Zeeuwse strijd tegen de criminele elementen

Zeeuwse overheden werken samen om het criminelen moeilijker te maken. Ook digitaal trekken ze samen op, onder meer door bestuurders gezamenlijk te doordringen van nut en noodzaak van informatiebeveiliging.

Gelegen tussen de havens van Antwerpen en Rotterdam, met een uitgestrekte kustlijn en voorzien van afgelegen plaatsen waar niemand je op de vingers kijkt, is Zeeland een interessante provincie voor criminelen. De gevolgen van die gunstige ligging laten zich voelen. Geld dat is verdiend met misdaad belandt via schimmige bedrijfjes in de bovenwereld. Inwoners worden geconfronteerd met rondslingerend drugsafval of worden opgeschikt door ‘waarschuwingen’ die criminelen voor elkaar achterlaten.

Bestuurders krijgen te maken met bedreigingen. Sinds kort trekken de lokale overheden in Zeeland samen op om ondermijning tegen te gaan. In maart 2022 werd de Intentieverklaring ‘Zeeuwse norm weerbare overheid’ ondertekend door de dertien Zeeuwse gemeenten, het waterschap en de provincie. Ze willen samen één front vormen, om het criminelen zo moeilijk mogelijk te maken in Zeeland hun slag te slaan.

De intentieverklaring bestaat uit negen thema’s, waaronder informatiebeveiliging. In dit kader vond in april de eerste Zeeuwse CISO-dag plaats, een bijeenkomst van chief information security officers (CISO’s) om de Zeeuwse norm voor het digitale domein te concretiseren.

Informatiebeveiliging is mogelijk niet het eerste waar je aan denkt bij cocaïne- of mensenhandel, maar is wel een factor die nauw samenhangt met ondermijning. Als lokale overheden hun informatie onvoldoende beschermen, is het voor criminelen een fluitje van een cent gegevens buit te maken en er bestuurders mee af te persen, of om vergunningen te manipuleren voor horeca, seksbedrijven of vechtsportevenementen.

Op de CISO-dag willen de deelnemers komen tot een gedegen plan van aanpak. Plaats van handeling: SintAnna, een voormalige rooms-katholieke kerk in Yerseke. Op het programma: een hoogmis van weerbaarheid, bewustwording en meerfactorauthenticatie. Naast de dertien gemeenten, het waterschap en de provincie is ook de Informatie Beveiligingsdienst (IBD) van de partij. Speciale gast is cybersecurityspecialist Brenno de Winter.

Verantwoordelijkheid

In een voorstelronde vertellen de CISO’s waar ze trots op zijn en waar ze hulp bij kunnen gebruiken. Veel deelnemers noemen het opzetten van een bewustwordingscampagne – al dan niet met behulp van cyberoefeningen, een escaperoom, een quiz of bordspel – als iets waarmee ze binnen hun organisatie flinke stappen maken. Steeds meer medewerkers en bestuurders nemen informatiebeveiliging serieus, stellen ze vast.

De implementatie van de Baseline Informatiebeveiliging Overheid (het normenkader voor informatieveiligheid) en de nieuwe Europese NIS2-richtlijn levert de nodige uitdagingen op. De CISO’s willen elkaar hiermee helpen en samenwerken, onder meer door gezamenlijk IT-specialisten te betrekken. Een ander onderwerp waarbij hulp en samenwerking gewenst is, is eigenaarschap bij bestuurders op dit thema. Veelgehoord binnen de muren van de kerk: ‘Bestuurders voelen niet altijd voldoende de verantwoordelijkheid voor informatiebeveiliging. Ze denken al snel: dat is iets voor de ict’ers.’

Voormalig onderzoeksjournalist De Winter, tegenwoordig in dienst bij Volksgezondheid, Welzijn en Sport, heeft meteen de lachers op zijn hand als hij beschrijft hoe moeilijk het kan zijn om bestuurders mee te krijgen. ‘Het is niet dat we het leuk vinden om beveiliging te doen, het is noodzaak’, benadrukt hij. Die boodschap vindt in dit gezelschap natuurlijk onmiddellijk weerklank. ‘Ik zeg altijd: als je denkt dat privacy duur is, bedenk dan eens hoe duur een veiligheidsincident is.’ Begin tegen hem dan ook niet over risk appetite. ‘Op het moment dat het misgaat, denkt geen bestuurder meer terug aan het moment dat-ie zei, het risico wel te durven nemen. Dan is het: waarom is dit niet geregeld?’

