’Aanpak van cybercrisis in kinderschoenen'

Lochems burgemeester Sebastiaan van ’t Erve doet promotieonderzoek naar cybercrises. ‘Je kunt als organisatie veel doen met certificeringen en normen voor cybersecurity. Maar wat doe je als bestuurder wanneer het dan tóch allemaal misloopt?’

Als wethouder in Amersfoort ondervond hij in 2014 enorme gevolgen van de DigiNotar-hack en zo’n vijf jaar later ontsnapte zijn gemeente Lochem op het nippertje aan cybercriminelen. De overheid is gedoemd tot kwetsbaarheid, stelt burgemeester Sebastiaan Van ’t Erve (44). ‘We moeten bestuurlijke verantwoordelijkheid nemen.’ Hij hoopt dat zijn promotieonderzoek naar cybercrisismanagement iets teweeg kan brengen.

In de wandelgangen wordt hij al een tijdje de cyberburgemeester genoemd, maar zelf expert worden op gebied van cybersecurity? Het is niet per se zijn doel. ‘Ik wil vooral mijn eigen gemeente zo goed mogelijk besturen. En dat kan niet zonder kennis van besturing van digitale systemen, waar we als overheid sterk afhankelijk van zijn geworden’, zo vertelt hij aan tafel in het gemeentehuis in Lochem, pal naast het Twentekanaal. Voor veel burgemeesters is IT een nieuwe wereld en in sommige gevallen een ver-vanhun- bed-show, maar van ’t Erve was altijd al een ‘digitale denker’.

‘Ik ben van een generatie die is opgegroeid met een computer. Mijn vader had thuis een TRS-80, de Automatiseringgids lag op tafel. Nadenken over IT is mij met de paplepel ingegoten.’ Als wethouder van gemeente Amersfoort kreeg hij IT in zijn portefeuille. Hij duurde niet lang voordat hij voor het eerst geconfronteerd werd met de gevolgen van digitale kwetsbaarheid. DigiNotar, een bedrijf dat voor de beveiliging van overheidswebsites verzorgt, werd gehackt en cybercriminelen kregen daarmee de mogelijkheid om via overheidswebsites valse SSL-certificaten uit te geven. Koppelingen en certificaten van overheidswebsites konden plotseling niet meer worden vertrouwd.

‘De minister gaf midden in de nacht een persconferentie waarin werd aangekondigd dat overheidsdiensten doorgingen, terwijl hij eigenlijk de veiligheid niet kon garanderen. Het was een uitzonderlijk besluit, dat mij de ogen heeft geopend.’

Menens

Hij nam de ervaring mee naar Lochem, waar hij in 2014 werd benoemd tot burgemeester. Toen zo’n vijf jaar later veiligheidsdiensten hackers aantroffen die maanden toegang bleken te hebben tot de systemen van gemeente wist hij dat het menens was. Lochem was ineens overal in het nieuws. Er kon op tijd worden ingegrepen, de gemeente kroop door het oog van de naald. ‘Als digitale systemen van de overheid niet meer werken, kan werkelijk alles vastlopen’’ zegt Van ’t Erve er nu over.

‘Uitkeringen en toeslagen kunnen niet worden uitgekeerd, maar ook de rioolgemalen – een verantwoordelijkheid van gemeenten – kunnen worden uitgeschakeld.’ De kosten van herstel liepen uiteindelijk in de tonnen. Een flink bedrag, geeft Van ’t Erve onmiddellijk toe, maar een miljoenenschade werd daarmee voorkomen. Bij een cybercrisis moeten bestuurders verantwoordelijkheid nemen, ook al kost dat geld. ‘Je kunt de schuld bij een IT-afdeling proberen neer te leggen, maar je bent als bestuurder aansprakelijk voor het bemensen van diezelfde afdeling.’

De hectische ervaring werd voor Van ‘t Erve uiteindelijk een inspiratiebron. Hij besloot dat hij meer expertise moest opdoen over cybersecurity. ‘Het was al met al een confronterende ervaring. Ik heb er veel over nagedacht, over hoe bestuurders verantwoordelijkheid kunnen nemen in de huidige digitale wereld en ook wanneer er precies sprake is van een cybercrisis.’ Hij startte enkele maanden geleden daarom een promotieonderzoek aan de Universiteit Leiden, onder begeleiding van Bibi van den Berg, hoogleraar Cybersecurity Governance. ‘Je kunt als organisatie veel doen met certificeringen en normen voor cybersecurity, maar wat doe je als bestuurder wanneer het dan tóch allemaal misloopt?’

