Een cyberincident in je gemeente: ‘Oefen voor het je overkomt’
Grote cyberincidenten zoals in Hof van Twente en Buren illustreren hoe belangrijk het is om als gemeente je eigen informatieveiligheidsbeleid op orde te hebben. Alleen door te oefenen kun je goed voorbereid zijn op een echt incident. Om gemeenten daarin goed te kunnen ondersteunen heeft de Informatiebeveiligingsdienst (IBD) sinds kort een crisisoefening waarmee gemeenten kunnen oefenen met beveiligingsincidenten in de eigen organisatie. Ook sluit de IBD aan bij crisisoefeningen in Veiligheidsregio’s.
Toen de VNG tien jaar geleden de Informatiebeveiligingsdienst (IBD) oprichtte om gemeenten te ondersteunen op het gebied van informatiebeveiliging en gegevensbescherming, waren de incidenten nog overzichtelijk. Datalekken en hacks waren meestal binnen een paar uur te verhelpen. De afgelopen jaren namen ze echter steeds grotere vormen aan. In 2020 werden alle IT-systemen van de gemeente Hof van Twente platgelegd door een hack. Hackers versleutelden en vernietigden bestanden van onder meer de afdelingen burgerzaken, het sociaal domein en de financiële administratie. Het herstel van de systemen kostte zeker 4 miljoen euro, en de gemeente was weken, zo niet maanden, ernstig gemankeerd.
“Het was bij die hack dat we voor het eerst zagen dat we te maken hadden met langdurige ontwrichting van een organisatie”, vertelt Remco Groet, strategisch adviseur in het incidentresponsteam van de IBD. “We hebben dat later nog een paar keer meegemaakt, bijvoorbeeld bij de gemeente Buren en bij een aantal werkbedrijven. Ondersteuning op afstand blijkt dan niet meer genoeg.
“Sindsdien sluiten we als IBD aan bij een intern crisisteam van een gemeente of gemeenschappelijke regeling als ze slachtoffer worden van een hack. De IBD heeft brede ervaring opgedaan bij dergelijke crisissituaties en we overzien zowel de technische aspecten als de politiek-bestuurlijke kant van een crisis. Als onafhankelijk adviseur helpen we gemeenten met duiding van wat er aan de hand is en identificeren we de dilemma’s.”
Bedrijfscontinuïteit
De experts van de IBD sluiten ook aan bij crisisoefeningen van gemeenten en veiligheidsregio’s. De component digitale veiligheid is pas sinds een paar jaar toegevoegd. Zo was de IBD de afgelopen twaalf maanden aanwezig bij ruim 23 oefeningen. “We worden steeds vaker uitgenodigd om bij crisisoefeningen aanwezig te zijn als waarnemer, adviseur of zelfs als deelnemer”, vertelt Groet. “Wat ons daarbij opvalt is dat men een digitale crisis vooral ziet als technisch complexe materie, terwijl in de praktijk de dilemma’s dezelfde zijn als bij een brand, een overstroming of een gijzeling.
Het wordt anders als de gemeente ook zelf slachtoffer is van een digitaal incident. De IBD ziet dat veel organisaties de complexiteit van een digitale crisis in de eigen organisatie ten opzichte van een ‘normale’ crisis vaak nog onderschatten. Groet legt uit: “In het geval van een hack ben je als gemeente naast bevoegd gezag ook zelf slachtoffer. Je wordt dan voor het voldongen feit gesteld dat de computersystemen niet meer werken. Ineens ligt de hele organisatie stil. Je kan de politie of brandweer bellen, maar wat gaan die doen? Er hoeven geen wegen te worden afgezet, er kan niets geblust worden, en het opsporen van daders in het verre buitenland is op korte termijn onwaarschijnlijk. Zo’n digitaal incident gaat dus over je eigen bedrijfscontinuïteit. Als alles uitvalt, moet je keuzes maken over wat je dan weer in welke volgorde aan gaat zetten. Je moet hebben nagedacht over wat de belangrijkste processen zijn. Dan is bijvoorbeeld het betalen van de uitkeringen belangrijker dan het administratief verwerken van een kapvergunning. Gehackte organisaties worden de laatste jaren steeds vaker afgeperst om te voorkomen dat gestolen gegevens worden gepubliceerd. Van kopietjes van paspoorten tot hele jeugdzorgdossiers, dossiers met aanvragen van vergunningen met bedrijfsvertrouwelijke informatie tot financiële gegevens. Groet: “Om daar een ordening in aan te brengen, terwijl alles uit staat en iedereen op je deur staat te kloppen met de vraag wanneer het nou weer aan gaat en wat je allemaal fout hebt gedaan, is echt een kunst. Om hier zo goed mogelijk op voorbereid te zijn is het van belang om te oefenen met een digitaal incident in de eigen organisatie.”
