Nederlandse gemeenten staan in toenemende mate onder druk van de dreiging van ransomware-aanvallen, zo blijkt uit het tweejaarlijkse ‘Dreigingsbeeld informatiebeveiliging’ van de Informatiebeveiligingsdienst (IBD). Informatieveiligheid is een organisatiebrede opgave. De gemeentesecretaris speelt een belangrijke rol om dat hoger op de agenda te krijgen.
Nathan Ducastel overhandigt het ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023-2024’ aan Pim van Vliet. | Beeld VNG Realisatie
Nathan Ducastel, directeur van VNG Realisatie overhandigde op 14 oktober het ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2023-2024’ aan Pim van Vliet, voorzitter van de Vereniging van Gemeentesecretarissen, en gemeentesecretaris in Leiden. “Zo kunnen we het onder de aandacht brengen van andere gemeentesecretarissen, die het weer verder kunnen brengen in hun organisatie”, licht Ducastel toe.
Naast de dreiging die toeneemt signaleert de IBD in het rapport dat er steeds meer en ernstiger fouten in software zitten, die zouden kunnen worden misbruikt door kwaadwillenden. Ook hebben gemeenten bij samenwerking met externe partijen niet altijd genoeg aandacht voor informatiebeveiliging en privacy.
De verantwoordelijkheid voor informatieveiligheid moet onderdeel zijn van integraal management
Samenwerken aan informatieveiligheid
Uit de tweejaarlijkse rapportage blijkt ook dat alle gemeenten actief samenwerken aan informatieveiligheid en gegevensbescherming, stelt Ducastel. De IBD, die is opgericht door alle Nederlandse gemeenten, staat hen daarbij dagelijks bij. “Dit Dreigingsbeeld is een aanleiding om deze inspanningen verder te verhogen. De dreigingen nemen zo rap toe, ook de aard ervan verandert. We moeten echt een been bijtrekken. Dit is een organisatiebrede opgave.”
“En wie beter dan de gemeentesecretaris, kan daarvoor zorgen”, vult Van Vliet aan. Die heeft daarbij, volgens haar, drie rollen. “Je bent algemeen directeur en eindverantwoordelijke van de organisatie, maar ook adviseur van het college. In de crisisstructuur heb je daarnaast een adviesfunctie. Als je niet uitkijkt wordt het vooral iets van de CISO of CIO. Dat kan niet meer. De verantwoordelijkheid ervoor moet onderdeel zijn van integraal management en het eigenaarschap moet ook op directie- en collegeniveau komen te liggen. Als gemeentesecretaris moet je ervoor zorgen dat het op de agenda komt en blijft.”
Informatiebeveiliging wordt steeds moeilijker
Want het ICT-landschap wordt steeds ingewikkelder, gaat de gemeentesecretaris van Leiden verder. “We moeten kijken hoe we het landschap overzichtelijker kunnen maken. Los van de beveiliging moeten we de systemen in de basis beter op orde krijgen. Die zijn allemaal zo verknoopt met elkaar. Dat zie je ook als er iets misgaat in de systemen zonder dat er kwaadwillenden bij betrokken zijn. Het duurt dan soms lang voordat we erachter komen waar de oorzaak van het euvel ligt. Informatiebeveiliging wordt hierdoor ook bemoeilijkt. De digitale wereld ontwikkelt zich snel en het is een uitdaging voor gemeenten om het bij te houden. Daarom denk ik dat het goed is dat wij als VGS dit Dreigingsbeeld in ontvangst nemen. Zodat we de urgentie kunnen delen onder onze leden.”
De dreiging geldt niet alleen voor gemeenten maar past in een landelijk beeld van toenemende scheefgroei tussen dreiging en weerbaarheid dat de NCTV onlangs publiceerde.
Hoger op de agenda
De VGS-voorzitter noemt het Dreigingsbeeld een ‘mooie aanleiding om het contact met de IBD verder uit te diepen’. “Wij gaan het onderwerp de komende tijd nog nadrukkelijker op de agenda zetten en trekken daarbij samen op met de IBD. Het is een kans om ook gemeentesecretarissen aan te haken, die hiermee nog niet zo ver zijn. We zijn ook bezig met een (pilot-)opleiding digitaal leiderschap voor gemeentesecretarissen, daar hoort informatieveiligheid natuurlijk ook bij.”
Ook gemeenteraden hebben het niet altijd op het netvlies. Totdat het misgaat.
Een uitdaging waar gemeentesecretarissen tegenaan lopen is dat gemeentebesturen nog niet altijd voldoende geld willen uitgeven aan het onderwerp informatievoorziening en informatiebeveiliging. In de resolutie Digitale Veiligheid van vorig jaar is door alle leden van de VNG in 2021 een vast budget voor digitale veiligheid onderschreven. De Cyber Security Raad hanteerde in 2017 10% van het ICT-budget als ondergrens. “We merken echter dat gemeenteraden het niet altijd op het netvlies hebben. Totdat het misgaat”, vertelt Ducastel.
Impact op de fysieke veiligheid
De urgentie is dus groot, legt Ducastel uit. Ook buiten de systemen. “We verwachten dat de digitale dreigingen ook steeds meer fysieke vormen aannemen. Voorheen was er veel meer een duidelijke scheiding tussen. Daarom verkennen we vanuit de Agenda Digitale Veiligheid samen met gemeenten en Veiligheidsregio’s waar de dwarsverbanden liggen.”
Een voorbeeld is wanneer een verkeerscentrale wordt gehackt en in een gemeente de verkeerslichten niet meer werken. Of wanneer er privacygevoelige informatie op straat komt te liggen. Soms wanen gemeenten zich veilig omdat ze voldoen aan ENSIA en omdat ze ervan uitgaan de IBD er voor ze is. Daar is de dreiging te groot voor, stelt Ducastel. “Je kan niet ontspannen achterover leunen omdat de IBD er is. We nemen de informatiebeveiliging bij gemeenten niet over, wij helpen gemeenten te prioriteren en regie te nemen. Gemeenten blijven zelf verantwoordelijk. We zien wel dat we de opgave moeten intensiveren.”
“De veiligste weg is niet altijd de snelste of de leukste weg en daar zit soms spanning op.”
6 Succesfactoren
Naast een vast percentage in het budget aan financiën kunnen gemeenten nog meer doen om de organisatie weerbaarder te maken en de kans op een incident of crisis aanzienlijk te verkleinen. Het Dreigingsbeeld laat zes succesfactoren zien die de gemeentesecretaris in staat stellen om samen met diens belangrijkste adviseurs de risico’s in kaart te brengen en de basis op orde te krijgen. Het zijn deels dingen die relatief makkelijk te realiseren zijn, zoals investeren in bewustwording bij medewerkers en het gebruik van meerfactorauthenticatie, waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, systeem of applicatie. “Maar onderschat de factor mens niet”, stelt Ducastel. “De veiligste weg is niet altijd de snelste of de leukste weg en daar zit soms spanning op”.
“Het vraagt allereerst vooral een andere mindset”, vult Van Vliet aan. “Namelijk dat informatiebeveiliging niet alleen iets is van de CISO of CIO, maar ook van het directieteam en het college. Creëer dus gezamenlijkheid.”
