sensibilisering cyber.png
Provider image

IOK, Welzijnszorg Kempen en Welzijnsregio Noord-Limburg sloegen de handen in elkaar om lokale besturen te sensibiliseren rond cyberveiligheid. Het sensibiliseringsaanbod omvat diverse technieken, waaronder een postercampagne, prikkelende mails die inspelen op de actualiteit, maar ook fysieke infosessies, die later omgevormd werden tot digitale webinars in kader van de coronacrisis.

Aanleiding en doelstelling

Deze samenwerking kende een organische start. Zowel Welzijnsregio Noord-Limburg, Welzijnszorg Kempen, als IOK organiseerden reeds fysieke, sensibiliserende infosessies voor lokale besturen, waarbij het volledige lokaal bestuur betrokken werd. Deze sessies zoomen steeds in op een concreet thema met betrekking tot cyber- en informatieveiligheid, GDPR en beschermingsmaatregelen, goede praktijken om data en informatie veilig te houden, phishing en andere.

In 2017 kregen heel wat lokale besturen uit de regio Audit Vlaanderen over de vloer. Tijdens de audits benadrukte Audit Vlaanderen dat de bestaande sensibiliseringsacties zeker een nut hebben, maar dat deze best kaderen binnen een meer gestructureerde aanpak. De 3 organisaties namen deze tip ter harte en bekeken hoe ze de verschillende initiatieven meer strategisch konden realiseren.

Proces

De eerste stap bestond uit het opzetten van spontane thema-audits in de loop van 2019, waar medewerkers van de welzijnsregio’s zich bijvoorbeeld in de wachtzaal van een OCMW installeerden, om te kijken welke zaken ze opmerkten en feedback te geven. Denk bijvoorbeeld aan een collega die zijn computer niet vergrendelt wanneer hij de werkvloer verlaat of een vuilbak waarin belangrijke gegevens op papier zitten die niet versnipperd werden. Het oorspronkelijke doel was om deze kleine audits breder uit te rollen, maar de coronacrisis stak daar een stokje voor.

Een ander nefast gevolg van de pandemie, was dat de reguliere infosessies niet langer fysiek konden doorgaan. Er was ook weinig animo om de bestaande sessies zonder meer te kopiëren naar een digitale omgeving, aangezien het niet zo eenvoudig is om de aandacht van een digitaal publiek lang vast te houden. Na een verkennende brainstorm in het voorjaar van 2020, besloten ze dan ook om het online alternatief kort te houden (30-60min) en in te vullen met een aantal concrete aandachtspunten. De opnames van deze infosessies werden steeds doorgespeeld naar de leden van de regio’s, zodat de levensduur langer is dan bij fysieke sessies.

De inhoud van de webinars werd bepaald door middel van een stemming. Collega’s van de drie organisaties kwamen eerst samen tot een lijst van voorstellen, op basis van noden die ze in de voorafgaande periode opmerkten in hun lokale besturen. Over deze lijst van voorstellen werd gestemd en de meest populaire thematieken werden geselecteerd voor de webinars:

  • Wachtwoorden en multifactorauthenticatie
  • Goed backupbeheer, inclusief voor gegevens in de cloud!
  • Projectbeheer en het belang van vroegtijdige risicoanalyse
  • GDPR voor beginners
  • GBA-boetes relevant voor lokale besturen (GDPR)
  • Omgaan met lijsten uit bevolkingsregisters
  • Inzagerecht vanuit Openbaarheid van Bestuur, voor raadsleden, vanuit GDPR

Tegelijkertijd gingen ze van start met de ontwikkeling van een postercampagne rond informatieveiligheid. Hiervoor verzamelden ze 10 tips die relevant zouden kunnen zijn voor medewerkers in lokale besturen. Ze hielden rekening met wat ze hadden opgevangen tijdens de brainstormsessies over de webinars, de spontane thema-audits en de webinars zelf. Concreet gaat het over volgende 10 tips:

  • Phishing
  • Wachtwoorden
  • Gratis software
  • Clean Desk
  • Scherm vergrendelen
  • Informatie delen
  • Papieren versnipperen
  • Bureaublad
  • USB-sticks
  • Informatieveiligheid ook in je vrije tijd

Om het ontwikkelde materiaal zo aantrekkelijk mogelijk te maken, deden de welzijnsregio’s beroep op de expertise van medewerkers uit de gemeenten Oudsbergen en Pelt. Enerzijds voor de grafische vormgeving van de posters, anderzijds voor redactie en copywriting. Het uiteindelijke resultaat was een blikvangende poster per tip. Daarnaast werd door de dienst informatieveiligheid een begeleidende tekst opgesteld voor de verduidelijking van de tip welke de lokale besturen konden gebruiken in hun nieuwsbrief of op het intranet.

