28 SPECIAL ICT DOOR: ALEXANDER LEEUW EN SJOERD HARTHOLT BEELD: SHUTTERSTOCK Zoals gemeenten oefenen met brand, moeten ze ook oefenen met cyberaanvallen. Dat gebeurt weinig. Rekenkameronderzoeken leggen kritieke kwetsbaarheden bloot, maar ze worden weinig gehouden, leert nieuw onderzoek van Binnenlands Bestuur en AG Connect. Realiseert de gemeentelijke top zich wel hoe kwetsbaar gemeenten zijn? GEEN OEFENINGEN, DRAAIBOEKEN EN REKENKAMERONDERZOEKEN CYBERSECURITY: NOG VEEL WERK TE DOEN December 2020: nadat hackers vrij spel kregen om computernetwerken van de gemeente Hof van Twente te betreden, lag de dienstverlening lange tijd helemaal plat. De forensische rapportage vond veel tekortkomingen en privacydeskundige Brenno de Winter wees op tekortschietende sturing. Waar het een jaar eerder in Lochem fout ging en op het nippertje kon worden voorkomen dat de gemeente ten prooi viel aan ransomware, leed de gemeente Hof van Twente uiteindelijk een miljoenenschade. Sinds de geruchtmakende zaken zou het in gemeenteland alarmfase één moeten zijn als het gaat om digitale weerbaarheid. Toch is nog maar weinig te merken van die noodzaak, zo komt naar voren uit onderzoek van Binnenlands Bestuur en AG Connect waaraan 27 gemeenten deelnamen. Gemeenten nemen ondanks duidelijke waarschuwingen uit de praktijk weinig maatregelen tegen cyberaanvallen. Bijna de helft (45 procent) oefent niet met aanvallen van buitenaf en bij een aanzienlijk deel ontbreekt een draaiboek voor een digitale crisis. Slechts acht van de 27 deden rekenkameronderzoek in de afgelopen vijf jaar. Bij één op de vijf gemeenten is er geen draaiboek aanwezig voor het geval er een digitale crisis uitbreekt. Ook wordt duidelijk dat bij 11 procent het onderwerp cybersecurity niet structureel op de agenda bij B&W staat en de agendering hangt vaak af van de sturings informatie die in Hof van Twente tekortschoot. Dat veel gemeenten nog altijd niet oefenen met aanvallen van buitenaf, vindt De Winter Bijna de helft oefent niet met aanvallen van buitenaf ‘erg teleurstellend’. ‘Uit de antwoorden blijkt dat dit lang niet vanzelfsprekend is voor gemeenten. Sommige geven aan dit wel van plan te zijn, andere laten het volledig afweten. Dit past bij het beeld dat in plaats van een echte test de voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt.’ Hij trekt een vergelijking met ontruimingsoefeningen voor het geval er brand uitbreekt. ‘Je oefent ook jaarlijks een situatie met brand. Dan hoor je dit ook te oefenen, zodat je weet hoe het verloopt wanneer het mis gaat. Die ervaring is op die momenten onmisbaar.’ CYBERDREIGING Naast oefeningen met aanvallen van buitenaf, zijn ook andere extra maatregelen onder gemeenten nog geen gemeengoed. En dat terwijl digitale incidenten rondom gemeenten zich de afgelopen jaren in rap tempo opstapelden. Begin mei stelde de Autoriteit Persoonsgegevens de gemeente Hellevoetsluis nog onder verscherpt toezicht vanwege zorgen over de bescherming van gevoelige gegevens van inwoners. De Cyber Security Raad waarschuwde vorige week in zijn jongste rapportage voor toenemende cyberdreiging. Uit het rekenkamerrapport getiteld ‘Zo sterk als de zwakste schakel’ bleek in april dat de gemeente Utrecht met name van binnenuit zeer kwetsbaar is: het bleek eenvoudig de kantoorpanden te betreden en toegang te krijgen tot gemeentelijke systemen. Acht gemeenten, waaronder Utrecht, geven aan in de afgelopen vijf jaar dergelijk onderzoek naar informatiebeveiliging gedaan te hebben. Zeewolde leverde een uitzonderlijke prestatie: zowel van buiten als van binnen lukte het hacker-onderzoekers niet om ongeautoriseerde toegang tot het netwerk te krijgen. De Flevolandse gemeente is uitzonderlijk omdat bij de overige gemeenten die vergelijkbaar onderzoek deden van binnenuit wel kritieke kwetsbaarheden werden gevonden. Sommige denken dat gemeenten ‘gewoon’ hun beveiliging op orde hebben, omdat er in principe niemand fysiek binnen kan dringen. Maar uit de rekenkameronderzoeken blijkt dat vrijwel altijd toegang tot het gemeentehuis kan worden verkregen. Zelfs in Zeewolde, leren de ervaringen van de onderzoekers: ‘Tijdens de inlooptest is gebleken dat het mogelijk was om fysieke toegang te verkrijgen tot niet-openbare werkplekken en toegang te krijgen tot dossiers en toegang te krijgen tot dossiers en poststukken. Dit komt overeen met de ervaring van Hoffmann bij andere gemeenten. In de praktijk lukt het vrijwel altijd om tijdens een fysieke inlooptest binnen te komen.’ In Nijkerk bleek dat het interne netwerk ‘eenBINNENLANDS BESTUUR - WEEK 21 | 2021
29 Online Touch Home