Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.
Dat zegt prof. dr. Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, in een interview met het Nederlands Genootschap van Burgemeesters (NGB).
‘Zorg zelf maar voor je digitale veiligheid’
Voor gemeenten is het lastig om hun zaakjes op orde te hebben op het gebied van digitale veiligheid. Kleine gemeenten hebben bijvoorbeeld niet hetzelfde budget hiervoor in vergelijking met grote gemeenten. Ook is er een groot verschil als het gaat om de hoeveelheid kennis, expertise en bewustwording. “Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid”, meent Van den Berg.
Toch gebeurt dat in praktijk vaak wel, en dat vindt de hoogleraar vreemd. Ze vergelijkt het met de systemen van de drinkwatervoorziening. “Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd.”
Als voorbeeld noemt Van den Berg de gemeente Hof van Twente, die eind 2020 het doelwit was van een ransomware-aanval. “Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.”
Gemeenten terughoudend om te investeren in cybersecurity
Het regelen van de digitale veiligheid is een complex vraagstuk voor gemeenten, benadrukt Van den Berg. Maar het is wel belangrijk dat ze hun zaakjes goed regelen. “Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.”
Ze begrijpt dat gemeenten terughoudend zijn om grote sommen geld te investeren in cybersecurity. Je ziet het namelijk vaak niet direct terug in de organisatie. Daarnaast is het lastig om een inschatting te maken of een investering in digitale veiligheid daadwerkelijk noodzakelijk is. “Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt”, zo zegt Van den Berg.
Pleidooi voor systematische verandering
De hoogleraar Cybersecurity Governance is ervan overtuigd dat het voor individuele gemeenten onmogelijk is om op eigen houtje ‘het hoogste niveau van digitale volwassenheid’ te bereiken. Om die reden pleit ze voor een systeem waarin vraagstukken op het vlak van cybersecurity en IT-beheer deels op een hoger niveau organiseren. “De IBD [Informatiebeveiligingsdienst, red.] heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd”, vertelt Van den Berg.
Ze is van mening dat een digitaal veilige gemeente niet bij de burgemeester begint. Bepaalde zaken op hoger niveau te regelen wil nog niet zeggen dat burgemeesters en andere relevante ambtenaren achterover kunnen leunen. “Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen.”
Een systematische verandering heeft tijd nodig, benadrukt Van den Berg. In de tussentijd moet iedereen volgens haar aan de bak om ons voor te bereiden op incidenten en crisismanagement in te richten.
Bron: burgemeesters.nl, vpngids.nl
Meer actueel nieuws
'Elke 7,5 seconden verschijnt er een nieuwe malware Android-app'
Deze week heeft G Data CyberDefense weer zijn jaarlijkse mobile malware analyse uitgebracht. Hieruit blijkt dat er opnieuw een negatief record is aan Android-malware. Het afgelopen jaar identificeerden experts maar liefst 4.18 miljoen nieuwe schadelijke Android-malware apps. Vorig jaar was er ook al een record te melden en lag de hoeveelheid op 4.12 miljoen.
De Belastingdienst "Uw openstaande schuld is na meerdere herinneringen niet voldaan"
Momenteel komen er veel vragen binnen bij Cybercrimeinfo.nl over het betalen van belastingschuld, de meeste berichten beginnen met "Uw openstaande schuld is na meerdere herinneringen niet voldaan", zo begint een phishing bericht meestal dat recentelijk uit naam van de Belastingdienst werd verstuurd en het is niet de enige. De afgelopen weken ontving de fiscus veel meer meldingen van phishing dan normaal. Het gaat zowel om e-mails als sms'jes, phishing en smishing dus.
Ethical Hacker PH-CybSec: "Mijn meest dankbare Hack"
Etisch hacker PH-SybSec antwoord meestal met een knipoog en een brede lach, als iemand aan hem vraagt: “Wat doe jij nu eigenlijk precies voor werk?” Eigenlijk ben ik een “legale crimineel!” Ik denk als een boef, maar met het doel om mensen en bedrijven te helpen hun computerbeveiliging te verbeteren. Hacken is per definitie illegaal, mits je vooraf duidelijke toestemming hebt om een hack uit te voeren en is overeengekomen wat er wel en niet bij het onderzoek hoort. Dat heet White-Hat hacken.
700 aangiften per week "In eerste vier maanden 2020 al meer dan geheel 2019"
De afgelopen maanden is het aantal meldingen en slachtoffers van 'hulpvraagoplichting' sterk toegenomen. Vooral sinds we sociale media als gevolg van de corona-lockdown veel intensiever gebruiken om met vrienden en familie in contact te blijven, slaan oplichters grootschalig toe. De Fraudehelpdesk heeft in de eerste vier maanden van 2020 al meer meldingen over hulpvraagoplichting ontvangen dan in heel 2019. Sinds het eind april mogelijk werd om online aangifte te doen van 'vriend-in-noodoplichting', is het aantal aangiften toegenomen van 300 naar 700 per week. Nederlandse banken hebben in de lockdown-maanden maart, april en mei van dit jaar ruwweg drie keer zoveel meldingen van oplichting via sociale media ontvangen als in de laatste drie maanden van 2019. In mei ontvingen de banken naar schatting zo’n 70 meldingen per dag.
Verkeerslichtsysteem door ernstige kwetsbaarheid te hacken in meer dan 70 landen
Een ernstig beveiligingslek in een verkeerslicht controle systeem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.
Politie betrekt Tweakers bij opsporing
Onder de naam ‘Blueweb’ start de politie vanaf 8 juni 2020 een samenwerking met het grootste technologieplatform van Nederland: Tweakers. ‘We vragen communityleden van technologieplatform Tweakers mee te denken in cybercrime-onderzoeken. Daarmee willen we misdrijven proberen op te lossen,’ zegt Franki Klarenbeek, coördinator van het Landelijk Team Opsporingscommunicatie van de politie.