Essay: Gemeenten, word cyberproof

Nu steeds meer overheidsdiensten online toegankelijk zijn, moeten gemeenten zich wapenen tegen de dreiging van cyberaanvallen. Dit is een uitdagende weg vol hobbels. In dit essay brengen Mart van der Wal en Barend Tensen drie obstakels in kaart: financieringstekorten, gebrek aan politiek commitment en een te grote focus op IT ten koste van maatschappelijk-bestuurlijke aspecten. En ze geven suggesties over hoe het beter kan.

Koploper

Nederland is razendsnel aan het digitaliseren. De Europese Commissie presenteerde in juli de voortgangsrapportage over de Digital Decade 2024. Uit het rapport blijkt dat Nederland veel vooruitgang boekt op het gebied van digitale infrastructuur en tot de Europese koplopers behoort in digitale overheidsdiensten. Maar hoe zit het met de veiligheid?

DDOS-aanvallen

Digitalisering raakt steeds meer verweven met ons dagelijks leven. Daarom is het belangrijk dat we ons voorbereiden op situaties waarin onze digitale infrastructuur wordt verstoord, zoals bij cyberaanvallen. Zeker sinds de oorlog in Oekraïne is dit meer en meer aan de orde. Zo worden gemeenten regelmatig getroffen door DDOS-aanvallen, waarbij hackers proberen systemen plat te leggen. Enkele jaren geleden werden de gemeenten Alkmaar en Hof van Twente slachtoffers van cyberaanvallen met uiteindelijk grote financiële gevolgen.

Storing

Dat Nederland en de EU afhankelijk zijn van producenten en diensten van buiten Europa, zorgt voor de grootste kwetsbaarheden. Zo stond in 2022 meer dan 90 procent van de Europese data op Amerikaanse servers, bleek uit een TNO-rapport over digitale soevereiniteit. Dit zelfde rapport concludeerde dat Europa afhankelijk is van ‘een beperkt aantal niet-Europese leveranciers’ voor digitale infrastructuur. Dat dit voor grote maatschappelijke problemen kan zorgen, bleek afgelopen juli. Een storing van het besturingssysteem Windows 10 van de Amerikaanse tech-gigant Microsoft leidde onder meer tot tweehonderd geannuleerde vluchten op Schiphol en verminderde toegang tot (spoedeisende) zorg in diverse delen van Nederland.

Zwakheden

Deze bevindingen duiden erop dat Europa te weinig controle heeft over data en technologie. Het creëert zwakheden waar kwaadwillenden maar al te graag gebruik van maken. De Autoriteit Persoonsgegevens ontving in 2023 maar liefst 141 meldingen van cyberaanvallen vanuit gemeenten. De totale sector van het openbaar bestuur registreerde 183 aanvallen, wat meer dan een verdrievoudiging betekent ten opzichte van de 58 meldingen van het jaar daarvoor.

Drie obstakels

Dit is een nijpend probleem, aangezien digitalisering onstuitbaar doorzet, maar daarmee ook onze zwakheden vergroot. In grote lijnen werpen zich drie obstakels op waarom decentrale overheden moeite hebben om hun cyberveiligheid te waarborgen.

‘Computerprobleem’

Allereerst ontbreekt vaak de bereidheid, maar vooral ook het besef van urgentie, om te investeren in cyberveiligheid. De mate waarin gemeenten zich voorbereiden op cybercrises lijkt volgens een verkennend onderzoek van NHL Stenden ook erg te verschillen. Vaak wordt die voorbereiding gezien als een onderdeel van het jaarlijkse IT-budget in plaats van als een brede organisatie-uitdaging. Zolang cyberveiligheid wordt gezien als een ‘computerprobleem’ en niet als de verantwoordelijkheid van iedereen binnen de organisatie, blijkt de noodzaak pas wanneer zich een crisissituatie voordoet. En dan is het al te laat.

Overlevingsstand

Zeker sinds de decentralisaties in het sociaal domein, waardoor gemeenten veel meer verantwoordelijkheden kregen zonder bijbehorende financiële middelen, verkeren veel gemeenten ‘in de overlevingsstand’. Hierdoor reserveren zij te weinig geld om hun systemen adequaat te beschermen. Begrijpelijkerwijs wordt door de bril van de lokale politiek eerder gekeken naar zaken die inwoners directer raken en waar volksvertegenwoordigers op aan worden gesproken, zoals het dichten van de tekorten in de jeugdzorg en het op peil houden van maatschappelijke voorzieningen.

Financiële ramp

Dit leidt echter tot verwaarlozing van minder tastbare investeringen. Een gemiste kans, omdat juist gemeenten een cruciale rol spelen in het verzorgen van de basis­infrastructuur voor veiligheid en privacy. Cyberveiligheid is geen kostenpost die eenvoudig kan worden genegeerd. De schade van een beveiligingsincident kan enorm zijn. De ‘pijn’ van nu – investeren in vaak onzichtbare digitale bescherming – is noodzakelijk om een grotere financiële ramp en maatschappelijke schade in de toekomst te voorkomen.

Een tweede belemmering, die in het verlengde van het voorgaande ligt, is het gebrek aan politiek commitment op lokaal niveau.

Lees het hele essay in Binnenlands Bestuur nr. 20

Mart van der Wal en Barend Tensen zijn respectievelijk beleidsadviseur en communicatieadviseur bij Kenniscentrum Europa Decentraal (KED)