Gemeenten moeten zich voorbereiden op cybercrises waarbij zij zelf het slachtoffer zijn, maar ook een visie ontwikkelen op de rol die zij wel of niet spelen bij cybercrisis die binnen de gemeentegrenzen plaatsvinden en die kunnen leiden tot orde verstoringen. De onderzoeksgroep Cybersafety van NHL Stenden Hogeschool en het lectoraat Riskmanagement en Cybersecurity van de Haagse Hogeschool voerden een verkennende studie uit.
Het onderzoek startte met twee hoofdvragen:
1. Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken?
2. Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente en (kunnen) leiden tot problemen in het fysieke domein?
Om antwoord te krijgen op deze vragen heeft het onderzoeksteam een literatuurstudie uitgevoerd en zijn in de tweede helft van 2020 medewerkers van 18 verschillende gemeenten, verspreid over het land, geïnterviewd. Het merendeel van respondenten was werkzaam als chief information security officer (CISO) , adviseur openbare orde en veiligheid (AOV) en adviseur informatiebeveiliging. Hierna presenteren we twee belangrijke conclusies uit ons onderzoek.
Oefenen en uitgebreidere samenwerking tussen CISO een AOV
De eerste conclusie is dat gemeenten beperkt voorbereid zijn op cybercrisis en onvoldoende zicht hebben in hoeverre bestaande plannen en niet-geformaliseerde werkwijzen voor ‘reguliere’ crises voldoende zijn om de impact van cybercrisis te kunnen beperken, mede omdat er niet wordt geoefend. Vervolgonderzoek zou zich moeten richten op het uitvoeren en evalueren van cybercrisisoefeningen en -crisisplannen bij gemeenten.
De tweede conclusie is dat gemeenten de cybercrisisorganisatie anders kunnen aanvliegen. Er is nog een wereld te winnen bij bijvoorbeeld een actievere samenwerking tussen CISOs en AOV-ers. Beide afdelingen geven aan bereid te zijn om samen te werken en hier de voordelen van te zien, maar een ‘andere taal’ te spreken en (soms) andere belangen na te streven omdat CISOs een ‘interne’ focus hebben en AOV-ers een ‘externe’ focus. Vervolgonderzoek zou zich kunnen richten op het onderzoeken van samenwerkingen tussen beide afdelingen. Ook kunnen handvatten worden ontworpen voor gemeenten om samenwerking tussen beide afdelingen te faciliteren Met dergelijk onderzoek wordt duidelijk of een sterke verbinding tussen beide afdelingen zorgt voor een betere crisisvoorbereiding.
Dit onderzoek laat zien dat gemeenten nog zoekende zijn hoe zij hier handen en voeten aan moeten geven. Er is wel erkenning van het probleem, maar nog geen silver bullet voor de aanpak. Dit onderzoek maakt inzichtelijk voor welke uitdagingen gemeenten staan bij het voorbereiden op cybercrisis en doet daarmee een aanzet naar een veiligere digitale samenleving. Vervolgonderzoek is cruciaal om gemeenten weerbaar en wendbaar te maken op het gebied van cybercrisis.
Lees hier het volledige onderzoeksrapport van de onderzoeksgroep Cybersafety van NHL Stenden en van het lectoraat Riskmanagement en Cybersecurity van de Haagse Hogeschool.
Joyce Koch is onderzoeker bij het lectoraat Riskmanagement en Cybersecurity bij De Haagse Hogeschool
