eerder verschenen nummers

zoeken binnen de website

Digitale weerbaarheid: ‘Landelijke regie zou gemeenten verder helpen’

door: Cyriel van Rossum | 2 oktober 2021

Digitale veiligheid staat hoog op de agenda bij gemeente­bestuurders en het belang ervan zit – soms door schade en schande – goed tussen de oren. Het komt er nu op aan dat iedereen die met data omgaat constant alert is en daar altijd naar handelt. “Je medewerkers zijn de krachtigste firewall, dus daarin moeten gemeenten bij uitstek investeren.”

Burgemeester Carla Breuer: “Ik zou graag meer werken met de soort penetratietesten die verder gaan dan het kijken of één systeem op zichzelf veilig genoeg is” | Beeld: Sven van der Vlugt

iBestuur ging in gesprek met drie spelers in gemeenteland over de rol van gemeenten in de digitale veiligheid van de samenleving. Carla Breuer is burgemeester van Teylingen en haar collega Nanning Mol van Laren is als ‘cyberburgemeester’ binnen zijn veiligheidsregio portefeuillehouder digitale veiligheid. Astrid van de Klift is de kersverse adjunct-gemeentesecretaris van Nijmegen en voorzitter van Federatie van Algemene Middelenmanagers bij de Overheid (FAMO). Van de Klift: “Ik zie bij bestuurders de laatste jaren een toenemend bewustzijn. Vroeger bestond nog wel eens het idee dat het om louter techniek draait, dus vooral iets voor ICT’ers. Maar incidenten hebben duidelijk genoeg gemaakt dat informatieveiligheid de ruggengraat van de organisatie is. Bij incidenten is de burgemeester tegenwoordig meteen in beeld en als de consequenties groot zijn, neemt hij of zij de leiding over het noodplan en treedt de burgemeester naar voren in de communicatie daarover.”

Wat voor rol speelt de gemeentesecretaris daarin?
Van de Klift: “De gemeentesecretaris zit het dichtst op het reilen en zeilen van de organisatie en heeft daarom de belangrijke taak om alle informatie over zaken die misgaan of dreigen mis te gaan zo snel mogelijk door te spelen naar de burgemeester en de wethouder die informatieveiligheid in zijn portefeuille heeft.”

Nu is er op een bijzondere algemene ledenvergadering van de VNG, gewijd aan cybersecurity, een heuse resolutie aangenomen over dit onderwerp. Een paar jaar geleden werd er al eens een gelijksoortig appèl in hun gelederen gedaan. Treft het geen doel?
Breuer: “De herhaalde oproep was denk ik nodig voor versterkte bewustwording van de opgaven op het gebied van digitale veiligheid. Niet alleen voor de vier overheden maar ook voor de ketenpartners: de politie, uitvoeringsorganisatie, ondernemers en niet te vergeten voor de gemeenteraden. Wij hier in Teylingen hadden onlangs een ontmoeting met lokale ondernemers om nog eens te benadrukken hoe belangrijk de veiligheidszorg is. Dat blijkt wel uit de vrijwel dagelijkse meldingen van het Centrum voor Criminaliteits­preventie en Veiligheid (CVV, red.). We kunnen niet alert genoeg zijn. Ik ben een trouwe toehoorder van de CCV-cybertalkshow ‘De ondernemer draait door’. Deze talkshow verdient wat mij betreft warme aanbeveling bij ondernemers en bestuurders.”

Carla Breuer: “De criminaliteit verplaatst zich razendsnel naar de digitale wereld.”