Oefenen in de eigen organisatie
De IBD ontwikkelde daarvoor eind vorig jaar een table-top oefening voor gemeenten op basis van de ervaringen met recente incidenten. De IBD begeleidt deze oefening en laat zo management en directie beleven wat er op een gemeente afkomt bij een informatiebeveiligingsincident. “We hebben een flexibel scenario gemaakt gebaseerd op echte incidenten en concrete dilemma’s daarin verwerkt”, legt Groet uit. “De table-top oefening is inmiddels in vier gemeenten uitgevoerd. Aan de oefening doen onder meer de gemeentesecretaris, afdelingsmanagers, de communicatieadviseur en facilitaire medewerkers mee.
“We hebben tot nu toe positieve reacties ontvangen op de oefening. Daar is gemeentesecretaris Marco Vonk van gemeente De Ronde Venen het mee eens: “Het was goed om de respons op een heftig cyberincident langs de lijn van crisisbestrijding te oefenen. We hebben gezien dat het gaat om dezelfde valkuilen, en dezelfde dilemma’s. De oefening vergroot ons bewustzijn van cyberrisico’s en dus de alertheid.”
Ferdinand Contant, gemeentesecretaris bij de gemeente Putten noemt de table-top oefening van de IBD een goede wake up-call ten aanzien van de risico’s van een interne cybercrisis. Ook biedt het handvatten waar je direct en concreet als gemeente mee aan de gang kunt gaan.”
Zet een goede structuur voor intern crisismanagement op
De deelnemende gemeenten zijn blij om zo’n interne crisis een keer geoefend te hebben. Het geeft ook richting voor de toekomst. De deelnemers beseffen na afloop dat er eigenlijk geen vaste structuur is bij een interne cybercrisis waarop ze kunnen terugvallen, zoals die er wel is bij een externe crisis. De belangrijkste les die de IBD meegeeft is om een goede structuur voor intern crisismanagement op te zetten. “Je moet zorgen voor het vastleggen en documenteren van besluiten”, adviseert Groet. “Overzicht is van essentieel belang. Op het moment dat alles wat jij normaal gesproken doet is uitgevallen, dan is er zoveel aan de hand dat het overzicht niet meer vanzelfsprekend is. En dat is wat we gemeenten met de oefening proberen te laten ervaren.”
Oefenen in je gemeente of in de Veiligheidsregio?
Wilt u als gemeentesecretaris ook een keer oefenen met een digitaal incident in uw eigen organisatie?
- Oefenen met de table top van de IBD in de eigen gemeente? De gemeentesecretaris of het hoofd bedrijfsvoering kan hiervoor een aanvraag doen bij de IBD: info@ibdgemeenten.nl.
- Staat er een oefening door de veiligheidsregio gepland met een digitale component? De IBD sluit graag aan als adviseur of waarnemer. Interesse? Neem dan contact op via hetzelfde e-mailadres.
De IBD is tien jaar geleden opgericht door alle Nederlandse gemeenten en onderdeel van de Vereniging van Nederlandse Gemeenten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy, zowel bij incidenten als bij preventie daarvan. De IBD heeft een groot aanbod aan ondersteunende producten en diensten en onderhoudt contacten met alle relevante stakeholders, waaronder leveranciers.
Indien de situatie en de gemeente daarom vraagt, komt de IBD ‘op locatie’. De IBD kan ook de gemeentesecretaris en de burgemeester van advies voorzien, zowel op het vlak van preventie als bij incidenten. Vertrouwelijkheid is hierbij gewaarborgd. Elke twee jaar beschrijft de IBD in haar Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten welke dreigingen ze ziet, hoe de gemeentesecretaris de weerbaarheid kan verhogen en welke uitdagingen hij of zij daarbij tegenkomt. Uit de laatste editie blijkt dat de dreiging snel toeneemt en de impact van een incident (potentieel) steeds groter wordt.