De gijzelhack bij Hof van Twente zal menig gemeente hebben doen beven. In 2020 waren er bijna 4000 meldingen van ICT-veiligheidsincidenten bij lokale overheden. De VNG wil cybersecurity beter tussen de oren van bestuurders en raadsleden krijgen.
Wen er maar vast aan. Met de oprukkende digitalisering zullen ICT-incidenten alleen maar toenemen. Dat is de niet mis te verstane boodschap van het vorige week verschenen jaaroverzicht van de Informatiebeveiligingsdienst. Dit onderdeel van de VNG ondersteunt gemeenten bij hun ICT-beveiliging en bescherming van persoonsgegevens. Afgelopen jaar kwamen er 3.845 meldingen binnen over problemen met ICT-beveiliging. Bij 175 incidenten moest de dienst ondersteuning bieden. In 2019 waren er nog zo’n 3000 meldingen en was assistentie nodig in 144 gevallen.
Meer risico’s
Ook werden afgelopen jaar bijna 2000 kwetsbaarheidsmeldingen aan gemeenten verstuurd, om te waarschuwen voor softwarelekken. Een veertigtal was dermate ernstig, dat er een hoge kans op misbruik aanwezig was. Op alle fronten nemen de risico’s dan ook toe, concludeert de Informatiebeveiligingsdienst. Gemeenten kunnen op allerlei manieren slachtoffer worden van een inbraak of een hack, ook als ze zelf alles prima op orde hebben.
2020 was vanaf de eerste dag een veelbewogen jaar voor de gemeentelijke ICT-beveiliging. In januari sloeg het Nationaal Cyber Security Centrum (NCSC) groot alarm over lekken in applicatieplatform Citrix. Via dit systeem, waar ook zo’n 200 gemeenten mee werken, loggen medewerkers van buiten in op het bedrijfsnetwerk. In tientallen gemeenten, waaronder Amsterdam, Den Haag en Rotterdam, konden ambtenaren niet meer thuiswerken, omdat de toegangspoort tot de interne netwerken van het NCSC op slot moest.
Diensten ontoegankelijk
Verder was een aantal gemeentelijke diensten niet toegankelijk, zoals het regelen van een crematie, de aanvraag van subsidies en het indienen van milieuklachten. Ook werden gemeenten geraakt die zelf niet met Citrix werken maar hun leveranciers wel. Later bleek dat hackers uit China en Iran binnen waren geweest bij 25 overheidsinstellingen en bedrijven. De veiligheidsproblemen waren gelukkigerwijs opgelost voordat de coronacrisis in maart losbarstte en ambtenaren en bestuurders noopte tot thuiswerken.
In september werd de Veiligheidsregio Noord- en Oost-Gelderland getroffen door een ransomware-aanval die de kantoorautomatisering lamlegde. De veiligheid was volgens de veiligheidsregio niet in geding. De brandweer kon gewoon uitrukken en de meldingssystemen P-2000 en C-2000 bleven in de lucht. Ook werden er volgens de veiligheidsregio geen data gestolen.
Gijzelhackers Hof van Twente
Aan het eind van het coronajaar volgde het meest ingrijpende gemeentelijke cyberveiligheidsongeluk. Medio december legden gijzelhackers de systemen van Hof van Twente plat. De gemeentelijke dienstverlening kwam abrupt tot stilstand. De Overijsselse gemeente moest op de blaren zitten en zag al haar systemen onbruikbaar worden, omdat de hackers alle data hadden afgegrendeld of vernietigd. Op de eis van losgeld werd niet ingegaan.
Eind vorige maand kon burgemeester Ellen Nauta haar inwoners vertellen dat de naweeën van de cyberaanval groot zijn. Het zal nog zeker twee jaar duren voor de gemeenten haar ICT-infrastructuur weer op orde heeft. De dienstverlening moet nog grotendeels handmatig verlopen. Volgens Nauta zijn er vooralsnog geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt. Over de kosten van de hack kan ze nog niets zeggen. Wat er precies mis ging, moet eind februari duidelijk worden. Dat onderzoek loopt. Overigens was de gemeente niet tegen cyberinbraak verzekerd.
Resolutie digitale veiligheid
De VNG wil richting gemeentebestuurders benadrukken dat ICT-beveiliging niet alleen een kwestie is van bedrijfsvoering. Ook bij de politiek moet het besef toenemen. Om het onderwerp bij bestuurders en ook raadsleden tussen de oren te krijgen, staat voor de algemene ledenvergadering van vrijdag 12 februari de Resolutie digitale veiligheid op de agenda. Oogmerk hiervan is dat bestuurders zelf het voortouw nemen voor het opstellen van een agenda digitale veiligheid in hun gemeente.
De ingrediënten: voldoende budget voor blijvende weerbaarheid tegen digitale dreigingen, het onderwerp regelmatig agenderen in het college, en jaarlijks een overzicht van ICT-incidenten met de Informatiebeveiligingsdienst delen. Overigens heeft het VNG-bestuur zelf begin vorig jaar een agenda digitale veiligheid opgesteld.
Whitepaper cloud-applicaties
De cloud maakt werken makkelijker, maar het beheer ervan lastiger. Hoe ga je als IT-afdeling om met ‘everything as a service’?
Geef een antwoord