Mol: “Ja, juist aan het bewustzijn van ondernemers moeten we heel hard werken. Zij worden steeds harder geraakt. Maar we hebben als gemeente daarnaast ook een verantwoordelijkheid in het weerbaar maken van jongeren en ouderen. Die vormen samen met ondernemers voor ons een expliciete doelgroep, omdat ze bovengemiddeld kwetsbaar blijken voor kwaadwillenden. Dertig procent van onze inwoners is 70 jaar en ouder. Het aantal huisinbraken neemt al jaren af, maar de digitale inbraken nemen hand over hand toe.”
Breuer: “De criminaliteit verplaatst zich razendsnel naar de digitale wereld.”
Mol: “Ons past ook introspectie: de CITRIX-ellende waarmee Hof van Twente te maken had, maakte pijnlijk duidelijk hoe kwetsbaar de gemeenten zijn en hoe afhankelijk van de zorgvuldigheid van de eigen medewerkers. We zijn daar natuurlijk allemaal erg van geschrokken.”
Van de Klift: “De FAMO heeft Dennis Lacroix, de gemeentesecretaris van Hof van Twente, onlangs uitgenodigd om te komen vertellen over zijn ervaringen tijdens en na de hack die alles platlegde. Dit is het type uitwisseling dat nodig is om digitale veiligheid te laten leven onder je medewerkers. Erover horen doet toch meer dan erover lezen. Ik kan me voorstellen dat dat ook voor bestuurders geldt.”
Breuer: “Zeker. Bewustwording van je eigen mensen is van cruciaal belang. De beleving van een incident kan wat dat betreft heel goed werken: een soort shocktherapie. Gooi eens een weloverwogen en respectvolle clickbait uit in je organisatie, aangekondigd of onaangekondigd. En beloon iedereen die hem weet te rapporteren. Kijk vervolgens goed of alle processen werken zoals verwacht en onderzoek wat je kunt verbeteren. Ik zou graag meer werken met de soort penetratietesten die verder gaan dan het kijken of één systeem op zichzelf veilig genoeg is: de zogenaamde red teaming, waarbij ethische hackers op verzoek een aanval op je hele organisatie of keten mogen doen om te kijken of een kwaadwillende vooraf afgesproken doelen zou kunnen bemachtigen. Onze Chief Information Security Officer heeft verschillende quizzjes gemaakt voor de medewerkers om het gevoel van urgentie en alertheid voelbaar te maken. Ik spoor zoveel mogelijk ambtenaren aan om daaraan deel te nemen. Het gaat daarbij niet alleen om bewustwording, maar ook om weten wat je moet doen als je een foutje maakt met mogelijk grote gevolgen.”

Astrid van de Klift: “Informatieveiligheid is de ruggengraat van de organisatie”

Foutjes zijn niet te voorkomen?
Breuer: “We verwachten heel veel van protocollen en hardware, maar zonder bewust gebruik daarvan zijn het zaken zonder waarde. Je kunt wel wat afdwingen met pasjes en toegangshekjes, maar in wezen gaat het om wat er tussen de oren van je mensen zit. Ik zeg altijd: je medewerkers zijn de krachtigste firewall, dus daarin moeten gemeenten bij uitstek investeren.”
Mol: “Ik ben ook maar een mens: ik vind het ook fijn als ik overal in en uit kan lopen met mijn iPadje onder de arm. Maar dat iPadje bevat wel heel veel interessante informatie voor kwaadwillenden. Onze CISO valt ons bestuurders lastig met allerlei voorschriften waar wij heel ongelukkig van worden; hij moet dat vooral blijven doen! Want in het kleinste hoekje schuilt het grootste ongeluk.”
Breuer: “Precies. Mogen alle personeelsleden binnenlopen bij Burgerzaken? Kan de uitgifte en het aanvragen van paspoorten niet beter strikt gescheiden worden? Hoe lang mag de computer openstaan van een ambtenaar die even van zijn plek is? Zijn interne datastromen goed gescheiden van open netwerken? Het lijkt allemaal soms wat pietluttig, maar het is nodig. En als je het echt internaliseert bij je mensen is het ook goed uit te leggen.”

De gemeenteraad werd zojuist ook genoemd. Wat is daar te halen?
Breuer: “Ik ben verheugd dat datalekken tegenwoordig aan de raad worden gemeld. Iedere melding maakt duidelijk hoeveel werk het met zich meebrengt om een lek te dichten, hoe ingrijpend de privacy van burgers of bedrijven is aangetast en hoe groot de imagoschade voor de gemeente is. De raad moet dat weten; wij bestuurders moeten immers hun rol van bewaker mogelijk maken.”
Van de Klift: “Ik heb de indruk dat burgemeesters – gemiddeld genomen – inmiddels diep doordrongen zijn van het belang en op de hoogte zijn van de risico’s, maar dat de actuele casuïstiek nog niet goed onder de aandacht is van raadsleden. Onder hen bestaat hier en daar toch nog wel het idee dat ICT-zaken in de sfeer van de randvoorwaarden spelen en dat je klaar bent als je een goede ICT-afdeling hebt.”
Mol: “Gemeenten staan aan de lat voor twee sporen: de samenleving weerbaar maken en het eigen huis op orde hebben. En dat is niet eenvoudig, want we krijgen altijd met het dilemma te maken: de raad faciliteren door zo veel mogelijk informatie over digitale onveiligheid te delen, of juist voorzichtig daarmee zijn om criminelen niet in de kaart te spelen.”

