“We moeten de taken in cyberspace verdelen”

Gepubliceerd op 4 januari 2023 om 18:50

Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.

Dat zegt prof. dr. Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, in een interview met het Nederlands Genootschap van Burgemeesters (NGB).

‘Zorg zelf maar voor je digitale veiligheid’

Voor gemeenten is het lastig om hun zaakjes op orde te hebben op het gebied van digitale veiligheid. Kleine gemeenten hebben bijvoorbeeld niet hetzelfde budget hiervoor in vergelijking met grote gemeenten. Ook is er een groot verschil als het gaat om de hoeveelheid kennis, expertise en bewustwording. “Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid”, meent Van den Berg.

Toch gebeurt dat in praktijk vaak wel, en dat vindt de hoogleraar vreemd. Ze vergelijkt het met de systemen van de drinkwatervoorziening. “Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd.”

Als voorbeeld noemt Van den Berg de gemeente Hof van Twente, die eind 2020 het doelwit was van een ransomware-aanval. “Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.”

Gemeenten terughoudend om te investeren in cybersecurity

Het regelen van de digitale veiligheid is een complex vraagstuk voor gemeenten, benadrukt Van den Berg. Maar het is wel belangrijk dat ze hun zaakjes goed regelen. “Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.”

Ze begrijpt dat gemeenten terughoudend zijn om grote sommen geld te investeren in cybersecurity. Je ziet het namelijk vaak niet direct terug in de organisatie. Daarnaast is het lastig om een inschatting te maken of een investering in digitale veiligheid daadwerkelijk noodzakelijk is. “Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt”, zo zegt Van den Berg.

Pleidooi voor systematische verandering

De hoogleraar Cybersecurity Governance is ervan overtuigd dat het voor individuele gemeenten onmogelijk is om op eigen houtje ‘het hoogste niveau van digitale volwassenheid’ te bereiken. Om die reden pleit ze voor een systeem waarin vraagstukken op het vlak van cybersecurity en IT-beheer deels op een hoger niveau organiseren. “De IBD [Informatiebeveiligingsdienst, red.] heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd”, vertelt Van den Berg.

Ze is van mening dat een digitaal veilige gemeente niet bij de burgemeester begint. Bepaalde zaken op hoger niveau te regelen wil nog niet zeggen dat burgemeesters en andere relevante ambtenaren achterover kunnen leunen. “Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen.”

Een systematische verandering heeft tijd nodig, benadrukt Van den Berg. In de tussentijd moet iedereen volgens haar aan de bak om ons voor te bereiden op incidenten en crisismanagement in te richten.

Bron: burgemeesters.nl, vpngids.nl

Meer actueel nieuws

Datalek nieuws en overzicht week 17-2020

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Cyberaanval op digitaal archief scholen Groningen en Haren

Het digitale archief van het Montessori Lyceum Groningen, Montessori Vaklyceum en het Harens Lyceum getroffen is getroffen door een computervirus. De bestanden uit het archief van de scholen zijn daardoor onherstelbaar beschadigd. Dit blijkt vandaag uit intern onderzoek naar de gebeurtenis. Het online onderwijs op de scholen en de schoolexamens gaan onverminderd door.

Lees meer »

Nintendo Switch-eigenaars worden gehackt

Onverwachts een mail krijgen dat er met je account is ingelogd terwijl je dat zelf niet bent: een steeds grotere groep Nintendo Switch-eigenaars maakt er melding van. Nintendo roept gebruikers op om een extra beveiliging bij inloggen in te schakelen.

Lees meer »