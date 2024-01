Gemeenten zijn in 2023 van alle sectoren het hardst geraakt door cyberaanvallen. Vorig jaar was er sprake van 37 geregistreerde incidenten. Dit blijkt uit een analyse van dataspecialist Immutec.

Immutec gebruikte hiervoor data van Datalekt.nl. De analyse is beschikbaar in dit publieke databestand. Hieruit blijkt het forse aantal informatiebeveiligingsincidenten onder gemeenten.

Zuid-Holland en Noord-Brabant meest geraakt

Volgens Immutec, dat gespecialiseerd is in dataprotectie, valt het grote aantal incidenten op in gemeenten uit Zuid-Holland en Noord-Brabant. In beide provincies zijn er 11 geregistreerde cyberaanvallen geweest. ‘Een alarmerend aantal, wat aantoont dat cyberdreigingen niet alleen een landelijk, maar ook een regionaal probleem vormen,’ aldus het bedrijf.

Wat maakt dat juist gemeenten in Zuid-Holland en Noord-Brabant vaker worden geraakt door cyberincidenten? Cyrille Joskin, CEO van Immutec, stelt dat het grote aantal gemeenten in deze provincies een gedeeltelijke verklaring biedt, maar dat dit niet de enige factor is. Hij wijst in dit verband ook op de zelfverantwoordelijkheid van gemeenten voor informatiebeveiliging.

Verschil in weerbaarheid

In de provincie Gelderland bijvoorbeeld zijn meer gemeenten gevestigd, maar minder incidenten geregistreerd. ‘De mate van weerbaarheid kan variëren tussen gemeenten en ook onderling contact kan een rol spelen.’ Hij benadrukt dat een grondiger onderzoek nodig is om de precieze oorzaak vast te stellen. Bovendien is het mogelijk dat het aantal geregistreerde incidenten slechts het topje van de ijsberg is, omdat gemeenten niet verplicht zijn om cyberaanvallen naar buiten te brengen. Dit in tegenstelling tot de meldplicht bij datalekken.

Inwoners de pineut

De impact van deze aanvallen reikt verder dan alleen technologische verstoringen. Ze hebben ook directe gevolgen voor de dienstverlening aan inwoners. De mogelijke gevolgen zijn uiteenlopend, afhankelijk van het type incident. Bij een datalek kan het zijn dat burgers te maken krijgen met identiteitsdiefstal of financiële schade als hun gegevens in handen vallen van kwaadwillenden.

Ook phishing en oplichting kan tegen inwoners gebruikt worden. Cybercriminelen sturen dan bijvoorbeeld valse e-mails die lijken op de officiële communicatie van de gemeente, met als doel verdere persoonlijke gegevens te verkrijgen of malware te verspreiden. ‘Bij een cyberaanval, zoals een ransomware aanval, komt hier nog een potentieel risico bovenop, namelijk dat een gemeente volledig tot stilstand komt. Van het regelen van vergunningen en verhuizingen tot aan zorg en uitkeringen.’

Slachtoffers

In het databestand worden verschillende soorten cyberaanvallen genoemd. Zo was er in Utrecht sprake van niet-bezorgde stempassen door een datalek. Ook werd het Instagram-account van de Westlandse burgemeester gecompromitteerd voor Bitcoin-berichten. En in gemeente Leiden ontstond er een datalek door foutieve brieven over schulden.

Verder leed Krimpen aan den IJssel aantoonbare financiële schade. De gemeente werd opgelicht voor 175.000 euro door zogenoemde CEO-fraude. De gemeente Alkmaar werd slachtoffer van internetfraude door een valse factuur. En Eindhoven moest sportpassen vervangen na ontdekking van een kwetsbare QR-code.

Beter beveiligen

‘Dit werpt een scherp licht op de noodzaak voor gemeenten om hun digitale infrastructuur te versterken en proactieve maatregelen te nemen om zich te beschermen tegen cyberdreigingen,’ aldus Joskin van Immutec. Hij benadrukt dat de eerste stap bewustwording is en wijst op wetgevingen zoals de AVG en NIS2. ’In een samenleving die steeds verder digitaliseert, moeten gemeenten zich bewust zijn van zowel kansen als risico’s. Volgens ons zijn ransomware-aanvallen, datalekken door cyberaanvallen en foutief menselijk handelen de grootste risico’s.’

Gemeenten kunnen zich volgens Immutec beter beveiligen door gebruik te maken van hoogwaardige systemen. ‘Denk hierbij aan high end back-ups, anti-ransomware opslag en detectie software, een goed IR (Incident Response) Team en een BCP (Business Contingency Plan) dat uitgeprint beschikbaar is. Daarnaast is het ook slim om te focussen op betere voorlichting en training van medewerkers,’ zegt Joskin. ‘De oplossing ligt in een combinatie hiervan. De oorzaak van de meeste problemen bevindt zich (onbewust) nog vaak tussen de bureaustoel en het computerscherm: bij de mens. Dus met alleen goede systemen zul je er niet komen.’