Van ransomware-aanvallen met datadiefstal tot eenvoudige softwarelekken. De cyberveiligheid van gemeenten staat onder druk. In Amsterdam moeten softwareleveranciers aantonen dat hun ICT veilig is. Een verplichte e-learning voor alle ambtenaren moet de bewustwording vergroten.
De Informatiebeveiligingsdienst (IBD), cybersecurity-onderdeel van de Vereniging Nederlandse Gemeenten (VNG), moest volgens het jaaroverzicht bij 276 ICT-incidenten ondersteuning bieden. In 2020 waren dat er 175, ruim 100 minder.
Ook liet het CERT (computer emergency response team) van de IBD in 2021 bijna 1900 meldingen naar gemeenten uitgaan, waarvan 90 met een hoge kans op misbruik en grote potentiële schade.
Cybergevaar
Twee gemeentelijke samenwerkingsverbanden werden vorig jaar door ernstige ransomware-aanvallen getroffen. Voor gemeenten vormen gijzelaanvallen in combinatie met het versleutelen van data een groot cybergevaar, aldus de IBD.
De meest voorkomende beveiligingsincidenten zijn het gevolg van phishing, simpele configuratiefouten en exploitatie van kwetsbaarheden. Een voorbeeld van dit laatste zijn de problemen met Apache Log4j. Dat is een stukje open source software dat in tal van systemen van overheden en bedrijven wordt gebruikt om activiteiten op webservers te registreren.
Kwetsbare systemen
Gemeenten moeten aan de bak. Februari vorig jaar concludeerde de IBD al dat op alle fronten de risico’s toenemen. Ze kunnen op verschillende manieren slachtoffer worden van een inbraak of een hack, ook als ze zelf alles prima op orde hebben. De gijzelhack bij Hof van Twente heeft gemeenten wakker geschud. Alertheid is geboden.
In april werd Buren getroffen door een ransomware-aanval. De toegang tot de ICT-omgeving van de Gelderse gemeente lag voor het grijpen, omdat een leverancier zijn inlogaccount onvoldoende had beveiligd. De cybercriminelen waren al sinds januari binnen en konden in alle rust een twaalftal systemen van de gemeente versleutelen en stilleggen. Naast de afpersing zijn vermoedelijk data van ruim duizend identiteitsbewijzen gestolen. Deze inwoners moeten hun ID laten vervangen.
Dagelijkse kost voor Amsterdam
Amsterdam heeft vrijwel dagelijks te maken met aanvallen op de ICT-infrastructuur en netwerken, vertelde CISO Marco van Beek op het congres Security & Overheid. Naast de Citrix-affaire begin 2020, toen het thuiswerken tijdelijk on hold moest, werd een jaar later een harde schijf met gegevens van 30 duizend belastingplichtigen gestolen. Een eyeopener voor de gemeente was volgens Van Beek de succesvolle ransomware-aanval op een van de kenteken-camera’s in een parkeergarage in het centrum.
De Agenda Veilige Digitale Stad – door burgemeester Femke Halsema zelf aangejaagd – benadrukt dat informatieveiligheid voor de hoofdstad een speerpunt is. De gemeenten heeft 15 duizend ambtenaren, 1400 werkplekken, 1800 applicaties, honderden websites en verstuurt jaarlijks 220 miljoen e-mails.
Strengere inkoopvoorwaarden
Samen met andere partijen, waaronder politie en het openbaar ministerie, wil Amsterdam een regionaal ISAC (Information Sharing and Analysis Centre) inrichten voor het continu uitwisselen van informatie over onder meer kwetsbaarheden. Zo kan de gemeente calamiteiten beter bestrijden en de vitale infrastructuur verder behoeden.
Aan de schare van softwareleveranciers stelt Amsterdam voortaan strengere inkoopvoorwaarden dan de VNG hanteert voor informatieveiligheid. Voor alles wat de gemeente afneemt, eist Amsterdam toereikende certificeringen, audits en ‘pentesten’ op inbraakgevoeligheid. ‘Het blijven immers onze gegevens die in hun applicaties staan. Beheerpartijen blijken daar niet altijd in mee te willen gaan, omdat ze hun eigen voorwaarden goed genoeg vinden. Of omdat wij de eerste klant zijn die bijvoorbeeld een audit- of een pentestrapport in willen zien. Maar daarin drukken we door. We willen gewoon zien of een systeem veilig is,’ aldus Van Beek.
Bewustwording kweken
Intussen lopen in de stad tal van verbeteracties. Zo wil de gemeente in het grote aantal websites snoeien en inzetten op meer bewustwordingsmaatregelen. Voor alle Amsterdamse ambtenaren geldt vanaf 2023 een verplichte e-learning om bewust met informatie om te gaan, jaarlijks afgerond met een test. ‘Vijf jaar terug hadden we beslist niet tot zoiets kunnen besluiten, maar inmiddels is iedereen ervan overtuigd dat het moet,’ zegt Van Beek. Cyberveiligheid, wil hij maar zeggen, is niet alleen iets van de CISO, maar van alle medewerkers binnen de organisatie.
De VNG hamert er richting gemeenten al langer op dat ICT-beveiliging niet alleen een bedrijfsvoeringissue is. Ook bij college en raad, waar deze thema’s op tafel liggen, moet het besef van cybersecurity groeien. Om het onderwerp bij deze twee doelgroepen tussen de oren te krijgen, is vorig jaar op de algemene ledenvergadering de Resolutie Digitale Veiligheid aangenomen.
Eigen gemeentelijke agenda nodig
Ook moeten gemeenten een eigen agenda digitale veiligheid opstellen, naar het voorbeeld van de door de VNG opgestelde Agenda Digitale Veiligheid. Doel hiervan is de cyberveiligheid van de 344 gemeenten op orde te krijgen, zodat ze voorbereid zijn op digitale incidenten en -crises.
Inmiddels is VNG met alle burgemeesters in gesprek over digitale veiligheid. De gemeentekoepel adviseert gemeenten snel patches aan te brengen om kwetsbaarheden in software weg te nemen en computernetwerken te segmenteren. Hackers kunnen dan niet overal bijkomen als ze eenmaal binnen zijn. Ook moeten gemeenten veel meer oefenen om hun cyberweerbaarheid te testen.
Adviezen
Een verder advies is de verplichte ENSIA-rapportage aan de raad te gebruiken om te sturen op ICT-veiligheid. Ook zouden gemeenten digitale veiligheid op moeten nemen in hun Integrale Veiligheidsplan.
Gemeenten moeten zich daarnaast wapenen tegen ordeverstoringen, die via social media worden aangejaagd. Bodegraven-Reeuwijk had daar vorig jaar in ernstige mate mee te maken op de plaatselijke begraafplaats. Complotdenkers overstelpten graven van kinderen met bloemen, omdat deze in de jaren tachtig zouden zijn misbruikt en ritueel vermoord door een satanisch-pedofiel netwerk. De complotdenkers werden geweerd met een noodverordening, maar op internet ging het van kwaad tot erger.
De gemeente eiste voor de rechter een verbod op alle uitlatingen met hoge dwangsommen en zelfs lijfsdwang. Met dat vonnis zou de gemeente internetproviders kunnen dwingen de video’s te verwijderen. De rechter oordeelde in het voordeel van de gemeente. Het vonnis stelt dat het de lokale overheid is die de levenssfeer van haar inwoners moet en kan beschermen.
Geef een reactie