‘Bedrijfscontinuïteitsbeheer is geen ICT-feestje’

De vraag is of gemeenten als organisatie klaar zijn voor cybercalamiteiten. | beeld: Shutterstock

Van brand in je gemeentehuis, die de afdeling burgerzaken platlegt, of zelfs je hele archief verwoest, tot hackers die je online dienstverlening verstoren. Bij BCM denk je na over wat er gebeurt wanneer zich een calamiteit voordoet, en hoe je dan je bedrijfsprocessen kan laten draaien op een vooraf bepaald minimaal niveau. Ook denk je na over blijvende betrouwbaarheid van de systemen.

Aandacht van bestuurders voor bedrijfscontinuïteit is cruciaal.

Cyberincidenten

En dat is zeker niet nieuw. Gemeenten denken al heel lang na over bedrijfscontinuïteit, legt John van Huijgevoort uit, adviseur Informatiebeveiliging en Privacy van de Informatiebeveiligingsdienst (IBD) van de VNG. “Door de toenemende digitalisering neemt de mogelijke impact van cyberincidenten toe en de vraag is of gemeenten als organisatie klaar zijn voor dit soort calamiteiten. Vanuit het veiligheidsdomein (OOV) is vaak al nagedacht als het gaat om bedrijfscontinuïteit en het managen van een fysieke crisis. Vanuit de Veiligheidsregio’s zijn er bijvoorbeeld de GRIP-structuren opgezet, maar zoiets is er dus nog niet als het gaat om ontwikkelingen als ransomware-aanvallen en een cybercrisis.”

Meer dan computers laten draaien

Al snel wordt dan ook binnen de organisatie gekeken naar de IT-afdeling. Maar BCM is geen ICT– of CISO-feestje, stelt Van Huijgevoort. Daar is Terence van Gestel, CISO bij de gemeente Tilburg, het helemaal mee eens. “Niet ik als CISO moet erover nadenken, dat moet de gehele organisatie. Het is belangrijk dat onze managers en bestuurders zich bewust zijn dat BCM veel meer is dan alleen zorgen dat de computers blijven draaien. Want dat denken nog steeds heel veel mensen. Het is echt een verantwoordelijkheid van de proceseigenaren, de managers van de verschillende afdelingen. Zij moeten nadenken hoe ze in geval van een calamiteit onze dienstverlening richting inwoners kunnen handhaven. Zij moeten bepalen welke processen kritisch zijn. Ik als CISO ondersteun het dan ook van harte dat de VNG het ziet als belangrijk onderdeel om de digitale weerbaarheid te verhogen. Met andere collega’s willen we heel graag weer een keer aandacht voor BCM krijgen, omdat we zien dat die wat is verslapt. Niet dat bestuurders niet weten dat het bestaat, maar gezien het (landelijke) dreigingsbeeld is het goed om BCM nog meer in het vizier van bestuurders te krijgen.”

“We hebben eerst gekeken wat onze kroonjuwelen zijn, onze belangrijkste gemeentelijke processen.”

Als voorbeeld waarom dat zo belangrijk is, noemt hij de gemeente Waalre, waar in 2012 boze inwoners een brandende auto het gemeentehuis inreden. “Het gemeentehuis was geheel verwoest en de gemeente was een groot deel van de dienstverlening kwijt. Ook de IT-omgeving was compleet verwoest en gegevens van inwoners waren gewoon kwijt.” Een ander voorbeeld is de brand in een noodgebouw van de gemeente Voerendaal. Daaronder lag het gemeentelijke archief. Na de brand kwam men erachter dat alle aktes op papier door het bluswater verwoest waren. Als je vanuit de gemeente wilde emigreren naar het buitenland en je geboorteakte moest laten zien, kon dat dus niet. Van Gestel: “Dit zijn voorbeelden uit het verleden. Maar we kennen ook de recente ransomware-aanvallen bij grote bedrijven en ook een aantal gemeenten”.

Kroonjuwelen

Zo’n drie jaar geleden is Van Gestel gestart met collega’s om BCM in Tilburg aan de interne kant opnieuw te borgen. “Intern hadden we het nog niet zo goed voor elkaar. We hebben eerst gekeken wat onze kroonjuwelen zijn, onze belangrijkste gemeentelijke processen. We keken niet alleen naar wetgeving, maar ook naar wat we als organisatie voor onze dienstverlening belangrijk vinden.”
In die drie jaar zijn er flinke incidenten geweest in het land. Zoals de crisis rond Citrix. Ook in Tilburg moest toen de thuiswerkomgeving worden uitgezet. Van Gestel: “Van de ene op de andere dag konden we niet meer vanaf huis werken, alleen nog maar op kantoor vanaf een fysieke computer. Een paar maanden later moesten we juist allemaal thuiswerken met de coronapandemie. Als die twee calamiteiten tegelijkertijd waren geweest, hadden we een enorm probleem gehad met onze dienstverlening.”

