Noord- en Zuid-Hollandse bibliotheken zetten volgende stap in cyberveiligheid
Na Operatie Zandzakken gaan de bibliotheken in Noord- en Zuid-Holland ambitieus aan de slag met het verder versterken van hun informatieveiligheid.
Na twee cyberincidenten binnen de eigen gelederen in het najaar van 2022 en het voorjaar van 2023 startten de bibliotheken in Noord- en Zuid-Holland snel daarna Operatie Zandzakken. Daarin stonden veelal technische maatregelen centraal die de kans op een cyberaanval al flink verkleinen. Vrijwel alle bibliotheken hebben inmiddels veruit de meeste van de 22 maatregelen genomen, zes bibliotheken alle maatregelen. Maar vooral op beleidsmatig en organisatorisch niveau is nog meer nodig. Daarom hebben de twee provinciale directieoverleggen SOOB-NH en BOZH besloten te starten met de in samenwerking met Probiblio ontworpen Operatie Dijk.
Toetsingslijst
Ook bij Operatie Dijk wordt weer gebruik gemaakt van een toetsingslijst. Die lijst geeft aan wat een bibliotheek op beleids- en organisatieniveau geregeld moet hebben om nog beter beschermd en voorbereid te zijn als het om cybercriminaliteit en datalekken gaat. De wederom 22 maatregelen op de toetsingslijst zijn erop gericht dat een bibliotheek structureel aan cyberveiligheid werkt: informatieveiligheid is in beleid en organisatie ingebed en verbetert zich en past zich voortdurend aan veranderende omstandigheden aan.
ISMS
Onder de toetsingslijst ligt de inrichting van een Information Security Management System (ISMS), dat als basis de PDCA-cyclus heeft. Dit houdt in dat er een (jaarlijkse) cyclus doorlopen wordt vanaf risicoanalyse, het uitvoeren van (technische en organisatorische) maatregelen tot het evalueren van die maatregelen en bijsturen. Door het ISMS in te richten krijgt de organisatie inzicht in welke verdere (technische en organisatorische) maatregelen ingericht zouden moeten worden. Bibliotheken kunnen de vragenlijst weer zelf of met hulp van de eigen IT-beheerder of adviseur nalopen. Hetzelfde geldt voor het uitvoeren van wat nog niet geregeld is.
Ondersteuning
Maar er kan ook een beroep worden gedaan op adviseurs die Probiblio heeft betrokken, Alexia Ronda (Fortrisk) en de al bij Operatie Zandzakken betrokken Nathan Speekenbrink (PrivacyHero), die ook de toetsingslijst hebben opgesteld. Zij kunnen helpen met het beantwoorden van de vragen én met het uitvoeren van wat nog niet goed geregeld is. Zij zullen daarbij zoveel mogelijk gebruik maken van formats. Nathan en Alexia zijn ook beschikbaar om door bibliotheken zelf of door hun externe IT-beheerder of adviseur uitgevoerde maatregelen op kwaliteit te beoordelen.
Gezamenlijke doelstelling
Uiteindelijk gaat het erom dat alle bibliotheken in Noord- en Zuid-Holland op een gezamenlijk bepaalde datum kunnen zeggen dat ze alle onderdelen op de toetsingslijst in werking hebben. In de SOOB- en BOZH-overleggen van september 2024 is deze datum vastgesteld op 1 januari 2026. Dat is ambitieus, maar onderstreept de urgentie van het nemen van de maatregelen.
Gezamenlijk belang, ook landelijk
Het is voor elke afzonderlijke bibliotheekorganisatie belangrijk om de informatieveiligheid op orde te hebben en daardoor de kans op cyberincidenten en datalekken te verkleinen. Maar er is ook een groot gezamenlijk belang, want bij elk cyberincident bij een bibliotheek wordt ook de reputatie van de andere bibliotheken geschaad.
Daarom roepen de Noord- en Zuid-Hollandse bibliotheken de collega’s in de andere provincies op waar nodig óók aanvullende maatregelen te nemen. Ze kunnen gebruiken maken van de middelen van de operaties Zandzakken en Dijk.