Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.
Dat zegt prof. dr. Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, in een interview met het Nederlands Genootschap van Burgemeesters (NGB).
‘Zorg zelf maar voor je digitale veiligheid’
Voor gemeenten is het lastig om hun zaakjes op orde te hebben op het gebied van digitale veiligheid. Kleine gemeenten hebben bijvoorbeeld niet hetzelfde budget hiervoor in vergelijking met grote gemeenten. Ook is er een groot verschil als het gaat om de hoeveelheid kennis, expertise en bewustwording. “Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid”, meent Van den Berg.
Toch gebeurt dat in praktijk vaak wel, en dat vindt de hoogleraar vreemd. Ze vergelijkt het met de systemen van de drinkwatervoorziening. “Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd.”
Als voorbeeld noemt Van den Berg de gemeente Hof van Twente, die eind 2020 het doelwit was van een ransomware-aanval. “Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.”
Gemeenten terughoudend om te investeren in cybersecurity
Het regelen van de digitale veiligheid is een complex vraagstuk voor gemeenten, benadrukt Van den Berg. Maar het is wel belangrijk dat ze hun zaakjes goed regelen. “Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.”
Ze begrijpt dat gemeenten terughoudend zijn om grote sommen geld te investeren in cybersecurity. Je ziet het namelijk vaak niet direct terug in de organisatie. Daarnaast is het lastig om een inschatting te maken of een investering in digitale veiligheid daadwerkelijk noodzakelijk is. “Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt”, zo zegt Van den Berg.
Pleidooi voor systematische verandering
De hoogleraar Cybersecurity Governance is ervan overtuigd dat het voor individuele gemeenten onmogelijk is om op eigen houtje ‘het hoogste niveau van digitale volwassenheid’ te bereiken. Om die reden pleit ze voor een systeem waarin vraagstukken op het vlak van cybersecurity en IT-beheer deels op een hoger niveau organiseren. “De IBD [Informatiebeveiligingsdienst, red.] heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd”, vertelt Van den Berg.
Ze is van mening dat een digitaal veilige gemeente niet bij de burgemeester begint. Bepaalde zaken op hoger niveau te regelen wil nog niet zeggen dat burgemeesters en andere relevante ambtenaren achterover kunnen leunen. “Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen.”
Een systematische verandering heeft tijd nodig, benadrukt Van den Berg. In de tussentijd moet iedereen volgens haar aan de bak om ons voor te bereiden op incidenten en crisismanagement in te richten.
Bron: burgemeesters.nl, vpngids.nl
Meer actueel nieuws
"Ambtenaren gebruiken meer dan veertig applicaties voor videoconferencing"
De Algemene Rekenkamer onderzocht tussen juli en oktober 2020 welke communicatiemiddelen ambtenaren, ministers, staatssecretarissen en andere hooggeplaatste overheidsmedewerkers gebruiken nu ze noodgedwongen thuis zitten. Uit deze inventarisatie blijkt dat er geen uniforme afspraken zijn over de wijze waarop ze op een veilige en verantwoorde manier met elkaar kunnen communiceren. Dat brengt risico’s met zich op het gebied van informatiebeveiliging, privacy en adequate archivering van informatie.
Burgers en bedrijven digiweerbaar met de City Deal
Van digitale wijkambassadeurs tot een lokale helpdesk die wordt bemand door IT-studenten. In de 'City Deal Lokale Weerbaarheid Cybercrime' gaan 8 steden, 3 ministeries, veiligheidsorganisaties en kennisinstellingen samen aan de slag om de cyberweerbaarheid te verhogen onder burgers en bedrijven. Met de ondertekening van de City Deal op 28 oktober 2020 gaat de 'City Deal Lokale Weerbaarheid Cybercrime' van start.
Ransomware weekoverzicht week 44 - 2020
Afgelopen week hebben we een gezamenlijke aanval gezien op de gezondheidszorg. We zagen ook dat enkele grote bekende bedrijven werden getroffen door ransomware die hun bedrijfsactiviteiten beïnvloedden.
Cybercrime nieuwsbrief 130 (week 44-2020)
Nieuwe vormen van phishing, aanvallen op ziekenhuizen en hoe snapchat misbruikt wordt door oplichters. Dit en meer lees je in nieuwsbrief 130. Nog niet ingeschreven voor deze gratis nieuwsbrief over cybercrime en darkweb? Schrijf je dan hier in.
Datalek nieuws en overzicht week 44-2020
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Tweestapsverificatie vingerafdruk te koop met e-mailadressen en wachtwoorden
"Beveiliging op het internet is een eindeloos kat-en-muisspel. Terwijl beveiligingsspecialisten voortdurend nieuwe manieren bedenken om onze digitale gegevens te beschermen, verzinnen cybercriminelen nieuwe sluwe manieren om die verdediging te omzeilen. Onderzoekers van de TU/e hebben nu bewijs gevonden van een geavanceerde Russische online marktplaats die honderdduizenden zeer gedetailleerde gebruikersprofielen verhandelt. Deze 'fingerprints' stellen criminelen in staat om ultramoderne tweestapsverificatie te omzeilen, waardoor ze toegang krijgen tot waardevolle gebruikersinformatie, zoals creditcardgegevens." aldus de TU/e