De media staan aardig bol met berichten over datalekken, spionage, digitale dreiging, et cetera. Hoe weerbaar zijn lokale overheden eigenlijk tegen deze dreigingen?
Eind augustus verscheen in de Volkskrant een interview met brigade-generaal Wilfred Rietdijk, strategisch adviseur Nationale Veiligheid en Cyber van het ministerie van defensie. Daarin gaf Rietdijk aan dat Nederland de digitale dreiging niet aan kan en de democratie ondermijnd wordt door buitenlandse krachten. De technieken die worden gebruikt in moderne oorlogsvoering, overstijgen zijn departement. Volgens Rietdijk is hiervoor een centraal orgaan nodig om dit te bestrijden.
Wekelijks is er een stroom van nieuwberichten over digitale dreiging, cybersecurity, (politieke) beïnvloeding, datalekken, spionage en dergelijke. De roep om extra middelen om de digitale dreiging het hoofd te bieden, blijft aanhouden en wordt steeds groter. Nederland maakt zich ook op internationaal niveau hard voor de erkenning van cyber(dreigingen). Mede daardoor heeft de NAVO-top in Wales 2016 besloten om naast land, lucht en zee voortaan ook cyber te erkennen als vierde operationele domein. Hiermee heeft ook de NAVO zich aangepast aan nieuwe dreigingen.
Maar hoe vergaat het de lokale democratie op het terrein van cyber? Kan de gemeentelijke bestuurder de cyberdreiging aan en zijn wij als lokale overheid weerbaar tegen deze dreigingen? Hebben wij ons ook al aangepast?
Parallel tussen financiële crisis en cyber
Op internationaal niveau is wat gaande. Over het algemeen hebben we de neiging om dergelijke berichten voor kennisgeving aan te nemen en door te gaan met de orde van de dag. Maar beseffen wij dat dit onderwerp en de ontwikkelingen in het domein van cyber directe werking heeft op de gemeentelijke organisatie? Net zoals de financiële crisis, die in de Verenigde Staten startte, ook ons als gemeenten trof. Denk alleen maar aan het voorbeeld waarbij gemeenten geld hadden ondergebracht op IJslandse rekeningen. Voor tientallen miljoenen euro’s stond gemeenschapsgeld op de omgevallen IJslandse bank Landsbanki. Het spaarbeleid van gemeenten is inmiddels hierop aangepast.
In het domein cyber gaan de ontwikkelingen harder en kan de impact veel groter zijn. Het probleem met cyber is dat het zich moeilijk laat uitleggen. Het is niet tastbaar. Op lokaal niveau wordt overigens niet de term cyber gehanteerd, maar term informatiebeveiliging. Klinkt ineens een stuk minder spannend, maar die term dekt een bredere lading dan cyber.
Wat is de meerwaarde van informatiebeveiliging?
In mijn functie als CISO (Chief Information Security Officer) heb ik de taak om de eerder beschreven ontwikkelingen en dreigingen te vertalen naar gemeentelijke begrippen. Eerder kreeg ik de vraag om uit te leggen wat het effect is als we (nu) niet inzetten op informatiebeveiliging. Zo’n politiek geaccentueerde vraag is meer dan terecht. Maar hoe leg je als CISO de meerwaarde van informatiebeveiliging uit?
Naar mijn mening is het simpel uit te leggen en kan dat ook op diverse manieren. Een daarvan is de link te leggen met de waarde die informatie heeft voor onze organisatie. Als gemeente zijn geld, mensen (ambtenaren) en informatie onze belangrijkste grondstoffen. Die laatste wordt steeds meer en meer belangrijker doordat wij ons in een informatiesamenleving bevinden, waarbij IT-innovatie en internet ervoor zorgen dat de waarde van informatie een enorme toevlucht neemt. Dat laatste maakt het daarmee ook aantrekkelijk voor kwaadwillenden die om financiële, politieke of andere redenen uit zijn op die informatie.
De gemeente heeft alle drie de grondstoffen nodig om de politieke ambities waar te maken. Wat is het effect als er geen of te weinig geld voorhanden is om de plannen te bekostigen; of wanneer de organisatie beschikt over geen, te weinig of disfunctionerende ambtenaren? En wat als het bestuur besluiten moet nemen op onbetrouwbare, onjuiste of onvolledige informatie? De kwaliteit van het besluitvormingsproces, waarbij juiste en doordachte besluiten moeten worden genomen, bepaalt in grote mate het geloof en vertrouwen dat mensen in het bestuur en de lokale democratie hebben. Informatiebeveiliging bewaakt die kwaliteit en betrouwbaarheid van die informatie en het besluitvormingsproces.
