Wie is de kapitein op het crisisschip?
Eind maart nam Sebastaan van ’t Erve afscheid als burgemeester van de gemeente Lochem. Vlak voor zijn vertrek had iBestuur een interview met hem, ook omdat hij verkozen werd tot IT-politicus van het jaar 2024. Hij hoopt dat in de Nederlandse Digitaliseringsstrategie principiële keuzes gemaakt worden voor alle overheden over digitale autonomie.
Zijn bekendheid als bestuurder met een hart voor IT ‘dankt’ hij onder meer aan de hack op Lochem in 2019. De aanvallers bleken al ruim een half jaar in de systemen te zitten en werden ontdekt vlak voordat ze tot gijzeling van data konden overgaan. De gevolgen voor de gemeente waren desondanks groot. ‘Het was de eerste keer dat ik echt in de afgrond heb gekeken’, zegt Van ’t Erve terugkijkend. ‘Een paar jaar eerder kregen we twee dagen voor de verkiezingen te maken met een ransomwareaanval waardoor alle systemen op slot schoten. Toen hebben we vrij eenvoudig de back-ups kunnen terugzetten. Dat was dus ook mijn eerste gedachte bij de aanval in 2019. Totdat bleek dat we alle systemen opnieuw moesten opbouwen. Wat staat er dan stil? Alles, zo bleek, van het uitbetalen van de uitkeringen tot het doortrekken van de wc, omdat ook rioolgemalen tegenwoordig smart en dus kwetsbaar zijn.’ De belangrijkste geleerde les ging over het nemen van verantwoordelijkheid. ‘We wisten dat we overal tweefactorauthenticatie moeten invoeren, maar ook in mijn eigen organisatie was besloten dat echt óveral tweefactorauthenticatie toch wel weer lastig was…’
Plan B
Ook al heeft Lochem sindsdien enorme stappen gezet, cyberweerbaarheid blijft weerbarstige materie. ‘We zijn nog niet zo goed voorbereid op de huidige dreigingen als ik vind dat we zouden moeten zijn.’ Heeft Lochem bijvoorbeeld een plan B voor als Donald Trump ooit besluit om sancties op te leggen aan Europa, zodat we het zonder Amerikaanse techbedrijven moeten stellen? ‘Eerlijk gezegd kan de hele Nederlandse overheid dan niks meer. Wij zijn bijna volledig Microsoft-gebaseerd. Het is veel te omvangrijk om te zeggen: “maakt u zich geen zorgen, we zijn binnen een week weer online.” Dat eerlijke gesprek zouden we nu moeten voeren. Als de politiek wil dat er een plan B klaarligt, dan kost dat tijd, geld, moeite en aandacht. Hebben we dat ervoor over? Die vraag moet op politiek niveau worden beantwoord.’
Verantwoordelijkheid
Hij ziet het als een maatschappelijke verantwoordelijkheid om anderen te laten zien wat hij zag toen hij in de afgrond keek. ‘Ik werd aangesproken door een CISO van een grote stad, die zei: “Leuk dat jij binnen 24 uur weer een soort basis-IT op orde had na de hack, maar het helpt dat jouw organisatie in één gebouw zit en dat je al jaren hebt gewerkt aan standaardisatie en complexiteitsreductie van je IT. Bij een beetje grote stad kost het waarschijnlijk maanden om weer overeind te krijgen wat jij overeind hebt getrokken.” Daar schrok ik van. Wat zou er gebeuren als je in een grote stad geen riolering meer hebt, geen afval meer kan ophalen en geen uitkeringen meer betaalt?’
Het is geen ondenkbaar scenario, getuige de ervaringen van Estland en Oekraïne. Van een gesprek met het hoofd digitale veiligheid van Oekraïne leerde Van ’t Erve dat het er in zo’n geval bitter weinig toe doet wat van de gemeente is, wat van het waterschap en wat in interdepartementaal afstemmingsoverleg moet worden beslist. ‘Er komt zo’n golf over je heen dat het niet meer uitmaakt. De echte vraag is hoe je zorgt dat er weer water uit de kraan komt en stroom uit het stopcontact om de basisbelangen van de inwoners te beschermen.’
Cybercrisismanagement
Ondertussen heeft hij zich met hernieuwde energie op zijn promotietraject gestort. Als buitenpromovendus onderzoekt hij hoe lokale overheden kunnen omgaan met een cybercrisis. ‘De conclusie tot dusver is dat cybercrisismanagement nog in de kinderschoenen staat. Er gebeurt veel op nationaal en internationaal niveau, maar men is nog te weinig bezig met de praktijkvraag hoe je een cybercrisis op lokaal niveau managet. Er zijn allerhande procedures en protocollen, maar wanneer wordt een incident een crisis? Wanneer vraagt het om iets bijzonders?’
Dat moment, van incident naar crisis, vergelijkt hij met een tuinslang die losspringt van de koppeling en alle kanten opvliegt. Twee maanden na de hack op Lochem werd hij gebeld door het ministerie van Justitie en Veiligheid, dat een standaard datakoppeling heeft met gemeenten, vanwege het uitgeven van de verklaring omtrent gedrag (VOG). ‘Ze wilden graag weten of er nog wat bij ons aan de hand was, vanwege de hack. Enerzijds kun je zeggen dat ze er lekker op tijd bij waren, maar aan de andere kant waren ze wel de énige partij die erop terugkwam, terwijl we toentertijd rond de 170 standaardkoppelingen hadden.’ Voor die ketenafhankelijkheid is nog te weinig aandacht, vindt hij. ‘Wie is de kapitein op het crisisschip?’
Digitale autonomie
Van ’t Erve is optimistisch dat Nederland een andere richting kan inslaan. ‘Wat zou er nou gebeuren als de Europese gemeenten samen besluiten om hun gegevens in een eigen datacenter ergens in Europa te zetten? Dan zou je opeens een nieuw stukje markt kunnen creëren. Niet op de schaal van een Amazon of een Microsoft, maar je zou er wel een relevante stap in kunnen zetten. Dat kunnen wij gewoon voor elkaar krijgen.’
Zijn hoop is dat de Nederlandse Digitaliseringsstrategie principiële keuzes maakt voor alle overheden over digitale autonomie. ‘En als we de keuze eenmaal hebben gemaakt, zullen we hem samen moeten dragen. Onze systeembeheerders zullen ons redden als er echt een crisis komt. Vergeet de hiërarchie maar, want voorbereiding op een crisis draait de samenwerking. Maar juist samenwerken kunnen wij goed in Nederland.’ Ze zullen hem wel missen, daar in Lochem.
Lees ook:
