Citrix, corona, gijzelsoftware. Drie gebeurtenissen die zelfs de grootste gemeentelijke twijfelaar hebben overtuigd van het belang van informatiebeveiliging. Maar bewustzijn van risico’s is niet hetzelfde als weten hoe te handelen om ze te voorkomen. Daarom bevat het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten naast een overzicht van risico’s uit de praktijk, een handelingsperspectief voor management en directie, met actuele voorbeelden.
Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 biedt een actueel overzicht van het huidige dreigingsbeeld, gevolgd door een opsomming van risico’s voor de ambtelijke organisatie, het openbaar bestuur en de politiek, inwoners en de ondernemers. De compacte publicatie is door de Informatiebeveiligingsdienst (IBD) van de VNG samengesteld op basis van gesprekken met gemeentesecretarissen, managers en medewerkers van gemeenten. De toch vaak abstracte risico’s worden verduidelijkt met voorbeelden uit de praktijk. ‘Bedrijfscontinuïteit in het geding’ wordt heel concreet wanneer het wordt geïllustreerd met de Citrix-problemen van vorig jaar. Het gebruik van onveilige software in het tellen van stemmen is een vorm van ‘Schade aan democratische processen’. De makers hebben ingezet op duidelijke taal.
Handelingsperspectief
Als voorzitter van de Vereniging van Gemeentesecretarissen (VGS) ontving gemeentesecretaris Ingrid Geveke op 24 september als eerste een fysiek exemplaar van het Dreigingsbeeld. Het werd haar in het stadhuis van Zwolle overhandigd door directeur Informatiesamenleving Nathan Ducastel van de VNG. Beiden spraken kort over hoe de IBD zich in relatief korte tijd bewezen heeft als organisatie die waarde toevoegt voor gemeenten. Sinds de oprichting in 2013 is het belang van informatiebeveiliging doorgedrongen tot directiekamers en vergaderzalen van colleges. Niemand durft meer te beweren dat datalekken of digitale risico’s alleen bij anderen voorkomen. “De stap die we nu moeten zetten is naar bewust bekwaam handelen”, aldus Geveke. “Daarom ben ik blij met het hoofdstuk over handelingsperspectief voor management en directie. Binnen de VGS merk ik dat bijna iedereen zich bewust is van risico’s en veel maatregelen zijn al genomen. Toch staan we wat betreft informatiebeveiliging, in zekere zin nog maar aan het begin. De CISO is er voor de bewustwording van de risico’s binnen de organisatie en daarbuiten, bij de ketenpartners. Het is de rol van de gemeentesecretaris om die bewustwording te vertalen naar handelingsperspectief en te sturen op risicomanagement. En dat moet in alle lagen van de organisatie.”
Samen
“Informatiebeveiliging en online veiligheid zijn bij uitstek onderwerpen waar het collectief van gemeenten sterker is dan de som van alle losse organisaties”, zegt Ducastel. “Met onze IBD bewijzen we dagelijks de meerwaarde van een collectieve aanpak. De IBD vormt het schakelpunt waar we in de gaten houden wat er gebeurt en snel alle gemeenten kunnen activeren als dat nodig is.”
Naast het Dreigingsbeeld verscheen eerder dit jaar de Agenda Digitale Veiligheid (ADV) van de VNG waarin de prioriteiten van gemeenten voor de komende jaren staan beschreven. Ducastel: “De ADV legt heel bewust de verbinding tussen fysieke en digitale veiligheid, de systematische aanpak rond fysieke veiligheid moet gaan terugkomen in de omgang met digitale veiligheid.” Hij noemde de verschuiving van criminaliteit van de fysieke wereld naar de online wereld, zo ook rondom bijvoorbeeld ondermijning. “We zijn de naïviteit echt wel voorbij. Ja, we moeten luisteren naar inwoners en ondernemers en mee met alle ontwikkelingen, maar we moeten ons ook realiseren dat er risico’s zijn en dat niet iedereen goede bedoelingen heeft.” Het is juist de rol van de lokale overheid om waakzaam te zijn.
Risicocategorieën
Het Dreigingsbeeld maakt onderscheid tussen vier categorieën dreiging. Onder ‘extern en ongericht’ vallen bijvoorbeeld grootschalige phishing- en ransomwarecampagnes. Dit zijn vooral geautomatiseerde massa-aanvallen; een enorm net wordt uitgegooid in de hoop op een paar waardevolle visjes. ‘Extern en gericht’ zijn bijvoorbeeld doelgerichte pogingen om geld of informatie buit te maken. Dit soort acties vallen in de categorie spannende verhalen over hackers en criminelen, die de IBD in het dagelijks leven echter maar weinig tegenkomt. ‘Intern en gericht’ omvat zaken als fraude en ondermijnende activiteiten van eigen medewerkers. Dit is de meest riskante categorie omdat het hier gaat om ambtenaren met toegangsrechten en kennis van interne processen. Pijnlijk, om te moeten accepteren dat ook eigen mensen een potentieel risico zijn. Tot slot is er de categorie ‘intern en onbedoeld’. Dit zijn dreigingen door onbedoelde neveneffecten van logisch menselijk handelen. Zoals fouten gemaakt in haast of onzorgvuldigheid: een vergeten USB-stick, een mailtje naar de verkeerde persoon. Medewerkers willen snel en efficiënt hun werk doen (‘bureaucratie is uit, ondernemerschap is in’, stelt de IBD), maar dat mag niet ten koste gaan van waakzaamheid en zorgvuldigheid.
Veilig gedrag
Dat betekent ook alert zijn op de kleine dingen. Gemeente Zwolle begon anderhalf jaar geleden met een cursus waarin medewerkers leren hoe ze veiliger kunnen werken. De cursus is verplicht voor iedereen. Geveke licht toe: “Kennis en bewustzijn dragen bij aan de veilige omgeving die nodig is om digitale dreiging bespreekbaar te maken en dus tegen te gaan. Medewerkers moeten zich veilig genoeg voelen om vragen te stellen en eventuele risico’s te melden.” De gemeentesecretaris pakt daarin de voorbeeldrol. “Als ik een phishing-mail krijg waar ik zelf bijna intrap, dan vertel ik dat gewoon. Die openheid moedigt anderen aan dat ook te zijn. We willen mensen niet straffen voor het melden van risico’s, maar juist belonen voor veilig werken.” Transparantie over informatiebeveiliging in het algemeen helpt gemeenten om steeds beter grip te krijgen op de materie. “De beveiliging van onze systemen is geen kwestie van technologie alleen, het is mensenwerk en vooral een zaak van management en bestuur, dat blijkt wel uit het Dreigingsbeeld.”
Dreigingsbeeld Informatiebeveiliging 2021-2022
Gemeenten maken werk van informatiebeveiliging en de VNG ondersteunt hen daarbij. De IBD is de collectieve voorziening voor alle Nederlandse gemeenten. Het Dreigingsbeeld Informatiebeveiliging 2021/2022 is opgesteld op basis van interviews, analyse van incidentrapportages van gemeenten en meldingen aan de IBD.
Informatiebeveiligingsdienst – Dreigingsbeeld Informatiebeveiliging 2021-2022
VNG -Agenda Digitale Veiligheid 2020-2024