Al in 1991 stelde de gemeente Amsterdam een handboek informatiebeveiliging op. Tweederde daarvan is nog altijd actueel, stelt CISO Marco van Beek. De in 2020 opgestelde Agenda Veilige Digitale Stad – door burgemeester Femke Halsema zelf aangejaagd – benadrukt dat informatieveiligheid een blijvend actiepunt is in de hoofdstad.
Marco van Beek: We willen gewoon zien of een systeem veilig is.” | Beeld: Joris Telders
Enkele kengetallen van de gemeente Amsterdam: 15 duizend ambtenaren, 1400 werkplekken, 1800 applicaties, honderden websites, en jaarlijks 220 miljoen e-mails. Ook in de fysieke ruimte is volop aandacht nodig. De via internet aangestuurde bruggen, viaducten en sluizen in de stad vallen ook onder de scope van de CISO.
Voor alles wat ze afneemt eist Amsterdam certificeringen, audits en pentesten.
“Een tough battle”, vat Van Beek dan ook zijn dagelijkse werk samen. Continu zijn er aanvallen op infrastructuur en netwerken. De succesvolle ransomware-aanval op een kenteken-camera’ in een parkeergarage in het centrum was voor Van Beek een eyeopener. Als remedie tegen het vele cyberkwaad heeft Amsterdam een eigen SOC ingericht, wat de gemeente voor veel ellende heeft behoed, en schuren dertig security-officers dicht tegen de directeuren van het vijftigtal gemeentelijke diensten aan. Alle ambtenaren krijgen vanaf 2023 een verplichte e-learning om bewust met informatie om te gaan, afgerond met een test. De BIO heeft Van Beek ‘als een zegen’ ervaren, omdat de gemeente haar energie in het implementeren en borgen van maatregelen kan steken, in plaats van met risicoanalyses van processen en systemen achter de feiten aan te lopen. Aan de schare van softwareleveranciers worden strengere inkoopvoorwaarden gesteld dan de VNG hanteert. Voor alles wat ze afneemt, eist Amsterdam certificeringen, audits en pentesten. “Het blijven onze gegevens die in hun applicaties staan. Beheerpartijen gaan daar niet altijd in mee. Ze vinden de eigen voorwaarden goed genoeg. We drukken dan door. We willen gewoon zien of een systeem veilig is.”
Agenda Veilige Digitale Stad
Voor de Agenda Veilige Digitale Stad heeft de gemeente de samenwerking met andere organisaties in de stad opgezocht, waaronder de politie, het OM, en ook buiten de stad, zoals de veiligheidsregio en omliggende gemeenten. De krachtenbundeling is uitgemond in een ‘ecosysteem voor digitale veiligheid’ met als uiteindelijk doel een regionaal ISAC in te richten. Ook de Universiteit van Amsterdam is aangehaakt. Begin vorig jaar kon deze met redelijk succes een cyberaanval pareren. “Anderen kunnen hiervan leren.”