Cybercriminelen proberen aan de lopende band in te breken bij gemeenten. De prognoses zeggen dat er nóg meer gijzelhacks en datalekken komen. Wie moet de risico’s gaan managen? De gemeentesecretaris.
Gemeenten zijn gewaarschuwd. Het aantal ransomware-aanvallen zal toenemen, met nog destructievere gevolgen. De gemeentelijke ICT zal langduriger ontregeld raken. Ook zullen zich steeds ernstigere softwarekwetsbaarheden voordoen, met een stijgende kans op inbraak en datalekken.
Horrorscenario
Dit horrorscenario krijgen gemeenten voorgeschoteld in het recente Dreigingsbeeld Informatiebeveiliging 2023-2024 van de Informatiebeveiligingsdienst (IBD). Dit onderdeel van de Vereniging van Nederlandse Gemeenten biedt gemeenten ondersteuning bij cyberaanvallen.
De ‘cyberbrandweer’ moest vorig jaar bij zo’n 300 ICT-incidenten te hulp schieten. In 2020 waren dat er 175. Ook vond de IBD in 2022 in gemeentelijke software 90 kwetsbaarheden met een verhoogde kans op misbruik, een jaar eerder 45 en in 2019 maar 24.
Kwetsbaar bij samenwerken
Ook gemeentelijke samenwerkingsverbanden zijn kwetsbaar. Een doorsnee gemeente maakt al gauw deel uit van zo’n dertig samenwerkingen, vaak met speciale software. Bij uitbesteding worden informatiebeveiliging en privacy als operationele details beschouwd, constateert de IBD.
Bij één zo’n samenwerkingsverband, het werkbedrijf Senzer van zeven Brabantse gemeenten in de Peel, ging het vorig jaar dan ook mis. Door cyberaanvallen waren systemen niet toegankelijk, waardoor de betaling van uitkeringen vertraging opliep.
Een ander softwarebedrijf, van vijf Limburgse gemeenten, werd dit jaar slachtoffer van ransomware. Door de aanval waren bestanden van het administratiesysteem van het sociaal domein versleuteld. Er werden geen gegevens buitgemaakt.
Het tweejaarlijkse rapport borduurt voort op het jaaroverzicht over 2021 van de IBD, dat eerder dit jaar al uitgebreid over de toegenomen dreiging van cybercriminaliteit rapporteerde.
Gemeenten zetten weliswaar stappen om hun cybersecurity naar een hoger plan te tillen. De dreigingen nemen echter zo snel toe, stelt de IBD, dat er meer nodig is.
Onnodige kostenpost
Volgens de IBD zien gemeenten informatiebeveiliging nog te veel als onnodige kostenpost. De rekening van preventie staat echter niet in verhouding tot de kosten van een incident. Het gaat in deze criminaliteit al snel om tonnen tot miljoenen euro’s, waarschuwt de organisatie.
Naast de impact van een incident op medewerkers is een getroffen organisatie vaak weken of maanden bezig om de ICT en de bedrijfsprocessen weer aan de praat te krijgen.
Een gemeente die daar alles van weet, is Hof van Twente, slachtoffer van een van de meest ingrijpende lokale cyberveiligheidsongelukken. Aan het eind van coronajaar 2020 legden gijzelhackers alle ICT-systemen van de Overijsselse gemeente plat, ook de financiële administratie. Data werden afgegrendeld of vernietigd.
De dienstverlening kwam abrupt tot stilstand. Als gevolg van de hack kon de gemeente pas deze maand een definitieve streep zetten onder de financiën voor 2020 en 2021. Op de eis van losgeld werd destijds niet ingegaan.
Reputatie
Beveiligings- en privacy-incidenten schaden het vertrouwen van inwoners in de overheid en de reputatie van de gemeente en haar bestuurders, benadrukt de IBD.
Michiel van Dalen, gemeentesecretaris in het Gelderse Buren, schreef het voorwoord in het Dreigingsbeeld. Ook hij is ervaringsdeskundige. Zijn werkgever werd in april gehackt. Cybercriminelen waren al sinds januari binnen en konden in alle rust een dozijn systemen van de gemeente versleutelen en stilleggen.
Op het ‘darkweb’ stond vervolgens 130 gigabyte aan gestolen data te koop. In totaal werd 5000 gigabyte (5 terabyte) gestolen, waaronder ruim duizend identiteitsbewijzen. De betrokken inwoners moesten hun ID laten vervangen. De ICT-omgeving van de gemeente lag voor het grijpen, omdat een leverancier zijn inlogaccount slecht had beveiligd.
Gemeentesecretaris
De bijdrage van Van Dalen is vooral bedoeld om het thema informatieveiligheid onder de aandacht van het gemeentelijk management te krijgen. ‘Dit is niet alleen de klus van de ICT-afdeling,’ schrijft hij. De schrijver wil dat zijn collega’s bij andere gemeenten een ‘aanjaagrol’ gaan vervullen.
Als schakel tussen bestuur en ambtelijke organisatie is de gemeentesecretaris de eerste aangewezen risicomanager, staat verderop in het IBD-rapport. Hij kan er onder meer voor zorgen dat de basismaatregelen op orde zijn en aansturen op een vast percentage voor informatiebeveiliging en privacy in het budget.
De VNG hamert er richting gemeenten al langer op dat ICT-beveiliging niet alleen een bedrijfsvoerings-issue is. Ditmaal ligt de aandacht specifiek op de gemeentesecretaris.
Ook bij college en raad, waar deze thema’s op tafel liggen, moet het besef van cybersecurity groeien. Om het onderwerp bij deze doelgroepen tussen de oren te krijgen, is vorig jaar op de algemene ledenvergadering de Resolutie Digitale Veiligheid aangenomen.
Het dreigingsbeeld van de IBD bevestigt dat er nog een lange weg te gaan is.
Geef een antwoord