Risico voor betrokkenen datalek door cyberaanval wordt structureel onderschat

Denk u eens in, het IT-budget van een gemeente met 100.000 inwoners is ongeveer 106 euro per inwoner. Dat is ruim 10,6Mln euro, een stijging van meer dan 10% ten opzichte van het jaar daarvoor. Daar moet alles van betaald worden; software, ICT-Personeel en ICT-Infrastructuur. Een deel van deze stijging is, volgens het Trendrapport ICT Benchmark Gemeenten 2023 van M&I partners, te wijten aan de extra kosten voor software en licenties en een trendbreuk ten opzichte van 2021 (1 extra FTE).

Een flink bedrag hiervan wordt uitgegeven aan beveiliging. Om hoeveel geld het precies gaat is moeilijk in te schatten, maar met 3 Fte’s en de kosten voor specifieke informatiebeveiligingssoftware van 3 euro per inwoner lijkt 600.000 euro een aardig eind in de richting te komen. Tel daar de overige (verborgen) beveiliging gerelateerde kosten van SaaS/IaaS leveranciers en bijvoorbeeld Microsoft bij op en de we zitten al snel op 1 miljoen euro.

Je zou dus zeggen dat gemeenten het onderwerp “informatiebeveiliging” serieus nemen. Echter, veel industrie experts menen dat 10% een absolute ondergrens is. Zeker als we bedenken dat er een nieuwe wetten aankomen (BIO2.0 en NIS2) waar informatiebeveiliging een belangrijke rol speelt en er nog meer afgesproken, gemeten en gecontroleerd moet worden. Betekent dit dat de risico’s van een datalek door een cyberaanval onderschat worden? Ik denk van wel.

Enorm risico

Als er data bij gemeenten ontvreemd wordt lopen veel kwetsbare groepen een enorm risico. Het wordt namelijk wel heel eenvoudig voor cyber criminelen om, met gegevens die alleen bekend zijn bij een gemeente, de zwakkeren in de maatschappij te identificeren en te benaderen met hele specifieke informatie. En dat is nu juist waar cybercriminelen de laatste tijd in uitblinken, met gedetailleerde informatie inspelen op de angsten en onzekerheden van juist deze groepen mensen. Natuurlijk is het zuur dat je als gemeente moet erkennen dat criminelen gegevens hebben ontvreemd uit systemen waar JIJ de verantwoordelijkheid voor hebt. Maar de maatschappelijke consequenties zijn veel groter dan een excuusbrief van de bestuurders.

In dit licht gezien moet er dus meer gebeuren. Zeker nu gemeenten meer en meer onderdeel uitmaken van ketens waarin gegevens worden uitgewisseld met de centrale overheid, belastingsamenwerkingsorganen, veiligheidsregio’s en andere instanties. Minder gegevens zelf opslaan en data alleen ophalen als het nodig is. Afscheid nemen van oude (legacy) applicaties en sneller adopteren van nieuwe, veiligere, systemen. Ook niet, onlangs nog zelf meegemaakt, bezuinigen op licenties om zo meerdere gebruikers met dezelfde credentials in belangrijke systemen te laten werken.

Uitbesteden

Maar vooral, besteed uit aan specialisten waar specialisten beter in zijn dan de eigen medewerkers. Want linksom of rechtsom, met de enorme bedragen waarmee specialistische cybercriminelen hun activiteiten financieren kunt u nooit concurreren. Specialisten, die hetzelfde doen voor soms wel honderden gemeentes zijn nu eenmaal net iets beter toegerust om aan al dit soort uitdagingen het hoofd te bieden.