Elke maand verspreiden ze een van de tien pakketten naar meer dan 50 lokale besturen, politiezones, hulpverleningszones en VZW’s binnen hun werkingsgebied. Er werd gekozen om eenzelfde flow te volgen voor alle lokale besturen, zodat er een zekere uniformiteit is tussen de sensibiliseringsacties. Door een vaste (maandelijkse) frequentie aan te houden, verwachten de lokale besturen zich aan het materiaal en kunnen ze het ook eenvoudig mee opnemen in hun eigen communicatieplanning. Een aantal besturen vroegen zelfs of ze de tips ook mochten delen met hun burgers, omdat de inhoud ook voor hen een meerwaarde kan bieden. Om hieraan tegemoet te komen, besloten ze om naast de posters ook infofiches voor sociale media te ontwerpen.

De initiatiefnemers bleven het wel belangrijk vinden om ook steeds op de actualiteit in te spelen. Daarom sturen ze regelmatig waarschuwingsmails met handvatten, tips en tricks, wanneer phishingmails, ransomware en andere dreigingen de ronde doen.

Betrokken partijen

Dit sensibiliserend initiatief is een collectieve inspanning van Welzijnszorg Kempen, Welzijnsregio Noord-Limburg en de Intercommunale Ontwikkelingsmaatschappij voor de Kempen (IOK). De samenwerking rond de thema’s cyber- en informatieveiligheid tussen de drie organisaties is niet vastgelegd in een formele overeenkomst en is eerder een positief engagement tussen de verschillende betrokken partijen.

Voor de grafische vormgeving van de posters en infofiches en de copywriting voor de tekstuele dragers werd nauw samengewerkt met medewerkers van de gemeente Oudsbergen en Pelt. Hun bijdrage is geheel op vrijwillige basis.

Uitkomst

De samenwerking mondde uit in een uitgebreide sensibiliseringscampagne met diverse complementaire onderdelen:

  • Een postercampagne gebaseerd op 10 sensibiliserende tips, met afgeleiden voor verschillende kanalen (nieuwsbrief, intranet, sociale media, kantoorruimtes, …)
  • Fysieke infosessies over de basis van cyber- en informatieveiligheid
  • Webinars waarin meer specifieke thema’s behandeld worden
  • Waarschuwingsmails die inspelen op de actualiteit

Tips en tricks

  • Keep it simple: Het is gevaarlijk om de boodschappen nodeloos te compliceren - met het oog op volledigheid - aangezien je net wil dat mensen de basis 100% kennen en begrijpen, en deze ook correct kunnen toepassen.
     
  • Het oog wil ook wat: Het draait natuurlijk rond de inhoud, maar ook de vorm is van tel. Een flets Word-document spreekt weinig aan. Door wat te spelen met de stijl kan je gemakkelijker de aandacht van medewerkers trekken met je boodschap. Je werkt hiervoor best samen met mensen die hier enige ervaring mee hebben. Het moet daarbij niet meteen gaan over een private partner, misschien ken je wel iemand binnen een lokaal bestuur die kan en wil helpen?
     
  • Zoek een evenwicht tussen strategie en ad-hoc: Eén van de moeilijkere zaken, is het vinden van een evenwicht tussen geplande/strategische acties en meer ad-hoc acties. Binnen de welzijnsregio’s voorziet men ook ruimte voor spontane acties, zoals een mailing met tips en tricks rond phishing wanneer de dreiging hoog is.
     
  • Samenwerken loont: Kijk binnen je netwerk, maar dus ook bij andere lokale besturen, welke kennis of vaardigheden je kan gebruiken. Definieer op voorhand wat je nodig hebt, zoals ervaring met copywriting en vormgeving, om dan op zoek te gaan naar de juiste profielen.
     
  • Het mag ook eens wat losser: Een uitgewerkte strategie hoeft niet te betekenen dat je niet in bijkomende ludieke acties kan voorzien om te sensibiliseren. Binnen de Welzijnsregio Noord-Limburg werkt men bijvoorbeeld met smiley-stickers als men op bezoek gaat. Een rode sticker wil zeggen dat er ruimte voor verbetering is - zoals een scherm zonder vergrendeling, belangrijke gegevens die aan printer rondslingeren, een post-it met een wachtwoord, … - terwijl een gele sticker aanduidt dat een voorgaand probleem werd aangepakt. Op een gegeven moment vragen medewerkers ook proactief om een gele sticker nu een van de problemen werd weggewerkt, wat helpt om een draagvlak te creëren.

Toekomstplannen

  • Ondertussen ligt er een heldere strategie voor sensibilisering op tafel, maar deze strategie is wel nog niet formeel neergepend in een communicatieplan. Het is dan ook het doel om hier op korte termijn werk van te maken. Het plan moet aangeven welke boodschappen en kanalen gebruikt worden, met een concrete timing voor de verschillende acties.
     
  • De organisatie van webinars zullen een blijvend karakter hebben binnen de dienst informatieveiligheid. Gezien de praktische voordelen voor de zowel de deelnemers als de organisatoren zoals tijdsefficiëntie, concreet gericht naar een bepaald doelpubliek met een concreet thema, minder beperkingen qua aantal deelnemers, geen vervoers- of parkeerproblemen.
     
  • Een van de mogelijkheden die onderzocht wordt, is het uitbreiden van het bestaande aanbod met phishingtesten. Hiervoor worden enkele mogelijke applicaties of tools bekeken.

Contact