISO 27001.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI. Het informatieveiligheidsrisico op deze objecten maakt onderdeel uit van risico 22. |
|---|
Maatregelen | PZH neemt maatregelen om de informatieveiligheid structureel te verbeteren: - De BIO en de ISO 27001 worden geïmplementeerd bij de provincie.
- Het Information Security Management system (ISMS) wordt ontwikkeld binnen de processen van de afdeling FJZ en I&A op basis van een versterking van het risicomanagement.
- Regelmatig uitvoeren van security testen (ethische hackers).
- Uitbreiding van logging en monitoring, en aanbesteding van een SOC/SIEM.
- Communicatie en verhogen van bewustwording van informatieveiligheid en privacy.
- Interprovinciale samenwerking voor het delen van kennis, ervaring en het oprichten van een informatieknooppunt om de toegang tot informatie over kwetsbaarheden te verbeteren.
|
|---|
Status risico | In 2022 heeft er geen majeur incident plaatsgevonden op dit risico. Wereldwijd blijft de cyberdreiging steeds toenemen, met name ransomware, waardoor het risico op verstoringen reëel blijft. Geopolitieke ontwikkelingen in 2022 voegen daar extra dreiging in het cyberdomein aan toe. Die dreiging blijft ook in 2023 reëel. De potentiële schade als gevolg hiervan is sterk afhankelijk van de aard van de verstoring, de impact op ICT-systemen en de aard van de informatie die in handen van derden is gekomen. De bandbreedte van de schade varieert van tonnen tot miljoenen. Eensluidende cijfers hierover ontbreken, waardoor kwantificering van herstelkosten lastig te begroten is. Voorlopig wordt een risico opgenomen met een kans van 0-25% en een gevolgschade van € 1 mln. |
|---|
