22 ACHTERGROND DIGITAAL DOOR: ALEXANDER LEEUW BEELD: SHUTTERSTOCK Cybersecurity is complex. Wie het niet snapt, moet de juiste vragen stellen. Wie het wel denkt te snappen, baseert zich mogelijk op ontoereikende informatie, zoals het geval was bij de hack van Hof van Twente. Hier acht vragen om het te snappen (of om erachter te komen dat u het nog steeds niet snapt). ACHT VRAGEN OVER CYBERSECURITY ALS JE PC HET INEENS BEGEEFT Hoe is de gemeente eraan toe wat betreft cybersecurity? Het kan moeilijk zijn om grip op dit onderwerp te krijgen – ten eerste om de juiste vragen te stellen en vervolgens om de antwoorden op die vragen te snappen. Waar te beginnen? Wat kan er misgaan? Wat betekent SOC? Is er een ‘hertest’ nodig? 1 WELK RISICO LOPEN WE? ‘Eigenlijk moet je dagelijks of wekelijks jezelf de vraag stellen: welk risico lopen we?’ zegt Esther Apperloo, Chief Information Security Officer (CISO) van Hof van Twente. De gemeente werd eind vorig jaar getroffen door een schadelijke hack. ‘Er zal niet één antwoord op zijn, maar de top vijf is het interessantst om op door te gaan. Welke maatregelen moeten op basis daarvan worden genomen?’ ‘Er is bijvoorbeeld altijd het risico op menselijk falen. De mens is de zwakste schakel; als medewerkers niet digitaal vaardig genoeg zijn, maakt het misschien niets uit dat alles goed is geregeld. Zorg voor opleiding en bewustwording. Vraag wat medewerkers zelf kunnen doen om de informatie te waarborgen.’ 2 HAD DE HACKER DE VRIJHEID? De penetratietest, ook wel de pentest genoemd, raakt steeds meer ingeburgerd. Daarbij checkt een ethische hacker op verzoek van de gemeente de beveiliging. Maar welke grenzen stel je aan die test? ‘Als je een pentester de ruimte geeft om kwetsbaarheden daadwerkelijk te misbruiken, dan kun je de (gelaagde) beveiliging goed in de praktijk testen’, vertelt ethisch hacker Wouter van Dongen, die zulke tests onder andere voor gemeenten uitvoert (en eigenlijk altijd het computersysteem binnenkomt). ‘Je wilt namelijk niet alleen weten of de voordeur dichtzit, maar ook of er aanvullende maatregelen zijn en of deze naar behoren werken.’ BINNENLANDS BESTUUR - WEEK 27 | 2021
23 Online Touch Home