SPECIAL 31 ze ingewikkeld en eng. Het vergt kennis die er vaak niet is.’ Het gebrek aan technische kennis is een veel voorkomend probleem, ook bij besturen en gemeenteraden. Die moeten dus goed op de hoogte worden gehouden. Het is daarom niet ideaal dat ruim een derde van de gemeenten aangeeft dat informatiebeveiliging niet periodiek wordt geagendeerd of dat er vooral wordt vertrouwd op de ENSIA-beveiligingsaudits. De Winter schreef daar in zijn duidend rapport voor Hof van Twente over dat dit vanwege het hoge technische gehalte onvoldoende geschikt is als stuurinformatie. ‘Ik concludeerde al dat bestuurders echt niet in de smiezen hebben wat er gaande is in hun netwerken. Dit onderstreept het gewoon’, zegt hij nu. ‘ENSIA is heel nuttig maar het is niet een vrijbrief om te roepen dat je de zaak op orde hebt.’ PENETRATIETEST Een draaiboek voor een digitale crisis is bij gemeenten vaak niet aanwezig, zo blijkt verder uit de resultaten. Bij bijna een op vijf gemeenten ligt dit niet klaar. ‘Opvallend: zo’n draaiboek hadden ook Lochem en Hof van Twente niet toen bij hen een crisis uitbrak. In algemene zin ontbreekt het vooral bij kleinere gemeenten’, aldus de Winter. ‘En als je niet oefent met aanvallen van buitenaf, gaat dat draaiboek er ook niet komen. Je wilt een oefening draaien waarin alles in het honderd loopt, zodat er na afloop een gevoel ontstaat van: daar moeten we iets mee.’ Vrijwel alle gemeenten geven verder aan minimaal jaarlijks een penetratietest oftewel pentest te laten uitvoeren. Volgens De Winter is dat bij een stabiele situatie goed, zolang daarbovenop ook continu wordt gescand op veranderingen en gevoeligheden. Maar er kan naast een pentest meer worden gedaan. ‘Een pentest is vooral een gelegenheid om dieper in de beveiliging te graven.’ Inzicht in hoe aanvallen binnenkomen bij gemeenten, geeft het volgens hem niet. ‘Soms worden ze matig uitgevoerd. Om echt inzicht te krijgen dient er ook geoefend te worden met aanvallen van buitenaf.’ Dát er jaarlijks een pentest plaatsvindt, zegt dus niet alles. Het gaat om hoe diep en hoe lang er is gekeken. Daarom is er gevraagd naar het budget voor pentesten. Dertien gemeenten geven aan, soms verwijzend naar advies van de Informatiebeveiligingsdienst (IBD), dat deze informatie vertrouwelijk is en niet kan worden beantwoord. De IBD laat weten inderdaad gemeenten te hebben geGeheimzinnigheid wordt zo gekoppeld aan onkunde adviseerd geen informatie te geven over de budgetten voor pentesten omdat dat een uitnodiging zou kunnen zijn voor ‘talloze commerciële aanbiedingen’. ‘Hoezo kun je die vraag niet beantwoorden?’, reageert De Winter. ‘Een bedrag kan variëren, maar zegt niks over de uiteindelijke rapportages. Openheid van zaken geven hierover is juist belangrijk. Een volwassen organisatie kan prima verantwoording afleggen over deze vraag. Dat zij dit niet doen, rechtvaardigt bij mij de vrees dat er niet zo heel veel energie in wordt gestoken.’ Geheimzinnigheid wordt volgens hem zo gekoppeld aan onkunde, of vice versa. ‘Ze hoeven er niets over te zeggen en ze komen ermee weg. Ik heb bijvoorbeeld in mijn werk voor het ministerie van Volksgezondheid, Welzijn en Sport ervoor gezorgd dat de onderzoeken naar de CoronaMelder openbaar zijn gemaakt. Openheid en concreetheid gaan hand in hand. Als je dat niet kunt geven, dan moet je je zorgen maken.’ Hij verwijst hierbij naar het rekenkameronderzoek van de gemeente Utrecht, waar de kwetsbaarheden begin april zeer concreet werden gemaakt. ‘Je ziet het in hun beantwoording van de vragen in het onderzoek – ze zijn heel concreet in wat ze doen.’ ONVOLWASSEN GEDRAG Eén grote gemeente gaf bijvoorbeeld aan dat de zogeheten segmentering van het netwerk nog niet op orde is, maar dat hier wel aan wordt gewerkt. Het gevaar van slechte segmentering is dat je in één keer alles kwijt bent wanneer een partij binnen is. Vrijwel alle andere gemeenten gaven aan dat deze informatie ‘vertrouwelijk’ is of niet kon worden gedeeld volgens IBD-advies. De Winter: ‘Dan denk ik: leg eens uit waarom het je als gemeente kwetsbaar maakt? Als er al geen antwoord komt op deze vragen, hoed je dan maar voor de vragen die komen als het écht misgaat. Dit wekt een beeld alsof die gemeenten het maar gezeur vinden en zelf niet door hebben hoe kwetsbaar ze zijn.’ Besturen vinden het accepteren van kwetsbaarheid vaak nog moeilijk. De ethische hacker Wouter van Dongen vertelde in januari aan Binnenlands Bestuur dat zijn rapporten bij sommige organisaties leiden tot politieke spelletjes. Men gaat vingerwijzen en sommige werknemers krijgen een andere positie. ‘Ik snap dat ze geïrriteerd zijn, dat het lijkt alsof ze hun werk niet goed doen, maar daar gaat het niet om’, aldus Van Dongen. De Winter zei naar aanleiding van zijn duidend rapport over Hof van Twente uit mei dat het stilzwijgen van problemen nog veel gebeurt, dat hij bij partijen komt die niet met problemen naar buiten willen treden. ‘Dat is niet goed.’ Hij vindt het dan ook kwalijk dat veel gemeenten bij sommige vragen geen openheid van zaken geven. ‘Een belangrijk deel van informatiebeveiliging is verantwoording afleggen van wat je aan het doen bent en hoe je organisatie is ingericht. Daar zijn normen voor. Op geen enkele vraag in het onderzoek hoef je exact aan te geven welke maatregel er wordt genomen. Als je gecoördineerd gaat roepen dat dit de veiligheid in het geding brengt, moedig je onvolwassen gedrag aan. Wanneer je de antwoorden niet geeft , kun je deze ook niet aan een gemeenteraad geven. Het lijkt me verstandig dat gemeenteraadsleden van deze gemeenten in actie komen omdat dit een signaal is dat het wel eens niet goed kan zitten.’ Alle gemeenten werken hard aan hun informatiebeveiliging, laat de IBD in een reactie weten. ‘De voorbeelden in dit artikel zijn herkenbaar, maar het is een beetje selectief winkelen. Dit artikel wekt de schijn dat het bij gemeenten in het bijzonder slecht is gesteld, terwijl de maatschappij als geheel een been zou moeten bijtrekken. Gemeenten zijn transparant over hun incidenten en bestuurders zijn zich bewust van hun verantwoordelijkheden rondom digitale veiligheid.’ De IBD benadrukt het belang van prioriteiten stellen: niet alles kan en zeker niet tegelijk. ‘Oefenen op incidenten is essentieel en daarom ontwikkelde de Vereniging van Nederlandse Gemeenten een Cyberoefenpakket.’ Verantwoording: voor dit onderzoek zetten Binnenlands Bestuur en AG Connect vragen uit bij 50 gemeenten en 27 van hen reageerden. Vanwege de gevoeligheid van het onderwerp zijn hun namen niet vermeld. Het onderzoek vond plaats in april. BINNENLANDS BESTUUR - WEEK 21 | 2021
32 Online Touch Home