Crisismanagement, bescherming persoonsgegevens en (cyber)security
Crisismanagement
De crisisorganisatie hield zich in 2021 bezig met de gevolgen van de COVID-pandemie. Het dedicated COVID-crisisteam, was onder de naam Taskforce COVID-19 actief van februari 2020 tot en met maart 2022. De werkzaamheden bestonden uit het monitoren van de laatste stand van zaken rond de COVID-pandemie en het op basis daarvan adviseren van het bestuur en managementteam LVNL. Het bestuur en managementteam LVNL namen vervolgens besluiten en voerden acties uit op strategisch niveau.
(Cyber)security
LVNL neemt fysieke, personele en cybersecuritymaatregelen voor de beveiliging van haar medewerkers, objecten en systemen. Daarmee zorgen we voor de vliegveiligheid en continuïteit van onze dienstverlening. Met name bedreigingen op het gebied van cybersecurity worden groter en complexer. Een cyberincident kan significante gevolgen hebben voor de dienstverlening van LVNL en daarmee direct schade voor LVNL en haar stakeholders tot gevolg hebben. Cybersecurity is geclassificeerd als één van de zes toprisico’s voor LVNL.
In 2021 hebben zich geen security-incidenten voorgedaan die de vliegveiligheid in gevaar hebben gebracht.
Dit wil echter niet zeggen dat we niet te maken hebben gehad met security-incidenten. Zo heeft LVNL in januari twee keer te maken gehad met een cyberincident in de vorm van een externe poging om toegang te krijgen tot de kantoor-ICT-omgeving. Uit onderzoek is niet naar voren gekomen dat deze pogingen geslaagd zijn. Het is dan ook in beide gevallen zeer onwaarschijnlijk dat er onbevoegde toegang is geweest tot de omgeving.
In een uitzending van Zembla in oktober werd melding gemaakt dat DMARC niet was geïmplementeerd op de LVNL-mailomgeving. DMARC biedt beveiliging tegen het misbruiken van e-mail voor spam of phishing. Het ontbreken van DMARC was al bekend bij LVNL en stond op de security roadmap. Voor de uitrol was echter een aanpassing van een ander systeem nodig, dat niet compatibel was met DMARC.
De Log4J kwetsbaarheid had wereldwijd grote impact. Dat gold ook voor LVNL. In de laatste weken van 2021 hebben de technische productgroepen grote inzet gepleegd op het inventariseren van mogelijk kwetsbare systemen bij LVNL en bij leveranciers. Op kwetsbare systemen is vervolgens van nieuwe software (updates) geïmplementeerd. Voor systemen waarvoor geen updates beschikbaar waren of waarvoor de status van updates niet beschikbaar was, zijn mitigerende maatregelen genomen.
De regie van deze activiteiten lag bij ons operationeel tactisch crisisteam. Ook in 2022 vinden nog activiteiten plaats die een direct gevolg zijn van de Log4J kwetsbaarheid.
In december hebben we uit voorzorg een systeem offline gehaald, nadat we van het EUROCONTROL Computer Emergency Response Team (EATM Cert) een melding hadden ontvangen van een kwetsbaarheid in een systeem dat door meerdere luchtverkeersleidingsorganisaties wordt gebruikt. Het betrof een systeem dat wordt gebruikt voor de uitwisseling van aeronautische data tussen LVNL en externe partijen ter voorbereiding van de publicatie van procedures. De genoemde incidenten in januari en december zijn vrijwillig, dus niet vanwege de meldplicht volgens de Wet beveiliging netwerk- en informatiesystemen, gemeld aan het Nationaal Cyber Security Centrum.
In 2021 werd duidelijk dat de implementatie van cybersecurity maatregelen veel tijd en resources vroeg. Een reden is dat het soms lastig is om langlopende investeringen in cybersecurity voldoende aandacht te geven tegenover meer acute problemen in de operatie. Daarnaast speelt mee dat het bij een aantal systemen niet mogelijk is om zonder grote inspanning te voldoen aan nieuwere richtlijnen ten aanzien van cybersecurity. Hierop is onder andere besloten om een taskforce op te zetten met als doel de technische productgroepen te helpen met de implementatie van de cybersecuritymaatregelen. Ook heeft het bestuur eind 2021 goedkeuring gegeven voor een nieuw programma met extra middelen en een forse formatie-uitbreiding in het cyber domein, ondanks de forse besparingen waar LVNL voor staat. Dit wordt in 2022 verder vormgegeven. Een aandachtspunt hierbij is de krapte op de arbeidsmarkt in dit domein.
In 2021 is een inspectie cyber van de Inspectie Luchtvaart en Transport gestart. Deze inspectie wordt in de loop van 2022 afgerond.
Bescherming persoonsgegevens
In 2021 was sprake van zes datalekken. Eén datalek is gemeld aan de Autoriteit Persoonsgegevens (AP). Het ging hierbij om een bestand met persoonsgegevens en om inloggegevens van een gebruiker die toegankelijk waren voor alle LVNL-collega’s. Naar aanleiding van dit datalek zijn interne procedures en afspraken met een dienstverlener aangepast.
Aantal datalekken en aantal gemeld aan de Autoriteit Persoonsgegevens.
De Algemene verordening gegevensbescherming (AVG) is van toepassing sinds 25 mei 2018. Daarmee is geregeld dat in de hele Europese Unie dezelfde privacywetgeving geldt. LVNL heeft de processen rondom data privacy beschreven en opgenomen in het managementsysteem. Twee keer per jaar legt de functionaris gegevensbescherming van LVNL verantwoording af aan het bestuur. LVNL is voor de AVG in control.