Veel gemeenten zijn niet voorbereid op aanvallen van cybercriminelen. Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack. In sommige gevallen hebben gemeenten niet eens tweestapsverificatie ingesteld voor hun medewerkers, blijkt uit een rondgang van vakbladen AG Connect en Binnenlands Bestuur.
Naar aanleiding van incidenten in Hof van Twente en Lochem stelde journalist Sjoerd Hartholt samen met privacy-deskundige Brenno de Winter vragen over de voorbereiding van gemeenten op eventuele hacks. 'Hebben gemeenten draaiboeken klaarliggen? Wordt er in gemeenteraad over gesproken en is er Rekenkameronderzoek gedaan? Veel gemeenten zijn er teleurstellend weinig mee bezig en van de 50 benaderde gemeenten antwoordden er slechts 27.'
Waarom?
Wat de gemeenten bezielt om de beveiliging zo te verwaarlozen vindt Hartholt lastig te zeggen. 'Veel gemeenten vinden dat ze er hard aan trekken en dat het allemaal niet zo slecht gaat. Maar ondertussen hebben ze simpele dingen niet op orde of schuiven ze eenvoudig onderzoek voor zich uit. Gemeenten zijn bang dat aanvallen van buitenaf van ethisch hackers veel reuring en vaak een kritisch rapport opleveren; Rekenkameronderzoeken zijn vaak vernietigend.'
Na het recente incident in Hof van Twente mag je hopen dat er een gevoel van urgentie is, zegt Hartholt. Toch houden veel gemeenten zich nog angstvallig stil. 'Concrete antwoorden blijven vaak uit. Bij andere vragen was het antwoord: 'we kunnen dat niet zeggen, want het is mogelijk gevoelige informatie', terwijl dat helemaal niet zo was. Het viel ook op dat gemeenten vaak niet goed kunnen uitleggen wat ze precies doen - ook een teken aan de wand.'
Andere gemeenten zouden een voorbeeld kunnen nemen aan Den Haag, dat een jaarlijks hack-evenement organiseert met meer dan honderd hackers. 'Die krijgen compleet vrij spel en ze leggen elk jaar enorme gaten en risico's bloot. Dat is misschien niet fijn, maar daar heb je wel het meeste aan.' De kostenafweging is aan de gemeenten, maar in het geval van Hof van Twente is de investering een schijntje ten opzichte van de voorkomen schade.
Reactie
Volgens de Vereniging Nederlandse Gemeenten spelen de problemen niet alleen bij gemeenten, maar maatschappijbreed. Daarom moet je gemeenten er niet meteen op afrekenen als je makkelijk binnenkomt als hacker. Die reactie komt voor Hartholt niet onverwacht. 'Maar volgens mij moet je juist als overheid vooroplopen. Het is goed dat de VNG via een speciaal loket speciale zaken aanbiedt om het beter te doen, maar gemeenten moeten daar zelf ook stappen in zetten.'
Remco Groet is van de informatiebeveiligingsdienst voor gemeenten, onderdeel van de Vereniging van Nederlandse Gemeenten (VNG). Hij is niet enthousiast over de conclusies. 'We herkennen de voorbeelden uit het onderzoek wel, maar het is wel erg selectief. Er worden allerlei negatieve zaken belicht, maar informatiebeveiliging is veel meer dan dat.'
Groet protesteert met name tegen het beeld dat wordt geschetst van gemeenten. 'Het lijkt nu net alsof wij informatiebeveiliging als enige niet op orde hebben, terwijl dat net zo goed geldt voor de rest van de publieke en de private sector.'
Wel erkent hij dat de overheid een voorbeeldfunctie heeft en dat er nog veel werk te verzetten is.
Bron: bnr.nl
Meer info over Cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
'Safe-Inet' is uitgeschakeld
Het Virtual Private Network (VPN) 'Safe-Inet' is uitgeschakeld. Dit gebeurde in een gezamenlijke actie van verschillende opsporingsdiensten. Topcriminelen van over de hele wereld gebruikten dit netwerk. De actie vond plaats onder leiding van het Duitse Hoofdkwartier van de politie te Reutlingen, in samenwerking met Europol en opsporingsdiensten van over de hele wereld.
“In een snel digitaliserende wereld moet je meebewegen. Digitaal is inmiddels het nieuwe normaal”
De politie gaat de komende jaren 600 miljoen euro investeren om het capaciteitsprobleem aan te pakken. Het gaat daarbij onder meer over het aanstellen van extra wijkagenten om de zichtbaarheid te vergroten. De helft van het bedrag wordt aangewend om te investeren in het verbeteren van de digitale vaardigheden van agenten en digitale bereikbaar van de politie.
Meer gepersonaliseerde aanvallen in 2021
Nu veel digitale initiatieven in een sneltreinvaart zijn gerealiseerd, zijn ook veel trends sneller dan verwacht ontwikkeld.
“Als een producent software heeft aangeboden die vervolgens niet voldoet aan de digitale veiligheidseisen, is hij mogelijk aansprakelijk op grond van wanprestatie”
Gebruikers kunnen de software-ontwikkelaar aansprakelijk stellen voor de schade die een hacker heeft toegebracht als blijkt dat de cybersecurity niet op orde is. Als het product niet voldoet aan de digitale veiligheidseisen, kan de fabrikant of verkoper van de software aangeklaagd worden op grond van wanprestatie. Er zijn echter wel de nodige juridische en economische barrières die het verhalen van de schade complex maken.
"Terug naar de kantoor jungle"
De pandemie heeft de manier waarop we leven en werken radicaal veranderd. Zakelijk was de weg van de veelal veilige boardroom en kantoortuin naar de metaforische keukentafel of zolder al ingezet. De realiteit heeft de discussie omtrent thuiswerken daarmee in sneltreinvaart beslecht, debat over afname van productiviteit en effectiviteit waren overgedragen aan vertrouwen uit noodzaak en brachten nieuwe uitdagingen aan het licht.
Cyberweerbericht: “Dat hoeft voor mij niet iedere avond na het 8-uurjournaal uitgezonden te worden”
Het CDA vindt het een goed idee als de overheid een ‘cyberweerbericht’ introduceert. Daarin worden burgers gewaarschuwd als er een grote phishing aanval in aantocht is, en wat ze daar aan kunnen doen. Het CDA zou graag willen dat minister Ferd Grapperhaus van Justitie en Veiligheid deze mogelijkheid serieus onderzoekt.