SPECIAL 55 voel inwerkt dan bijvoorbeeld vluchtelingen of uitkeringen, dus bestaat het gevaar dat de overbezette raadsleden het onderwerp laten liggen. Het digitale is inmiddels echter zo alomtegenwoordig aanwezig dat problemen dáár kunnen resulteren in problemen overal. Niet voor niets heeft de toeslagenaffaire veel te maken met voortschrijdende techniek: de Belastingdienst heeft al jaren last van zwaar verouderde ict-systemen. En er is geen grip op de gegevensverwerking: begin deze maand legde de Autoriteit Persoonsgegevens de Belastingdienst een boete op van 2,75 miljoen euro omdat jarenlang gegevens (de dubbele nationaliteit van aanvragers van kinderopvangtoeslag) zijn verwerkt op discriminerende en onrechtmatige wijze. TWEEDE KAMER De Tweede Kamer wil het gebrek aan draaiboeken en protocollen verhelpen: in april nam ze een motie aan voor een cyberverdedigingsprotocol voor gemeenten. Staatssecretaris Knops (Binnenlandse Zaken, CDA) reageerde in oktober dat hij de motie uitvoert, maar zegt in dezelfde brief Erken de zwakke schakels en werk aan oplossingen dat hij niet inzet op één cyberverdedigingsprotocol, ‘omdat de ene situatie niet de andere is’. Eind oktober vragen Kamerleden Rajkowski en Strolenberg (beiden VVD) de staatssecretaris of hij niet alsnog werk wil maken van de aangenomen motie en voor een protocol wil zorgen. Knops, nooit om woorden verlegen, vertelt een verhaal dat hij werk maakt van de motie, maar dat één cyberverdedigingsprotocol geen goed idee is, en dat de huidige richtlijnen gemeenten eigenlijk al dwingen om dergelijke plannen op te stellen. Kort samengevat: ik ga het doen, maar ik doe het niet, en het is er al. Het resulteert niet in beter voorbereide gemeenten. De alternatieven die Knops aandraagt zijn oplossingen die niet de vinger op de zere plek leggen: kaders, bewustwording, kennisdeling. Het normenkader van de BIO, waardoor gemeenten driftig aan de slag kunnen met vinkjes zetten. De ENSIA-zelfaudits die niemand snapt. Het gaat om oefenen – dat benadrukte ook burgemeester Nauta van Hof van Twente in reactie op de onderzoeksresultaten van AG Connect en Binnenlands Bestuur. Knops heeft het in zijn suggesties wel over oefenen, maar hij heeft het over de overheidsbrede cyberoefening en oefenpakketten van Binnenlandse Zaken. Het valt te betwijfelen of dat oefeningen zijn die het vuur aan de schenen leggen. Gemeenten moeten op zoek naar manieren om de beveiliging écht te testen. Geef ethische hackers de vrijheid. Keer op keer komen ze binnen – zoals ook bleek uit het Utrechtse rekenkamerrapport ‘Zo sterk als de zwakste schakel’ – en pas wanneer zo’n rapport met zo’n titel de vinger op de zere plek legt, komt er verandering. RED TEAMING Oefen met situaties waarin het fout gaat. Burgemeester Kees van Rooij van Meierijstad, waar ze volgend jaar met red teaming willen beginnen, noemde een interessante reden om te oefenen: hij merkt dat het een tijd duurt voordat men doorheeft dat het een cyberaanval is. Spam en storingen zijn er immers voortdurend. Door het in de praktijk te ervaren, komen mensen tot dat soort inzichten. Er is een nieuw soort ondermijning bijgekomen, zei burgemeester Nauta, en daar moet je wel op oefenen. Oefenen is niet de oplossing, maar oefenen wijst uit of de oplossingen werken. Maatregelen als kaders, bewustwording, en kennisdeling zijn nodig, maar pas bij testen wordt duidelijk of het voldoende is. Plannen maken is belangrijk, maar de waarde blijkt pas in de praktijk. Het is zoals Mike Tyson zei: iedereen heeft een plan, totdat ze op hun bek worden geslagen. Hiervoor is openheid nodig. De bereidheid om de eigen organisatie echt te testen. Te vaak worden de resultaten van ethische hackers gemasseerd of stilgehouden. Erken de zwakke schakels en werk aan oplossingen. Laat die oplossingen weer testen. Wees open over wat er goed en fout gaat. Hof van Twente heeft dat afgelopen jaar gedaan en dat moet een voorbeeld zijn voor alle gemeenten. BINNENLANDS BESTUUR - WEEK 51 | 2021
56 Online Touch Home