35

Foto: Ginopress/ANP-HH BINNENLANDS BESTUUR - WEEK 15 | 2021 ACHTERGROND 35 ‘ Als de bestuurder niet de juiste informatie krijgt, komt er geen verbetering’ onderzoekers zwakheden in het systeem te vinden. Een extern bedrijf voerde in de zomer van 2020 zo’n pentest uit bij Hof van Twente, maar daarbij zijn de problemen niet aan het licht gekomen. Momenteel is de gemeente juridisch aan het uitvechten hoeveel de leverancier had moeten doen. ‘Zij hebben verantwoordelijkheid in het beheer’, zegt De Winter. ‘Ze moeten relevante adviezen geven. Zij roepen nu dat de klant niet goed genoeg luisterde, maar dan hadden ze de opdracht terug moeten geven. Het vervelende is dat je leveranciers niet blind kunt vertrouwen.’ Het college vertrouwde op een leverancier met wie het een langlopende en goede relatie had. Was dat een vergissing? ‘Dat vind ik een ingewikkelde vraag. Je moet in zekere mate vertrouwen hebben, maar hier werd de leverancier niet door een onafhankelijke derde gecontroleerd. Zoiets kan in goede harmonie. Hof van Twente zegt het nu, maar eigenlijk moet dat in alle gemeenten gebeuren: laat het securitynetwerk door een onafhankelijke derde checken.’ ‘U jokt vaak in deze raad’, vermaande PvdA­fractievoorzitter Fred Rijkens de burgemeester tijdens het eerste openbare debat over de inbraak. De burgemeester gaf aan sommige informatie wel te willen, maar niet te kúnnen delen in verband met een juridisch geschil met de leverancier en het nog af te ronden verbeterplan. ‘De gemeenteraad moet beseffen dat het hier om veel geld gaat’, zegt De Winter. ‘Als je kans wilt maken in de procedure, dan moet je luisteren naar je advocaat.’ De raad was kritisch op het rapport van het college dat de andere twee rapporten vergezelde. Dat meldt dat er verantwoording en lering nodig is, maar trekt snel de conclusie dat het iedereen kan overkomen. ‘Het leest alsof het is bedoeld om goed te praten’, sprak D66­fractievoorzitter Alice Olde Reuver of Briel. ‘Je zag dat de raad zich niet kon voorstellen dat het bij andere organisaties ook zo is gesteld’, merkt De Winter op. ‘Als je het op een rijtje zet dan is het ook veel, maar ik hoef alleen maar te wijzen op de NWO.’ In februari kreeg een hackersgroep toegang het netwerk van NWO en lekte interne documenten op het dark web. Wekenlang kon de organisatie de primaire taak, het financieren van wetenschappelijk onderzoek, niet uitvoeren. ‘Zo is het breed, bij overheden en bedrijven. Zouden Den Haag en Amsterdam het zo goed op orde hebben, zo groot als zij zijn gegroeid?’ Vorige week concludeerde de Utrechtse rekenkamer nog dat er ernstige risico’s zijn bij de informatieveiligheid van de gemeente. BETERE STRUCTUUR ‘Ik heb zelf niet het gevoel dat wij ons achter iets verschuilen’, verdedigde Nauta zich tegenover de raad. In het debat werd het bedrag van 3,5 miljoen euro genoemd om een nieuw netwerk op te bouwen. ‘We hebben steeds meer zicht op de kosten en schrikken ook van dat bedrag. Uit deze puinhoop moet een betere structuur verrijzen. Nauta herhaalde vaak ADVERTENTIE dat ze zich verantwoordelijk voelt, maar volgens Fred Rijkens gaat het erom wat de burgemeester heeft geleerd en gedaan. De burgemeester zegde daarom toe een aanvullende verantwoordingsrapportage te leveren om die vragen te beantwoorden. De Winter vindt het een goed idee dat ze het collegerapport uitbreiden met de geleerde lessen. ‘Je moet altijd kijken naar wat er niet goed is gegaan. Ze hebben hun cultuur in no­time omgebouwd en dit stukje hoort daar nog even bij. Daar moet tegenover staan dat het ok is om fouten te maken.’ En niet proberen stil te houden wat er is misgegaan. ‘Stilzwijgen gebeurt heel veel. Het gebeurt geregeld dat ik bij een partij kom die niet naar buiten wil treden. Dat is gewoon niet goed.’ Het valt De Winter bovendien op dat veel organisaties waar hij komt de basiszaken niet op orde hebben. Daar begint een goede verdediging mee: netwerksegmentering, meerfactor­authorisatie. ‘Organisaties werken nog vanuit de Jericho­gedachte: buiten is onveilig, binnen is veilig. Als iemand de eerste horde heeft genomen dan zijn ze binnen.’ Hij waarschuwt daarom voor de Exchange­bug: relatief makkelijk kon er een onbeveiligde verbinding worden aangelegd met de servers van het Microsoft­mailsysteem. Er kwam een update, maar wie die destijds niet snel genoeg heeft geïnstalleerd, kan ervan uitgaan dat er aanvallers zijn binnengedrongen. De Winter: ‘Ik denk dat dit nog een hele grote hoos aan ransomware en platgelegde netwerken gaat opleveren.’

36 Online Touch Home