Privacy en security
Privacy
De bescherming van persoonsgegevens van klanten en medewerkers en andere betrokkenen heeft bij Alliander continu aandacht. Op het gebied van privacy streven we naar een steeds hoger volwassenheidsniveau. Bijvoorbeeld door het inrichten van een nieuw centraal en geautomatiseerd Privacy Control Framework voor het optimaliseren van privacy-beheersmaatregelen. Ook besteedden we aandacht aan Privacy by Design, waarbij we ervoor zorgen dat privacy vanaf het begin onderdeel is van een product of dienst in ontwikkeling. We voeren hiervoor gerichte validatiechecks uit op alle IT-applicaties. We werkten verder aan een beleid voor identiteits- en toegangscontrole waardoor autorisaties op eenduidige wijze ingericht, toegekend, gecontroleerd en ingetrokken worden.
Datalekken
In 2022 kregen we de melding dat een bedrijf dat voor ons toegangspassen personaliseert, getroffen was door gijzelsoftware. Hierbij zijn helaas pasgegevens van een kleine groep Alliander-medewerkers ontvreemd. Getroffen collega’s en ex-collega’s zijn per mail persoonlijk geïnformeerd en het lek is gemeld bij de Autoriteit Persoonsgegevens.
In 2022 hebben we in totaal 21 geïdentificeerde datalekken onderzocht. Voor 8 van deze incidenten dragen de netbeheerders gezamenlijk de verantwoordelijkheid doordat het gecentraliseerde verwerkingen betrof. Van de 21 geïdentificeerde datalekken ging het in 9 gevallen om een lek waarvoor conform de AVG/UAVG de meldingsplicht geldt (waarvan 5 Alliander-meldingen en 4 sectormeldingen).
Security
Als vitale infrastructuur uitvalt, kan dat grootschalige maatschappelijke ontwrichting veroorzaken. Alliander valt onder de Wet beveiliging netwerk- en informatiesystemen en we doen er samen met partners alles aan om te voorkomen dat vitale infrastructuur uitvalt. Afgelopen jaar nam het belang van security voor onze organisatie toe door toegenomen dreigingsniveaus op verschillende vlakken. Geopolitieke ontwikkelingen, zoals de oorlog in Oekraïne, vereisen betere bescherming van gegevens. Daarnaast was er sprake van een sterke toename van cyberaanvallen. Kennis over cybersecurity is echter schaars, zodat het aantrekken en behouden van gekwalificeerde medewerkers een uitdaging is.
Cybersecurity omvat alle maatregelen (techniek, mens en organisatie) om illegale digitale activiteiten te signaleren, tegen te gaan en om schade ervan te beperken. We maken daarbij zoveel mogelijk gebruik van professionele en moderne beveiligingssystemen. We monitoren en analyseren cyberrisico’s voortdurend om te bepalen wat ze voor Alliander betekenen, hoe wij erdoor geraakt kunnen worden en welke acties we moeten ondernemen. Daarnaast is er een scheiding tussen onze kantoor- en procesautomatisering, om het beheer van onze energienetten zoveel mogelijk buiten het bereik van kwaadwillenden te houden.
Securitystrategie
Sinds 2022 werkt Alliander volgens vier fundamentele security-strategieën:
In het digitaliseringsportfolio passen we ‘Security by Design’ toe om security te borgen. Dit betekent dat we in initiatieven, zowel bij het zelf ontwikkelen als bij het aankopen van producten en diensten, security vanaf het begin in de plannen en ideeën meenemen.
We implementeren een Alliander breed managementsysteem voor informatieveiligheid om security consistent te kunnen managen en actueel te houden.
We faciliteren Business Continuity Management om de impact van een crisis op bedrijfsprocessen te minimaliseren: we treffen voorbereidingen op een crisis en weten wat we moeten doen als zich een crisis voordoet.
We werken toe naar een security-volwassenheidsniveau vier volgens de Norea-standaard door securityprocessen te definiëren en meetbaar te maken. Begin 2023 meten we op welk niveau we zitten.
Niet alleen Alliander onderkent het belang van cybersecurity maar ook de belangstelling vanuit de politiek neemt steeds verder toe. Zowel vanuit de Nederlandse politiek als vanuit Europees perspectief wordt de noodzaak van adequate cybersecurity voor vitale industrieën evident gevonden. In de komende jaren zal de regel- en toezichthoudende druk op Alliander vanuit wet- en regelgeving naar verwachting verder gaan toenemen met de NIS2, de NCCS en de CER. Belangrijke aspecten hierin zijn de risk assessments en supply chain security. Het afgelopen jaar is daarom de nodige aandacht uitgegaan naar het afstemmen van de ontwikkelingen op het gebied van wet- en regelgeving, IT-fundamentals en cybersecurity.
In 2022 hebben Liander, Alliander Telecom, Utility Connect en Kenter hun ISO27001 certificering behouden en is Qirion ISO27001 vanaf januari 2023 gecertificeerd.