Waarom Harlingen een cybersecurity-lichtpuntje is

De digitale basisbeveiliging van gemeenten wordt nauwkeurig bijgehouden door de website Basisbeveiliging.nl. Uit de laatste update wordt duidelijk dat van alle 342 gemeenten in Nederland er slechts één kleine gemeente voldoet aan de standaarden voor een veilige website: Harlingen. Hoe kan het dat deze gemeente als enige de boel wél op orde heeft?

De kaarten van Basisbeveiliging.nl tonen met stoplichtkleuren hoe de beveiliging ervoor staat op verschillende vlakken. Er wordt gekeken naar gangbare veiligheidseisen die als standaard gelden voor gemeenten, waaronder de beveiliging van websites. Uit de laatste update, waarbij 4300 gemeentelijke websites werden geanalyseerd, bleek dat geen enkele gemeente 100% scoort – met uitzondering van Harlingen. Enkele dagen later volgden ook gemeenten Veere en Westerkwartier.  De rest van Nederland kleurt nog altijd rood.

Een gezamenlijke prestatie

Volgens Peter van Harten, Chief Information Security Officer (CISO) van Harlingen, is de goede score niet alleen aan de gemeente zelf toe te schrijven. ‘Het is een gezamenlijke inspanning waarbij we sterk afhankelijk zijn van anderen. We werken op IT-gebied nauw samen met de gemeente Sûdwest-Fryslân. Zij beheren onze werkplekken en een deel van de websites. In feite nemen we diensten bij hen af. Sibo Attema, Information Security Officer bij Sûdwest-Fryslân, verdient dan ook zeker erkenning voor deze prestatie.’

Ook de leveranciers die websites voor Harlingen hebben gebouwd, krijgen een pluim. Toch moesten de websitebeheerders van Harlingen zelf ook flink aan de bak om de perfecte score te behalen. ‘We vinden het essentieel dat al onze domeinen veilig zijn. Daarvoor hebben we gerichte acties ondernomen. Die aansporing om zaken te verbeteren of te herstellen is noodzakelijk om 100% groen te bereiken. De kaart van Basisbeveiliging.nl is daarbij een handig hulpmiddel voor een CISO.’

Strikte naleving van beveiligingseisen

Harlingen neemt ook rechtstreeks websites af bij leveranciers, waarbij vooraf wordt gezorgd dat deze voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO). Maar het behalen van een 100% score is één ding; deze behouden is nog veel moeilijker, legt Van Harten uit. ‘Het is mooi om groen te scoren, maar je kunt snel terugvallen.’

Hij illustreert dit met een voorbeeld: ‘Neem de verplichte standaard voor het security.txt-bestand. Dit bestand biedt een contactpunt voor het melden van kwetsbaarheden. Het heeft echter een verloopdatum en mag niet ouder dan één jaar zijn. Zodra het verouderd is, verlies je je 100% score. Dit geldt ook voor diverse securitycertificaten en andere beveiligingsstandaarden die continu bijgehouden moeten worden.’

Vooruitdenken en samenwerking als succesfactor

De digitale veiligheid van gemeentelijke websites is dynamisch en vereist voortdurende aandacht, benadrukt Van Harten. ‘Het belangrijkste is dat je intern tijdig overlegt bij nieuwe initiatieven voor websites. Zo zorg je ervoor dat er van tevoren goed wordt nagedacht over de beveiligingsvereisten. Ik denk dat dit onze grootste succesfactor is.’

Van Harten roept gemeenten die nog geen 100% hebben behaald op om gebruik te maken van initiatieven zoals Basisbeveiliging.nl. ‘Ik wil geen oordeel vellen over de beveiliging bij andere gemeenten, want ik heb geen volledig beeld van hun situatie. Websites zijn slechts één aspect van een bredere beveiligingsaanpak.’

Hij verwacht dat binnenkort meer gemeenten groen zullen kleuren. ‘Ik ken meerdere CISO's en weet dat digitale veiligheid voor velen een prioriteit is. De kaart van Basisbeveiliging.nl werkt bovendien als een uitdaging: je motiveert elkaar om beter te worden.’