We moeten ons erop voorbereiden dat digitale incidenten vaker zullen plaatsvinden. Dat betekent dat we moeten werken aan voorkomen én genezen. Digitale weerbaarheid is geen ‘bedrijfsvoeringsding’, dit onderwerp vraagt echt om bestuurlijke aandacht.
We zullen ons er allemaal op moeten voorbereiden dat we het slachtoffer kunnen worden van een digitale aanval.
We zijn het al bijna vergeten door corona, maar we begonnen 2020 met het Citrix-incident, waardoor we niet meer vanaf afstand konden werken. We sloten het jaar af met een ander incident, in Hof van Twente. De digitale systemen lagen plat, met serieuze gevolgen voor de dienstverlening van de gemeente. Dit soort incidenten zullen vaker plaatsvinden. Simpelweg omdat ons leven zich veel meer in het digitale domein afspeelt én omdat 100% veiligheid nou eenmaal niet bestaat. Niet in de fysieke en ook niet in de digitale wereld.
Omdat digitalisering zo diep ingrijpt in alle facetten van onze samenleving, is digitale weerbaarheid een onderwerp voor bestuurders. De digitale en de fysieke wereld vormen een geheel, waardoor een incident in de digitale wereld gevolgen heeft in de fysieke wereld. En andersom. Digitale weerbaarheid is dus geen ‘bedrijfsvoeringsding’, dit onderwerp vraagt echt om bestuurlijke aandacht. Daarom legt de VNG op de buitengewone algemene ledenvergadering in februari de leden een resolutie informatieveiligheid voor. Met daarin onder meer voorstellen hoe digitale weerbaarheid beter ingebed kan worden in het algemene domein van openbare orde en veiligheid. En wat de rol van de burgemeester daarin is.
Er zijn gelukkig al veel bestuurders die het belang van digitale weerbaarheid inzien en daar actie op ondernemen. Bij de politiek zie ik dat besef ook groeien. Maar er mag op dat niveau meer en breder aandacht voor zijn. Zoals burgemeester Sebastiaan van ’t Erve van Lochem zegt in een recent interview in het e-magazine van VNG Realisatie : je hoeft geen technisch specialist te zijn, maar je moet wel de alertheid hebben om de goede vragen in je organisatie te stellen. Op die manier ging hij het incident in Lochem te lijf.
In het jaaroverzicht dat de Informatiebeveiligingsdienst publiceerde wordt duidelijk dat 2020 een veelbewogen jaar was, waarin de IBD gemeenten bij onder meer 175 incidenten ondersteunde. Gemeenten leggen binnen de Gezamenlijke Gemeentelijke Uitvoering dit jaar een nog grotere nadruk op het vergroten van hun digitale weerbaarheid, bijvoorbeeld met de ontwikkeling van online hulpmiddelen die snel inzicht geven in belangrijke risico’s. Er wordt ingezet op voorkomen en genezen.
Een organisatie die digitaal weerbaar is, weet wat ze tijdens en na een incident moet doen. Die heeft de basis op orde, een werkende crisisorganisatie voor tijdens het incident en weet wat er moet gebeuren om de dienstverlening zo snel mogelijk te herstellen. Terugvalscenario’s zijn nodig, zodat dienstverlening tijdens en na een incident door kan gaan. Het is belangrijk dat we daarmee oefenen, net zoals we oefenen om goed voorbereid te zijn op een fysieke crisis. En dat bestuurders en politici zich dit realiseren.
Ik zie hier niet alleen een rol voor burgemeesters en wethouders, maar ook voor raadsleden. Zij hebben met ENSIA een instrument in handen om hun verantwoordelijkheid voor informatieveiligheid te nemen. Daarnaast mogen raadsleden zich vaker en meer laten informeren hoe hun gemeente zich voorbereidt op de fase na een incident.
Het is een open deur, maar je repareert het dak als de zon schijnt. En dan nog: ook als het dak waterdicht is, moeten de emmers klaar staan. Er kunnen altijd dakpannen afwaaien, 100% veilig bestaat niet. Of je nu groot of klein bent, een gemeente of een ziekenhuis: we zullen ons er allemaal op moeten voorbereiden dat we het slachtoffer kunnen worden van een digitale aanval.
Nathan Ducastel is beleidsdirecteur Informatiesamenleving bij de VNG en directeur van VNG Realisatie
