54 SPECIAL LICHTPUNTJES DOOR: ALEXANDER LEEUW BEELD: SHUTTERSTOCK In het duister van de digitale wereld zoeken criminelen naar zwakke plekken. Het kwetsbare Apache Log4j leert dat elke gemeente een potentiële Hof van Twente is. Al kunnen andere gemeenten leren van de openheid die in Twente werd betracht, analyseert BB-redacteur Alexander Leeuw. GEMEENTEN HOUDEN CYBERAANVALLEN VAAK GEHEIM HULDE VOOR OPENHEID HOF VAN TWENTE Hof van Twente kwam er niet genadig van af: de schade van de cyberaanval eind vorig jaar liep in de miljoenen, gevoelige data verdwenen en de ict-infrastructuur kon bij de schroot. Maar de gemeente besloot niet, zoals dat nog te veel gebeurt, de problemen stil te houden. Hof van Twente zocht de publiciteit. Pijnlijke conclusies werden getrokken, burgemeester Ellen Nauta gaf toe dat ze niet in control was terwijl ze dat wel dacht te zijn en een jaar lang was Hof van Twente het voorbeeld waarmee bestuurders bij de les van cyberbeveiliging werden gehouden. Zo kan de openheid van één gemeente de reden zijn dat een nog veel groter ict- debacle wordt voorkomen. Een jaar nadat de losgeldbrieven in Hof van Twente uit de printers rolden, dient een nieuwe dreiging zich aan. Elke gemeente heeft volgens een inschatting van de Informatiebeveiligingsdienst te maken met het kwetsbare Apache Log4j. Zelfs onervaren hackers kunnen gemakkelijk computers kapen. Het Nationaal Cyber Security Centrum publiceerde een lange lijst leveranciers bij wie de kwetsbare loggingtool wordt gebruikt. Online zoeken kwaadwillenden naar ingangen en de ransomware morrelt aan de deur. Als het nog niet duidelijk was dat elke gemeente een potentiële Hof van Twente is, moet het dat nu wel zijn. Uit de frequentie waarmee Hof van Twente wordt aangehaald, blijkt echter ook een manco: het blijft moeilijk om ict-problemen aan te kaarten. Een incident als Hof van Twente (en eerder in de gemeente Lochem) is tot op zekere hoogte bruikbaar, maar als de organisatie niet is doordrongen van het belang van goede cyberbeveiliging dan gebeurt er te weinig. Onlangs bleek uit onderzoek van de Eindhovense rekenkamercommissie dat het bestuur onvoldoende is betrokken en te weinig stuurt op privacy en informatiebeveiliging. Besturen moeten betrokken zijn én blijven. Niet slechts wanneer de dreiging gevoelsmatig even dichterbij lijkt. NIET OEFENEN Weinig gemeenten zijn openlijk zelfkritisch over de inzet voor cybersecurity. Om te achterhalen wat gemeenten werkelijk doen, vroegen AG Connect en Binnenlands Bestuur begin dit jaar 27 gemeenten naar hun maatregelen tegen cyberaanvallen. Bijna de helft blijkt niet te oefenen met aanvallen van buitenaf en bij een aanzienlijk deel ontbreekt een draaiboek voor wat te doen tijdens een cybercrisis. Slechts acht gemeenten deden in de afgelopen vijf jaar rekenkameronderzoek en zeven daarvan vonden kritieke kwetsbaarheden. Gemeenteraden moeten cyberbeveiliging aankaarten. Maar ict is een abstract en complex onderwerp dat minder op het geBINNENLANDS BESTUUR - WEEK 51 | 2021
55 Online Touch Home