“We maken een cyberweerbaarheidsplan om de risico’s en de impact van calamiteiten in de digitale voorziening in kaart te brengen.”

Tijdens het thuiswerken in de coronaperiode bleek maar de helft van de IT-dienstverlening beschikbaar te zijn. De helft van de medewerkers kon maar thuiswerken. Dankzij het BCM-plan kon meteen bepaald worden wie er wanneer kon werken, en wie voorrang kreeg omdat er sprake was van kritische bedrijfsprocessen. Afgelopen december kreeg ook Tilburg te maken met de kwetsbaarheid met de open source software Apache Log4j, dat wordt gebruikt om activiteiten (logging) van onder andere webservers te registreren. “We merkten wel dat het een voordeel was dat we wat hadden geregeld met BCM.”
Afgelopen januari is de gemeente gestart met een cyberweerbaarheidsplan om de risico’s maar ook de impact van calamiteiten in de digitale voorziening in kaart te brengen. “Dat doen we met een externe partij die ons ondersteunt en met de stukken uit de BCM Expertgroep van de IBD.”
Een voorbeeld daarvan is een playbook, dat laat zien wat er gebeurt als bijvoorbeeld een medewerker even niet oplet en op een link in een phishing mail klikt en ransomware binnenhaalt. “Dat zijn we nu aan het ontwikkelen en dat moet na de zomer klaar zijn”, licht Van Gestel toe. “Dan gaan we ermee oefenen met nep-phishing mails en nep-ransomware. Zo gaan we kijken of onze mensen volgens dat cyberweerbaarheidsplan goed hun werk kunnen doen.”

Verhogen Digitale Weerbaarheid

De IBD ondersteunt gemeenten met het programma Verhogen Digitale Weerbaarheid (VDW). Een van de modules daarvan is BCM, waarvan Van Huijgevoort de trekker is. Een jaar geleden deed hij een oproep welke gemeenten wilden helpen met het ontwikkelen van praktisch toepasbare BCM-producten. De BCM Expertgroep bestaat inmiddels uit twaalf gemeenten en ontwikkelt gezamenlijk producten die concreet toepasbaar zijn voor andere gemeenten. Zo ontwikkelde de IBD een ‘kaartje voor in de meterkast’ van de gemeentesecretaris om gemeenten te helpen bij de voorbereidingen op een informatiebeveiligingsincident of cybercrisis. Op dit kaartje staan belangrijke aandachtspunten ter voorbereiding op een crisis. De gemeentesecretaris kan dit kaartje aanpassen aan de eigen organisatie en invullen. Bij een crisis zijn dan in een oogopslag de juiste contacten en documenten voor handen.

“De behoefte om ergens centraal, zoals bij de VNG, ondersteuning te krijgen, is groot.”

Van Huijgevoort: “Het idee vanuit de Expertgroep is om gemeenten te helpen door het ze zo makkelijk mogelijk te maken om BCM in te voeren. We hebben verschillende scenario- en quick reference kaarten gemaakt, bijvoorbeeld wat je moet doen op het moment als er een cybercrisis plaatsvindt? Deze scenario- en quick reference kaarten zijn een handvat en helpen een crisisteam tijdens de ‘warme fase’ de specifieke kenmerken van het type scenario te doorzien. Verder hebben we een bedrijfsimpactanalyse (BIA) methodiek opgesteld om te bepalen of een bedrijfsproces kritisch is. Ook is er een overzicht samengesteld met de top 13 gemeentelijke kritische bedrijfsprocessen en de belangrijkste ondersteunende bedrijfsprocessen. De producten die worden ontwikkeld zijn gebaseerd op voorbeelden uit gemeenten, zoals uit de gemeente Tilburg of Smallingerland. Ik verzamel deze praktijkvoorbeelden uit gemeenten om er dan generieke producten van te maken die breed bij 344 gemeenten toepasbaar zijn.”

En de behoefte naar concrete producten is groot, beaamt Van Gestel. “Er zijn de afgelopen jaren best wel wat incidenten geweest bij een aantal gemeenten. Dan gaat men toch erover nadenken. Het kan ook bij ons gebeuren. De behoefte om ergens centraal, zoals bij de VNG, ondersteuning te krijgen, is groot. Er is dan zeker ook werk aan de winkel. BCM is een must-have voor gemeenten.”