“We moeten de taken in cyberspace verdelen”

Gepubliceerd op 4 januari 2023 om 18:50

Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.

Dat zegt prof. dr. Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, in een interview met het Nederlands Genootschap van Burgemeesters (NGB).

‘Zorg zelf maar voor je digitale veiligheid’

Voor gemeenten is het lastig om hun zaakjes op orde te hebben op het gebied van digitale veiligheid. Kleine gemeenten hebben bijvoorbeeld niet hetzelfde budget hiervoor in vergelijking met grote gemeenten. Ook is er een groot verschil als het gaat om de hoeveelheid kennis, expertise en bewustwording. “Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid”, meent Van den Berg.

Toch gebeurt dat in praktijk vaak wel, en dat vindt de hoogleraar vreemd. Ze vergelijkt het met de systemen van de drinkwatervoorziening. “Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd.”

Als voorbeeld noemt Van den Berg de gemeente Hof van Twente, die eind 2020 het doelwit was van een ransomware-aanval. “Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.”

Gemeenten terughoudend om te investeren in cybersecurity

Het regelen van de digitale veiligheid is een complex vraagstuk voor gemeenten, benadrukt Van den Berg. Maar het is wel belangrijk dat ze hun zaakjes goed regelen. “Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.”

Ze begrijpt dat gemeenten terughoudend zijn om grote sommen geld te investeren in cybersecurity. Je ziet het namelijk vaak niet direct terug in de organisatie. Daarnaast is het lastig om een inschatting te maken of een investering in digitale veiligheid daadwerkelijk noodzakelijk is. “Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt”, zo zegt Van den Berg.

Pleidooi voor systematische verandering

De hoogleraar Cybersecurity Governance is ervan overtuigd dat het voor individuele gemeenten onmogelijk is om op eigen houtje ‘het hoogste niveau van digitale volwassenheid’ te bereiken. Om die reden pleit ze voor een systeem waarin vraagstukken op het vlak van cybersecurity en IT-beheer deels op een hoger niveau organiseren. “De IBD [Informatiebeveiligingsdienst, red.] heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd”, vertelt Van den Berg.

Ze is van mening dat een digitaal veilige gemeente niet bij de burgemeester begint. Bepaalde zaken op hoger niveau te regelen wil nog niet zeggen dat burgemeesters en andere relevante ambtenaren achterover kunnen leunen. “Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen.”

Een systematische verandering heeft tijd nodig, benadrukt Van den Berg. In de tussentijd moet iedereen volgens haar aan de bak om ons voor te bereiden op incidenten en crisismanagement in te richten.

Bron: burgemeesters.nl, vpngids.nl

Meer actueel nieuws

Verborgen is niet altijd verborgen, denk dus na wat je op internet plaatst

12 feb 2020 11:00

Instagram toont bij berichten sinds enige tijd niet meer het specifiek tijdstip of de specifieke datum wanneer een bericht is geplaatst. Ook in bij Instagram Stories staat er doorgaans iets van aantal uren of dagen sinds het bericht online is gezet. Tijdens OSINT-trainingen geven cursisten regelmatig aan dat er toch wel behoefte is om een specifieke datum en tijdstip te achterhalen. Meer dus dan standaard wordt getoond:

Lees meer »

Belgie: 1.700 computers Atlas College Genk geblokkeerd

11 feb 2020 23:30

Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.

Lees meer »

IoT 'goud' voor Criminelen

10 feb 2020 11:00

Achtertuinen, opritten, woonkamers. Overal hangen beveiligingscamera's en honderden daarvan zijn kinderlijk eenvoudig via internet te bekijken. En dat gevaar wordt vaak onderschat of weggewuifd.

Lees meer »

«   »