Wat is dat toch met bestuurders die blijkbaar nog steeds liever geitenpaadjes zoeken dan structureel te investeren in informatiebeveiliging? Een deel van het antwoord zit vermoedelijk in het idee dat informatiebeveiliging en privacy kostenposten zijn die ten koste gaan van het primaire proces: de dienstverlening aan inwoners en ondernemers. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten beschrijft de IBD de preventieparadox: als je investeert in veiligheid, gebeurt er niets. Dus volgt de vraag: waarom hebben wij ons geld hieraan besteed?

Marga Vermue, die als burgemeester van Sluis de rol van bestuurlijke trekker van dit thema op zich neemt, vermoedt desgevraagd dat het onderwerp voor sommige van haar collega’s nog steeds een ver-vanmijn- bed-show is. ‘Het komt pas echt binnen op het moment dat je ervaringen deelt met een collega. Lochem en Hof van Twente (gemeenten die slachtoffer werden van een aanval met gijzelingssoftware – red.) liggen vanuit hier gezien toch wat verder weg. Heeft iedereen op het netvlies wat daar is gebeurd? Ik denk het niet. We moeten voortdurend benadrukken waarom we dit doen, anders blijft informatiebeveiliging voor veel bestuurders vooral een lastige extra handeling om de computer in te komen.’

Kat

De Winter’s presentatie gaat over de aanval bij de gemeente Lochem, de tekortkomingen van de zogeheten pentest, waarbij de weerbaarheid van de ict-infrastructuur wordt getest, zijn betrokkenheid bij technologie die werd ontwikkeld in het kader van de coronapandemie en over zijn geesteskind OpenKAT. De opensource Kwetsbaarheden Analyse Tool (afgekort KAT) monitort informatiesystemen, analyseert kwetsbaarheden en creëert automatische rapporten. Of in de woorden van De Winter: ‘Zoeken naar een speld in een hooiberg is een fluitje van een cent als je alle onderdelen van de hooiberg vooraf automatisch categoriseert. Hoe lang wij nodig hadden om te zien of we waren getroffen door de kwetsbaarheid in Log4j? Minuten.’ De Zeeuwse CISO’s luisteren vol belangstelling toe.

Op alle negen thema’s binnen de Zeeuwse Norm zullen de komende tijd bijeenkomsten zoals deze plaatsvinden. Om te zorgen dat de Zeeuwse Norm niet door één partij wordt getrokken, zijn de thema’s geadopteerd door de gemeenten, en is de gemeentesecretaris actief bij de samenwerking. Het thema informatiebeveiliging is geadopteerd door de gemeenten Sluis en Borssele en de provincie. Jeroen de Graaf, strategisch adviseur informatiebeveiliging van Sluis, is blij met de hoge opkomst op deze eerste CISO-dag. ‘Het is zaak dat we alle partijen goed met elkaar weten te verbinden, zodat we de driehoek (burgemeester, districtchef politie en de officier van justitie – red.) van betrouwbare data kunt voorzien’, zegt hij, ‘of het nu gaat over uitbuiting, cybercriminaliteit of de bewegingen die plaatsvinden op de havens.’ Daarnaast ziet hij een gezamenlijke uitdaging in het omgaan met leveranciersrelaties.

Ook de IBD concludeert in het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten dat er weinig zicht is op feitelijke risico’s wanneer ict-zaken zijn uitbesteed. De Graaf: ‘Een cybercrimineel die niet binnenkomt bij de provincie of de overheid, zal uitzoeken met welke partij ze zaken doen. Ze zijn zo binnen. Ik hoop dat we mogelijkheden vinden om daarin snel gezamenlijk een stap te zetten.’ Zeeland is niet de eerste provincie met een samenwerkingsverband op het gebied van ondermijning. Die eer valt Flevoland ten deel. Ook Brabant werkt met een soortelijke norm om de weerbaarheid van de overheid te verhogen. Wel voldoet Zeeland aan een aantal unieke kenmerken om er een succes van te maken, denkt burgemeester Vermue. ‘Met vijftien overheden vind je elkaar vrij snel. Dat is een verschil met een grote provincie als Brabant, of met een provincie zoals Zuid-Holland, die zowel grote als heel kleine gemeenten bestaat. Dat is in Zeeland allemaal wat makkelijker.’

Aan het einde van de bijeenkomst bepalen de CISO’s met welke onderwerpen zij op korte termijn gezamenlijk aan de slag willen gaan in het kader van de Zeeuwse Norm. Dat zijn bewustwording, commitment en training van bestuur en management; de versnelde implementatie van BIO en NIS2, gezamenlijk testen en oefenen; en vaart maken met kennisdeling.

Een volgende CISO-dag laat niet lang op zich wachten, belooft De Graaf. Er komt een digitaal platform voor kennisdeling. In het najaar volgt een gezamenlijk georganiseerde Zeeuwse maand van de weerbare overheid.