Thema-audit Informatiebeveiliging en phishing-test

Thema-audit Informatiebeveiliging

Audit Vlaanderen voerde in 2017 een thema-audit Informatiebeveiliging uit bij de lokale besturen. Tussen januari en december 2017 werden een 20-tal besturen geauditeerd. In 2018 volgden de provincie en nog 8 gemeenten en/of OCMW’s. In totaal werden dus 27 gemeenten en/of OCMW’s geauditeerd, de betrokken besturen kan u hier terugvinden.

Het globale rapport met overkoepelende resultaten wordt in 2018 verwacht.

Phishing-test

In de marge van deze thema-audit konden alle gemeenten, OCMW’s en provincies meewerken aan een vrijwillige en kosteloze phishing-test. Alle provincies, 72% van de gemeenten en 64% van de OCMW’s schreven zich hiervoor in.

Audit Vlaanderen koos er voor om drie “scenario’s” te testen:

  • Phishingmail 1 was een zeer goed vormgegeven e-mail
  • Phishingmail 2 was een e-mail die makkelijk herkenbaar was als verdacht aanbod
  • Phishingmail 3 wees op het feit dat je als openbaar bestuur soms wel moet communiceren

Een beschrijving van het verloop en de aanpak van de phishing-test kan u vinden in dit apart document.

De keuze van deze scenario’s gebeurde volledig autonoom door Audit Vlaanderen. In de mate dat werd gealludeerd op bestaande organisaties, werd kort voor de verspreiding van de betrokken e-mail contact opgenomen met deze organisaties teneinde afspraken te maken over de omgang met eventuele reacties.

De drie e-mails waren phishing-mails die enkel gestuurd werden naar de e-mailadressen die de ingeschreven besturen zelf bezorgden voor deze test. Deze e-mails werden bewust uitgestuurd om na te gaan hoeveel personen potentieel onveilige handelingen zouden stellen. Doordat de bewuste e-mails en de betrokken websites geen malafide code bevatten, was deze test volstrekt onschadelijk.

Audit Vlaanderen wil met de resultaten van deze test helpen het bewustzijn voor internetfraude via phishing te verhogen.

De e-mailadressen die in het kader van de phishing-test werden verzameld, zullen voor geen andere doeleinden worden gebruikt en worden na afloop van de test en de rapportage vernietigd.

Inmiddels werden de individuele rapporten van de ingeschreven gemeenten en OCMW's bezorgd aan de respectievelijke secretarissen. Ook de griffiers ontvingen de individuele rapporten van hun provincie.

De overkoepelende resultaten van de gemeenten en OCMW's kan u hier vinden.

De overkoepelende resultaten van de provincies kan u hier vinden.

Een overkoepelend resultaat zal ook worden meegenomen in het globale rapport over de thema-audit informatiebeveiliging.

Voor alle duidelijkheid

Geregeld halen informatiebeveiligingsincidenten de pers. De komst van de Algemene Verordening Gegevensbescherming (AVG of GDPR) maakt heel duidelijk dat van alle organisaties wordt verwacht dat voldoende aandacht wordt gegeven aan informatiebeveiliging. Veel incidenten blijven minder opgemerkt. Het mag duidelijk zijn dat volgende incidenten weliswaar plaatsvonden binnen de periode waarin ook deze thema-audit liep, maar dat ze geen deel uitmaakten van deze thema-audit:

  • ransomware-aanvallen in het voorjaar van 2017
  • de ontdekking van een kwetsbaarheid in het WPA2-protocol voor Wifi-verbindingen in het najaar van 2017
  • de ontdekking van kwetsbaarheden in processoren van computers, smartphones, … (Meltdown en Spectre) begin 2018
  • www.hoeveiligismijngemeente.be
  • www.haveibeenpwned.com
  • eventueel ontbrekende updates op uw eigen computer of smartphone

Hier vindt u meer informatie over:

  • De auditdoelstellingen
  • Het controleprogramma
  • De technische testen
  • De klankbordgroep