Dus op de vraag ‘Wat als we (nu) niet inzetten op informatiebeveiliging?’ is het antwoord niet in één regel te bevangen. De mogelijke impact kan klein en groot zijn, zowel op financieel als politiek-bestuurlijk niveau.
Risicobereidheid van het bestuur
De vraag is daarmee ook dan niet of er een keuze gemaakt moet worden tussen informatiebeveiliging en een voorziening om de leefbaarheid te bevorderen. Natuurlijk moet ingezet worden op informatiebeveiliging. In de wijze waarop liggen keuzes die een bestuurder kan maken afhankelijk van de risicobereidheid van het bestuur. Risicobeheersing door middel van informatiebeveiliging hoeft daarmee dus niet altijd (veel) geld te kosten.
De vraag is of de bestuurder de cyberdreiging aankan en of de gemeentelijke organisatie zich hierop heeft aangepast, dan wel zich hierop aanpast. Als bestuurder hoef je geen deskundige te zijn op dit terrein. De bestuurder draagt de bestuurlijke verantwoordelijkheid en moet kunnen uitleggen waarom wel of niet op specifieke wijze invulling wordt gegeven aan informatiebeveiliging. Die onderbouwing hangt af van de risicobereidheid.
Wat kun je nu als bestuurder eenvoudig doen?
Elke gemeente dient over een Chief Information Security Officer te beschikken. Die geeft binnen de organisatie dagelijkse sturing aan dit onderwerp namens bestuur en management. Hij of zij dient ervoor te zorgen dat de bestuurder zijn of haar verantwoordelijkheid kan nemen. Om dit waar te kunnen maken is randvoorwaardelijk dat de bestuurder en de CISO elkaar goed kunnen vinden. Daar hebben beide een rol in.
Stel als bestuurder de vragen: Wie is onze CISO? Nodig de CISO (periodiek) uit voor een kop koffie. Laat je bijpraten en weet wat er speelt. De CISO kan jou ontzorgen, dus werk aan die relatie!
Vraag de CISO wat de drie grootste risico’s zijn. Vraag tevens naar mogelijke scenario’s om deze risico’s te beheersen en wat de effecten zijn als het risico zich voordoet. Binnen informatiebeveiliging draait het allemaal om risicomanagement. Ken de risico’s en bepaal hoe hiermee om te gaan. Dat laatste lijkt mij zeker een bestuurlijke aangelegenheid.
Om als bestuurder de cyberdreiging aan te kunnen, is de eerste stap om te werken aan de relatie met de CISO en zicht te krijgen op de risico’s. Besef dat 100 procent informatieveilig niet bestaat, maar 100 procent inzet wel. Ten aanzien van dat laatste hebben we binnen de lokale overheid, zowel op ambtelijk als bestuurlijk niveau, nog ruimte om in te groeien.
yourilammerts@debuch.nl (yourilammerts@debuch.nl) is Chief Information Security Officer voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).
Goed geschreven Youri! De discussie en motivatie gaat inderdaad vaak over de meerwaarde, want het is allemaal best “lastig” en het kost geld, maar bovenal klinkt het vaak technisch. Terwijl het onder de streep natuurlijk gewoon over bedrijfsprocessen gaat en de bijbehorende noodzakelijke informatie, die aan een aantal kwaliteitseisen moet voldoen.
“informatiebeveiliging; klinkt ineens een stuk minder spannend, maar die term dekt een bredere lading dan cyber. “
Me dunkt, onderdeel daarvan is reeds decennia ook bescherming van persoonsgegevens.
Beiden zijn onderdeel van ‘Governance & Compliance’. Oftewel goede sturing, en voldoen aan regels, wet- en regelgeving.
Naast de CISO dient derhalve ook een DPO in beeld te zijn. Dit gelet op de huidige privacy-wetgeving en de reeds van kracht zijnde GDPR, de laatste welke mei 2018 gehandhaafd gaat worden.
Het is de bestuurder die ‘accountable’ is, CISO en DPO zijn elk slechts ‘responsible’.
Het is dan ook aan de bestuurder – op gemeentelijk niveau B&W – om helderheid te zoeken. Een goede CISO c.q. DPO kan dat op één A4 aanleveren.
Toeval wil dat gemeenteraadsverkiezingen nagenoeg samenvallen met de handhaving van de GDPR.
De accountable bestuurder met politieke ambities moet dus haast maken.