Bedreigingen van gemeentelijke ICT-systemen door kwetsbaarheden komen veelvuldig voor. Afgelopen jaar gingen ruim 1750 meldingen uit, waarvan 23 ‘ernstig’. De huidige problemen met Citrix vormen daarbinnen een geval apart, maar de digitale veiligheid wordt ook op andere manieren bedreigd.
Dit blijkt uit het verslag over 2019 van de overkoepelende Informatiebeveiligingsdienst van gemeenten. De IBD is in 2013 opgericht door alle Nederlandse gemeenten en is ondergebracht bij VNG Realisatie. Ze werkt voor lokale overheden afzonderlijk en voor tal van samenwerkingsverbanden.
Een dreiging geldt als ernstig wanneer sprake is van ‘een hoge kans op en hoge waarschijnlijkheid van misbruik’. Over de huidige problemen met Citrix ging zelfs een alarm-sms uit op kerstavond. Zo’n waarschuwingsbericht werd slechts in één ander geval verzonden. Dat maakt deze ICT-kwetsbaarheid uitzonderlijk, hoewel lang niet alle incidenten een dergelijk ‘lek’ als oorzaak hebben: cyberaanvallers hebben meer methoden waarvan ze gebruikmaken.
144 incidenten
De IBD registreerde 144 incidenten met een hulpvraag van gemeenten. Het gaat daarbij om serieuze bedreigingen, ‘waarbij beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen in het geding is’. Naast exploitatie van kwetsbaarheden spelen hierbij onder meer het afhandig maken van gegevens via phishing en DDoS-aanvallen, waarbij servers worden platgelegd door ze te bestoken met informatieverzoeken.
De dienst waarschuwt met name voor een toename van zogenaamde CEO-fraude en vraagt gemeenten daar alert op te zijn. Cybercriminelen doen zich hierbij voor als een hoge medewerker, bijvoorbeeld de burgemeester of gemeentesecretaris. Het zou gaan om een ‘geavanceerde vorm van fraude’ waarbij een individuele medewerker met veel overtuigingskracht wordt aangespoord geld over te boeken in verband met een noodgeval. De werkwijze is bekend uit het bedrijfsleven, vandaar ook de naam. Een bekend geval is Pathé, de bioscoopketen die langs deze weg 19 miljoen euro afhandig werd gemaakt.
De IBD meldt ook ‘meerdere niet geslaagde pogingen om ransomware te installeren bij gemeenten en samenwerkingsverbanden’. Dit speelde onder meer in Lochem, waarbij lessen zijn opgetekend voor andere gemeenten.
Honderden datalekken
Behalve de gemeentelijke organisatie zelf, kan de digitale dienstverlening het slachtoffer worden als cybercriminelen succes hebben. Daarnaast meldden gemeenten in de eerste helft van 2019 honderden datalekken over burgers en bedrijven bij de Autoriteit Persoonsgegevens. Alleen de zorg en de financiële sector tellen meer datalekken dan het openbaar bestuur.
Achteraf gezien waren problemen vaak eenvoudig te vermijden, merkte de IBD vorig jaar al op. ‘Aanvallers hebben vaak niet meer nodig dan een niet bijgewerkt stukje software of een klik op een phishingmail om toegang te krijgen tot systemen. Gemeenten kunnen veel voorkomende incidenten voorkomen met behulp van enkele essentiële basismaatregelen.’ Meer bewustwording staat daarom hoog op de agenda. Dit jaar bezoekt de IBD gemeentehuizen voor ‘netwerkinventarisatie op locatie’.