Nanning Mol: “In het kleinste hoekje schuilt het grootste ongeluk”

Vindt u dat de gemeenten goed zijn toegerust voor die verantwoordelijkheid?
Mol: “Probleem is dat wij allemaal in onze eigen regio enorm veel energie steken in het opstellen van een eigen aanpak. De cyberontwikkelingen gaan razendsnel en je hinkt er met volle kracht achteraan, waar criminelen heel wendbaar en innovatief blijken; dat is eigenlijk gekkenwerk. Ik vind dat er meer focus zou moeten komen in de vorm van landelijke regie. Elke regio probeert nu het wiel uit te vinden en daarom doen wij cyberburgemeesters een klemmend beroep op de Den Haag om één bewindspersoon voor digitale veiligheid in het leven te roepen. Landelijk coördinatie zou ons enorm verder helpen.”
Breuer: “We hebben natuurlijk wel de IBD (Informatiebeveiligingsdienst) als ondersteuner van gemeenten op het gebied van informatiebeveiliging en privacy. Het is ook het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). Zij brengen veel kennis in gemeenteland.”
Mol: “Zeker, maar de IBD kan de versnippering niet wegnemen. Ik zou projecten kant-en-klaar willen kunnen overnemen. Daar heb je toch echt centrale regie voor nodig. Wat mij betreft een belangrijk punt voor de formateur.”

De burgemeester en de virtuele openbare orde

“Project X, dat chaos veroorzaakte in Haren, ligt negen jaar achter ons en nog steeds is niet duidelijk hoe burgemeesters met dit soort verstoringen van de openbare orde kunnen en moeten omgaan”, vertelt Willem Bantema, onderzoeker onderzoeker cybersafety bij NHLStenden Hogeschool in Leeuwarden. Hij bestudeert de manier waarop burgemeesters omgaan met dit fenomeen. Onder juristen is er volgens Bantema altijd de vrees voor censuur, inperking van de vrijheid van meningsuiting. De uitingen op sociale media die tot verstoringen leiden, zijn op zichzelf doorgaans niet strafbaar; een formeel juridisch antwoord daarop blijft lastig. “Soms kun je opruiing aantonen, vaak ook niet. Een voorbeeld is de oproep om koffie te komen drinken op het Museumplein in Amsterdam. In ethische zin zijn publieke persoonlijkheden die zulke bijeenkomsten in gang zetten misschien wel verantwoordelijk, maar in juridische zin niet.”

Wetgeving

De zogeheten blokkeer-Friezen vormen een ander voorbeeld van online voorbereide ontregeling evenals de aanzet tot avondklokrellen. Maar ook de zogenaamde drill raps, de verspreiding van complot­theorieën en desinformatie kunnen uitmonden in onveiligheid. Bantema: “Een van de moeilijkheden in de bestrijding van ongeregeldheden als deze is dat de openbare orde gedefinieerd is in de negentiende eeuw. Die definitie zit ingebakken in de hoofden van bestuurders; verstoringen in de fysieke wereld, maar dat is nergens expliciet vermeld. Anno 2021 bestaat er daarnaast ook een virtuele openbare orde… De vraagt rijst of we wetgeving moeten ontwerpen die ingrijpen rechtvaardigt op iets wat viraal of online is. En welke bestuurslaag zou dat dan moeten doen? Burgemeesters blijken daar verdeeld over. Uit interviews die wij sinds 2018 houden, blijkt wel dat steeds meer burgemeesters zich verantwoordelijk voelen voor dit soort ongeregeldheden. Je kunt in ieder geval zeggen dat burgemeesters niet meer wegkomen met Ik ben hier niet van.”
Bantema ziet enkele pioniers: burgemeesters die de sociale media betreden om online een tegengeluid te laten horen, zoals Aboutaleb (Rotterdam) en Marcouch (Arnhem). “Burgemeester Rob Bats (Steenwijkerland) gaf aan meer online bevoegdheden te willen. Maar doorgaans zijn burgemeesters nog huiverig om de virtuele ruimte te betreden, uit angst dat ze hun onpartijdigheid op het spel zetten.” Ondanks dat Bantema meer ziet in slimme niet juridische interventies om ordeverstoringen te voorkomen vindt hij het tijd dat er meer inzicht komt in de juridische mogelijkheden en beperkingen én in mogelijk nieuwe wetgeving

tags: , , , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.