woordig zó goed dat niemand ze meer van echt kan onderscheiden.” Volgens Schipper is de mens niet de zwakste schakel, maar de laatste verdedigingslinie. “Wanneer iemand binnen gemeente Den Haag een phisinghmail ontvangt, hebben de security-maatregelen eigenlijk al gefaald.” In enkele seconden in het netwerk Voorheen kregen criminelen bij een succesvolle poging een mailtje met daarin de logingegevens van het slachtoffer, maar de tijden zijn veranderd. Ook bij phishing is tegenwoordig alles geautomatiseerd. Als iemand in een phishingmail trapt wordt er door de crimineel automatisch ingelogd en automatisch een backdoor geplaatst, vertelt hij. “Statelijke actoren hebben zoveel capaciteit en middelen, daar kun je je niet tegen wapenen. Ze zitten in luttele seconden in je netwerk. Als een land ergens wil binnenkomen, dan lukt dat gewoon. Je mag al van geluk spreken als een aanval wordt gedetecteerd.” Doelwitten worden tegenwoordig continu gescand door criminelen. Een kwetsbaarheid van een specifiek systeem is direct bekend en wordt meteen uitgebuit, legt Schipper uit. “En het lukt ons niet om iets binnen een minuut te patchen. Je moet hier dus specifieke maatregelen tegen nemen.” Meestal zijn gemeenten voor patches echter afhankelijk van hun leveranciers. “Gemeenten zijn vaak dankbaar als er snel een patch wordt aangeleverd, maar eigenlijk zou dat de standaard moeten zijn.” Wat als er geen geld komt? Nu de formerende partijen hebben afgesproken om flink te bezuinigen op de overheid, kan een extra financiering voor gemeenten wel eens moeilijk worden. Schipper blijft daarover neutraal. “Als er geen financiering komt, wordt er simpelweg een bepaald risico geaccepteerd. Ik kan uiteraard een businesscase maken en de eventuele impact schetsen waarin wordt uitgelegd wat er gebeurt als bestaande risico’s niet worden aangepakt. Uiteindelijk is het een kwestie van risicomanagement.” Voor de gemeente Den Haag is dit niet nieuw. “We zijn heel bewust bezig met hoe we effectief en efficiënt de beschikbare middelen kunnen inzetten. Dat betekent bijvoorbeeld dat je niet voor alle honderden applicaties de hoogste maatregelen neemt, maar de belangrijkste selecteert.” De wetenschap dat er ergens op aarde een leger aan hackers het zwaar gemunt heeft op zijn gemeente, leidt bij Schipper nog niet tot slapeloze nachten. “Een eigenschap van CISO’s is dat ze totaal niet gestrest moeten zijn, maar als je weet wat er momenteel op ons afkomt, dan zou je echt geen oog meer dichtdoen.” iBestuur 51, juli 2024 61
62 Online Touch Home