Maak digitale veiligheid tastbaar

Hoe zijn gemeenten zo ver te krijgen dat ze van digitale veiligheid een prioriteit maken? Dat is de hamvraag op het VNG-congres Samen digitaal veilig: Gemeenten aan de slag!

Dubbel feest

Dubbel feest in de Prodentfabriek in Amersfoort op donderdag 28 september, waar het congres Samen digitaal veilig: Gemeenten aan de slag! wordt gevolgd door een borrel vanwege het tienjarig bestaan van de informatiebeveiligingsdienst (IBD). Het congres wordt georganiseerd door het programma Digitale Veiligheid van VNG, dat inmiddels twee jaar bestaat.

Online onveiligheid dichtbij meemaken

Amersfoort is ditmaal niet alleen een toepasselijke plek vanwege de centrale ligging. Het was ook de eerste gemeente met een groot datalek, vertelt burgemeester Lucas Bolsius. Daarbij werden onder andere zijn schoonouders getroffen, waardoor het thema informatiebeveiliging voor hem is gaan leven. Van dichtbij meemaken wat online onveiligheid met mensen doet, heeft een andere impact dan simpelweg moeten voldoen aan de regels. Burgemeester Iris Meerts van Wijk bij Duurstede vertelt hoe haar bejaarde moeder werd opgelicht met een ‘gratis inboedelverzekering’. Het verhaal van Meerts, voorzitter van de cyberburgemeesters, laat niemand onberoerd. Dat raakt aan het thema van de dag: om samen digitaal veilig te worden, is een vertaalslag nodig van abstracte cybertermen naar persoonlijke verhalen én keiharde cijfers.

2,9 miljoen gejatte tasjes

Oktober is cybersecuritymaand en in de tweede week van oktober vindt bovendien de week van de veiligheid plaats. CISO’s (chief information security officers) en FG’s (functionarissen gegevensbescherming) zullen op allerlei manieren proberen om cyberveiligheid onder de aandacht te brengen. Ze zouden er op kunnen wijzen dat online criminaliteit in 2021 volgens het CBS 2,9 miljoen Nederlanders raakte. Gehoord in de wandelgangen: ‘Als het niet om online oplichting ging, maar om fysiek gejatte tasjes, stond het land al lang op zijn kop.’

Onvoldoende online handhaving

Documentairemaker Sinan Can vertelt over Breuklijnen, een televisieserie waarin hij Europese wijken bezocht waaruit de staat zich heeft teruggetrokken. Het vuilnis wordt niet opgehaald, en als er al politie langskomt, dan is het niet de wijkagent maar de ME. De link met digitale veiligheid zit in het in de steek laten van burgers, onvoldoende online handhaving, en onvoldoende opkomen voor publieke waarden en de zwakkeren in de samenleving.

Weren tegen statelijke actoren

Bas Dunnebier, hoofd van de eenheid Weerbaarheid bij de AIVD, vertelt dat Nederland elke dag opnieuw wordt aangevallen door statelijke actoren, en dat die zich lang niet meer alleen richten op staten. De duurloper roept gemeenten op om maatregelen te treffen, want ‘de traagste marathonloper is altijd nog sneller dan degene die op de bank blijft zitten’. Breng in kaart wat je te beschermen hebt, binnen de eigen organisatie maar ook binnen de grenzen van de gemeente: welke kennisinstellingen en bedrijven zijn interessant voor Chinese spionage, of voor Russische aanvallen? Bedenk hoe veel risico je wil nemen en wat er op het spel staat als het toch misgaat. Zorg dat de basishygiëne op orde is.  En omdat cijfers altijd indruk maken: volgens Dunnebier zijn er groepen van maar liefst 200.000 tot 500.000 hackers actief in opdracht van de Chinese staat.

Een miljoen phishing-pogingen per week

Wie vorig jaar december de stad Antwerpen platlegde is niet bekend, maar feit is dat op 6 december vrijwel alle systemen uitvielen. De stad Antwerpen weerstaat tussen de 400.000 en een miljoen phishing-pogingen per week, en 1000 tot 2000 malware aanvallen per week, maar deze keer was het raak. De stad worstelt nog altijd met de gevolgen: sommige dienstverlening is pas sinds deze week weer opgestart, vertelt Annelien Kupert projectleider IT bij de stad Antwerpen. Opvallend: na de hack is de gemeente er niet minder populair op geworden bij hackers.

Betrek de raad!

In Buren leeft het idee ‘we zijn gehackt geweest, dus dat hebben we gehad,’ vertelt Alda van Zijl, D66-raadslid in Buren tijdens de plenaire afsluiting, maar die vlieger gaat dus niet op. Zelfs in gemeenten waar men de impact kent van een cyberaanval, blijft het lastig om het bewustzijn op het juiste niveau te houden. Niet voor niets is de workshop Betrek de raad! drukbezocht. Hoe krijg je als ambtenaar de gemeenteraad zo ver dat ze genoeg aandacht schenken aan informatiebeveiliging? De oplossingen die de  workshopdeelnemers aandragen, zijn onder meer om de raadsleden te wijzen op de wettelijke plichten van de gemeente en om te waarschuwen dat de toezichthouders onherroepelijk zullen aankloppen. De concrete impact van een hack op de gemeente voor inwoners zou de ogen van raadsleden moeten openen: in Antwerpen deden de toegangspoortjes van de zwembaden het niet meer, net zomin als de bibliotheekpasjes, en ook het aanvragen van een bouwvergunning was onmogelijk geworden. Maar om zulke voorbeelden te kunnen geven, moet je wel eerst een voet tussen de deur hebben bij de drukbezette raad, en dat blijkt op zich al een grote uitdaging. Gehoord in de wandelgangen: zorg dat het onderwerp bij inwoners op het netvlies staat, want als inwoners vragen stellen, geven raadsleden wel gehoor.

Instrumenten

Het congres is een dappere poging om de wereld van NIS2, de BIO en ENSIA te verbinden met de taal van de raad en de inwoners. NIS2 biedt bestuurders en ambtenaren wel een uitstekend instrument om het onderwerp te agenderen, zegt Meerts tijdens de afsluitende discussie. ‘We deden het al, maar nu moet het echt.’

Een middel om cyberveiligheid op de agenda te krijgen, is om het te visualiseren, bijvoorbeeld met behulp van deepfakes, zoals ook op de conferentie gebeurt. Een video van een burgemeester die iets zegt wat hij nooit zou zeggen, maakt meer indruk dan de zoveelste rapportage. Andere instrumenten die aan de orde komen, zijn onder meer pentests, rekenkameronderzoeken en het integrale veiligheidsplan. Als vanzelf komt het gesprek daarmee van de administratieve werkelijkheid naar de feitelijke veiligheid: digitale veiligheid staat bij 95 procent van de gemeenten in het IPV, maar hoeveel zegt dat? Dat de ENSIA-tool momenteel in samenspraak met het Ministerie van Binnenlands Zaken en Koninkrijksrelaties wordt verbeterd, zou moeten helpen om van toetsen méér te maken dan vinkjes zetten. En nu het toch gaat om wat Den Haag nog meer kan doen: de cyberburgemeesters pleiten al langere tijd voor een minister van Digitalisering.