Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.
Dat zegt prof. dr. Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, in een interview met het Nederlands Genootschap van Burgemeesters (NGB).
‘Zorg zelf maar voor je digitale veiligheid’
Voor gemeenten is het lastig om hun zaakjes op orde te hebben op het gebied van digitale veiligheid. Kleine gemeenten hebben bijvoorbeeld niet hetzelfde budget hiervoor in vergelijking met grote gemeenten. Ook is er een groot verschil als het gaat om de hoeveelheid kennis, expertise en bewustwording. “Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid”, meent Van den Berg.
Toch gebeurt dat in praktijk vaak wel, en dat vindt de hoogleraar vreemd. Ze vergelijkt het met de systemen van de drinkwatervoorziening. “Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd.”
Als voorbeeld noemt Van den Berg de gemeente Hof van Twente, die eind 2020 het doelwit was van een ransomware-aanval. “Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.”
Gemeenten terughoudend om te investeren in cybersecurity
Het regelen van de digitale veiligheid is een complex vraagstuk voor gemeenten, benadrukt Van den Berg. Maar het is wel belangrijk dat ze hun zaakjes goed regelen. “Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.”
Ze begrijpt dat gemeenten terughoudend zijn om grote sommen geld te investeren in cybersecurity. Je ziet het namelijk vaak niet direct terug in de organisatie. Daarnaast is het lastig om een inschatting te maken of een investering in digitale veiligheid daadwerkelijk noodzakelijk is. “Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt”, zo zegt Van den Berg.
Pleidooi voor systematische verandering
De hoogleraar Cybersecurity Governance is ervan overtuigd dat het voor individuele gemeenten onmogelijk is om op eigen houtje ‘het hoogste niveau van digitale volwassenheid’ te bereiken. Om die reden pleit ze voor een systeem waarin vraagstukken op het vlak van cybersecurity en IT-beheer deels op een hoger niveau organiseren. “De IBD [Informatiebeveiligingsdienst, red.] heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd”, vertelt Van den Berg.
Ze is van mening dat een digitaal veilige gemeente niet bij de burgemeester begint. Bepaalde zaken op hoger niveau te regelen wil nog niet zeggen dat burgemeesters en andere relevante ambtenaren achterover kunnen leunen. “Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen.”
Een systematische verandering heeft tijd nodig, benadrukt Van den Berg. In de tussentijd moet iedereen volgens haar aan de bak om ons voor te bereiden op incidenten en crisismanagement in te richten.
Bron: burgemeesters.nl, vpngids.nl
Meer actueel nieuws
Cyberambassadeurs maken Breda veiliger: ‘Het gebeurt geregeld dat een cybercrimineel nog een keer terugkomt’
De Bredase Cyberambassadeur Peter de Clercq. © Pix4Profs/Joyce van Belkom
Server neergehaald en erger voorkomen
Het Cybercrimeteam van Oost-Brabant heeft er voor gezorgd dat er een server, bedoeld voor criminele activiteiten, uit de lucht is gehaald. Daarmee is voorkomen dat er mensen slachtoffer werden van bijvoorbeeld hackers, computervredebreuk of oplichting.
Vanaf 11 maart 2022 enkel nog DNS-servers op Russisch grondgebied?!
De Russische overheid heeft sites en domeinen bevolen om voor 11 maart 2022 over te stappen op een DNS-server op Russisch grondgebied. Met de eventuele inzet van de afgeschermde Russische .ru-zone kan het land zichzelf afscheiden van het wereldwijde internet. Het Kremlin ontkent echter dat het zichzelf voorbereidt om het Russische internet te isoleren van de rest van de wereld.
In deze metaoorlog vecht iedereen mee
Nu de invasie in Oekraïne is losgebarsten, zitten we in een metaoorlog. Zodra je je telefoon opent, ben je ooggetuige en zit je er middenin. Kom meevechten – op afstand. De realtime oorlog kwam er dankzij CNN en de Golfoorlog. En de online informatieoorlog woedt al sinds Russische internettrollen zich op de VS en Europa stortten.
AIVD waarschuwt: ga geen Russen hacken
Wereldwijd geven honderdduizenden hackers en IT’ers gehoor aan de oproep van de Oekraïense regering om mee te vechten tegen de Russen. Dat is een slecht idee, vinden de AIVD en cyberexperts. ‘Je weet niet welke gevolgen het heeft. Voor je het weet, hebben de Oekraïners geen eten meer.’
Overzicht cyberaanvallen week 09-2022
Samsung slachtoffer geworden van cyberaanval, Nederlandse routers gehackt door Russische militaire hack groep en Toyota legt productie stil na gemelde cyberaanval op leverancier. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.