Gemeente.nu

Nieuws voor gemeenten

Cyberveiligheid blijft kritiek punt

door

Cyberveiligheid gemeenten

De gijzelhack bij Hof van Twente zal menig gemeente hebben doen beven. In 2020 waren er bijna 4000 meldingen van ICT-veiligheidsincidenten bij lokale overheden. De VNG wil cybersecurity beter tussen de oren van bestuurders en raadsleden krijgen.

Wen er maar vast aan. Met de oprukkende digitalisering zullen ICT-incidenten alleen maar toenemen. Dat is de niet mis te verstane boodschap van het vorige week verschenen jaaroverzicht van de Informatiebeveiligingsdienst. Dit onderdeel van de VNG ondersteunt gemeenten bij hun ICT-beveiliging en bescherming van persoonsgegevens. Afgelopen jaar kwamen er 3.845 meldingen binnen over problemen met ICT-beveiliging. Bij 175 incidenten moest de dienst ondersteuning bieden. In 2019 waren er nog zo’n 3000 meldingen en was assistentie nodig in 144 gevallen. 

Meer risico’s

Ook werden afgelopen jaar bijna 2000 kwetsbaarheidsmeldingen aan gemeenten verstuurd, om te waarschuwen voor softwarelekken. Een veertigtal was dermate ernstig, dat er een hoge kans op misbruik aanwezig was. Op alle fronten nemen de risico’s dan ook toe, concludeert de Informatiebeveiligingsdienst. Gemeenten kunnen op allerlei manieren slachtoffer worden van een inbraak of een hack, ook als ze zelf alles prima op orde hebben.

2020 was vanaf de eerste dag een veelbewogen jaar voor de gemeentelijke ICT-beveiliging. In januari sloeg het Nationaal Cyber Security Centrum (NCSC) groot alarm over lekken in applicatieplatform Citrix. Via dit systeem, waar ook zo’n 200 gemeenten mee werken, loggen medewerkers van buiten in op het bedrijfsnetwerk. In tientallen gemeenten, waaronder Amsterdam, Den Haag en Rotterdam, konden ambtenaren niet meer thuiswerken, omdat de toegangspoort tot de interne netwerken van het NCSC op slot moest.

Diensten ontoegankelijk

Verder was een aantal gemeentelijke diensten niet toegankelijk, zoals het regelen van een crematie, de aanvraag van subsidies en het indienen van milieuklachten. Ook werden gemeenten geraakt die zelf niet met Citrix werken maar hun leveranciers wel. Later bleek dat hackers uit China en Iran binnen waren geweest bij 25 overheidsinstellingen en bedrijven. De veiligheidsproblemen waren gelukkigerwijs opgelost voordat de coronacrisis in maart losbarstte en ambtenaren en bestuurders noopte tot thuiswerken.

In september werd de Veiligheidsregio Noord- en Oost-Gelderland getroffen door een ransomware-aanval die de kantoorautomatisering lamlegde. De veiligheid was volgens de veiligheidsregio niet in geding. De brandweer kon gewoon uitrukken en de meldingssystemen P-2000 en C-2000 bleven in de lucht. Ook werden er volgens de veiligheidsregio geen data gestolen.

Gijzelhackers Hof van Twente

Aan het eind van het coronajaar volgde het meest ingrijpende gemeentelijke cyberveiligheidsongeluk. Medio december legden gijzelhackers de systemen van Hof van Twente plat. De gemeentelijke dienstverlening kwam abrupt tot stilstand. De Overijsselse gemeente moest op de blaren zitten en zag al haar systemen onbruikbaar worden, omdat de hackers alle data hadden afgegrendeld of vernietigd. Op de eis van losgeld werd niet ingegaan.

Eind vorige maand kon burgemeester Ellen Nauta haar inwoners vertellen dat de naweeën van de cyberaanval groot zijn. Het zal nog zeker twee jaar duren voor de gemeenten haar ICT-infrastructuur weer op orde heeft. De dienstverlening moet nog grotendeels handmatig verlopen. Volgens Nauta zijn er vooralsnog geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt. Over de kosten van de hack kan ze nog niets zeggen. Wat er precies mis ging, moet eind februari duidelijk worden. Dat onderzoek loopt. Overigens was de gemeente niet tegen cyberinbraak verzekerd.

Resolutie digitale veiligheid

De VNG wil richting gemeentebestuurders benadrukken dat ICT-beveiliging niet alleen een kwestie is van bedrijfsvoering. Ook bij de politiek moet het besef toenemen. Om het onderwerp bij bestuurders en ook raadsleden tussen de oren te krijgen, staat voor de algemene ledenvergadering van vrijdag 12 februari de Resolutie digitale veiligheid op de agenda. Oogmerk hiervan is dat bestuurders zelf het voortouw nemen voor het opstellen van een agenda digitale veiligheid in hun gemeente.

De ingrediënten: voldoende budget voor blijvende weerbaarheid tegen digitale dreigingen, het onderwerp regelmatig agenderen in het college, en jaarlijks een overzicht van ICT-incidenten met de Informatiebeveiligingsdienst delen. Overigens heeft het VNG-bestuur zelf begin vorig jaar een agenda digitale veiligheid opgesteld.

Tagged With: , , , , Filed Under: Bedrijfsvoering, Cybersecurity, Veiligheid

Reader Interactions

VIND Handhaving

GERELATEERD

F1 auto - Racewagenmodel

De evolutie van het inkoopvak en de kracht van kennis

Het inkoopvak maakt een revolutionaire ontwikkeling door, waarbij digitalisering niet meer weg te denken is. De coronaperiode en de huidige oorlogssituatie hebben de noodzaak van risico- en leveranciersmanagement duidelijk aan het licht gebracht, waarbij knelpunten in de toeleveringsketen pijnlijk zichtbaar zijn geworden. De thema’s inkoopstrategie en contract- en leveranciersmanagement zijn de afgelopen jaren volop in... lees verder

Meldingen datalekken openbaar bestuur vorig jaar gedaald

Vorig jaar kreeg de Autoriteit Persoonsgegevens (AP) ruim 21.000 meldingen over datalekken. Meer dan 1.800 lekken waren het gevolg van cyberaanvallen. In de sector openbaar bestuur, waaronder gemeenten vallen, waren er bijna 5.000 meldingen in 2022. Dat was 16 procent minder dan in 2021. Maar datalekken blijven alsnog ‘een hardnekkig probleem’. De AP maakt elk... lees verder

Asten waarschuwt inwoners na digitale inbraak

In oktober 2022 had een onbevoegde toegang tot privacygevoelige informatie in twee mailboxen van de gemeente Asten. Dit was al eind vorig jaar bij de gemeente bekend, maar in eerste instantie leek het een digitale inbraak te zijn met als doel factuurfraude. Na onderzoek bleek dat er toegang is geweest tot ongeveer 23.000 persoonsgegevens. Dat... lees verder

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *