De VNG heeft vorig jaar 300 verzoeken om hulp gekregen van gemeenten bij cyberincidenten, een verdubbeling ten opzichte van 2021. Volgens de Informatiebeveiligingsdienst is ook ransomware in opmars. Er moet actie worden ondernomen, de gemeentesecretaris moet hierin de spil zijn. Dat staat in het tweejaarlijkse 'Dreigingsbeeld' van de IBD.
De Informatiebeveiligingsdienst (IBD) wil met de publicatie gemeenten ondersteunen bij het in beeld krijgen en managen van de risico’s voor inwoners, ondernemers, de ambtelijke organisatie, de politiek en het bestuur.
Volgens het rapport van de IBD zijn gemeenten zich onvoldoende bewust van welke type data zij te beschermen hebben. Ook zou er weinig aandacht zijn voor de bescherming van data, informatiebeveiliging wordt nogal eens gezien als een kostenpost. Er moet actie ondernomen worden om de informatiebeveiliging op ene hoger niveau te krijgen. ‘Als gemeenten hun weerbaarheid niet verhogen zal dit leiden tot nog meer incidenten.’
‘Dreigingsbeeld informatiebeveiliging voor Nederlandse gemeenten 2023-2024’
De IBD ziet dat in het bijzonder drie soorten dreigingen opvallen sinds het uitbrengen van het vorige dreigingsbeeld 2021- 2022.
- Meer ransomware, destructievere gevolgen: de IBD ontving de afgelopen twee jaar steeds meer meldingen van situaties waar gemeentelijke processen langdurig(er) verstoord zijn als gevolg van destructieve gijzelsoftware.
- Steeds meer en ernstiger kwetsbaarheden in software: in 2021 signaleerde de IBD 1841 kwetsbaarheden, waarbij gevallen met een hoge kans op misbruik en ernstige gevolgen relatief steeds vaker voorkomen.
- Gevaren in ketens uit het zicht: gemeenten vertrouwen er te veel op dat bij een samenwerkingsverband de zaken ‘gewoon geregeld zijn’. Ze hebben te weinig zicht op de feitelijke risico’s als taken zijn uitbesteed.
Voorkomen is beter dan genezen
De kosten voor preventieve maatregelen staan in geen verhouding tot de kosten van een incident, waarschuwt de IBD. Die lopen al gauw op tot tonnen of miljoenen euro’s. Zo’n incident heeft ook een grote impact op medewerkers. Een getroffen organisatie is vaak weken of maanden bezig om de bedrijfsprocessen en informatiebeveiliging weer op orde te krijgen en de complete gegevensregistraties opnieuw op te bouwen. Beveiligings- en privacy- incidenten schaden ook het vertrouwen van burgers in de overheid, de reputatie van de organisatie en haar bestuurders.
Gemeentesecretaris spil bij informatiebeveiliging
Het goede nieuws is dat gemeenten het tij kunnen keren, meldt het rapport. ‘De gemeentesecretaris kan hierbij een belangrijke aanjaagrol vervullen. Door regie te voeren op integraal risicomanagement. En door uit te dragen dat informatieveiligheid niet iets is van de ICT-afdeling, maar van alle mensen in de hele organisatie.’ ‘Hij of zij kan worden gezien als hoeder van de continuïteit en de kwaliteit van de dienstverlening.’
Om dit te benadrukken overhandigde Nathan Ducastel, directeur VNG-Realisatie 14 oktober het rapport aan Pim van Vliet, gemeentesecretaris in Leiden en voorzitter van de Vereniging van Gemeentesecretarissen. “Zo kunnen we het onder de aandacht brengen van andere gemeentesecretarissen, die het weer verder kunnen brengen in hun organisatie.” De VGS-voorzitter noemt het Dreigingsbeeld een ‘mooie aanleiding om het contact met de IBD verder uit te diepen’. “Wij gaan het onderwerp de komende tijd nog nadrukkelijker op de agenda zetten en trekken daarbij samen op met de IBD.