Stokpaardje

Het is inmiddels een bekend stokpaardje: hoeveel er ook wordt geïnvesteerd in security, kwetsbaarheden zijn nooit helemaal te voorkomen en 100 procent veiligheid bestaat niet. Van ’t Erve beaamt dat. Hij keek zelf met Lochem in de afgrond – gelukkig zonder te vallen. ‘Ik hoor wel eens zeggen: als alles uitvalt pakken we het kladblok erbij en vergaderen we door, maar je schrikt echt even wanneer de digitale ruggengraat van de organisatie ineens wegvalt.’ In een gedigitaliseerde wereld zijn uiteindelijk alle organisaties gedoemd tot kwetsbaarheid. ‘Dat komt door de wijze waarop de technologie is ontwikkeld, hoe het IP-protocol in elkaar zit, noem het maar op. Daarin zullen bestuurders dus verantwoordelijkheid moeten nemen.’

Van ’t Erve ziet voor alle bestuurders een grote uitdaging. ‘Een die ik persoonlijk heel leuk vind om over na te denken en geregeld voorleg bij anderen. Welke downtime, hoeveel uitval, accepteren we eigenlijk als bestuurder? Hoe neem je je verantwoordelijkheid om ervoor te zorgen dat overheid de diensten kan blijven leveren?’

Sinds hij zijn onderzoek is gestart, leest hij zich in over onder meer bestaande normen voor cybersecurity, gemaakte afspraken met leveranciers en kleine lettertjes in contracten in het geval er zich incidenten voordoen. ‘Bij recente incidenten in gemeenteland zijn er veel juridisch interessante discussies over nalatigheid. Met nieuwe security- wetgeving, zoals de NIS2, krijgen gemeenten een steeds grotere rol en groeiende verantwoordelijkheid. Maar er is meer dan alleen voldoen aan abstracte normen.’

Van ’t Erve wil verder gaan dan alleen ‘vinkjes zetten’. Wat is het plan wanneer de dienstverlening uitvalt? In hoeverre is zo’n plan nu uitgeschreven? Je kunt een A4tje uitwerken en weer een vinkje zetten, maar over de inhoud en de kwaliteit van het plan wanneer er een cybercrisis ontstaat gaat het te weinig.’

Ongrijpbaar

Op dit moment is Van ’t Erve midden in zijn literatuuronderzoek, waarvoor hij nu zo’n 380 artikelen heeft doorgelezen. Heeft hij met de opgedane kennis al zijn voordeel kunnen doen als burgemeester? ‘Voor mijn onderzoek wil ik manieren beschrijven waarop lokale overheden zo goed mogelijk kunnen omgaan met een cybercrisis. Uit de literatuur wordt tot nu toe duidelijk dat het fenomeen cybercrisis nog in de kinderschoenen staat. Voorheen was een ramp of crisis tamelijk overzichtelijk. Een brand kun je blussen, maar een digitale crisis is ongrijpbaar. Waar komt de crisis vandaan, wat zijn de effecten voor de korte en lange termijn? Het is voor bestuurders een geheel nieuw vakgebied.’

Cybercrises in de gemeenten Buren en Hof van Twente zijn voorbeelden waaruit lessen vallen te trekken. ‘De financiële en maatschappelijke schade daar was enorm. Inwoners die nieuwe paspoorten moesten aanvragen om identiteitsfraude tegen te gaan. Dat is pijnlijk, maar ook een onderdeel van het fenomeen cybercrisis. Het kan in korte tijd veel heftiger uitpakken dan verwacht.’

Van ’t Erve vindt met name de vraag wie ‘de kapitein op het crisisschip’ is in de verschillende gevallen van belang. Als burgemeester is hij verantwoordelijk voor Lochem, maar een cybercrisis kan op vele plekken tegelijk optreden. ‘Ik kan voor Lochem de beste experts inschakelen die alles goed regelen, maar misschien is de capaciteit van experts in gemeente Amsterdam, waar bijna een miljoen mensen wonen, veel harder nodig. In sommige weekenden is er zo veel druk op bedrijven dat ze niemand kunnen sturen voor noodgevallen. Dat levert bestuurlijke keuzes op, die gezamenlijk moeten worden genomen. Mijn onderzoek hierover voer ik uit met een ‘gemeentelijke blik’, maar het gaat over de gehele keten aan organisaties van lokaal tot nationaal niveau.’

Elke dag

Hij werkt momenteel enkele uren per week aan zijn onderzoek, dikwijls tussen zijn werkzaamheden als burgemeester door. ‘Cybersecurity blijft daardoor iets waar ik elke dag over nadenk, daar kom je normaal niet aan toe tussen het vergaderen over de opvang van alleenstaande minderjarige asielzoekers en versnellen van de woningbouw.’ Maar bestuurlijke verantwoordelijkheid nemen bij een cybercrisis maakt een college van B&W ook kwetsbaar.

Wanneer nalatigheid van bestuurders uitgebreid aan het licht komt in een kritisch rekenkamerrapport, bijvoorbeeld. Van ’t Erve: ‘Als politici redeneren dat bestuurders het alleen goed doen wanneer er geen risico’s bestaan, dan maken ze een fout. Zolang er digitale systemen zijn, zijn er ook kwetsbaarheden. De vraag is: welke mate van risico vinden we geaccepteerd? Dat gesprek zullen we steeds vaker moeten voeren.’ Van ’t Erve hoopt dat zulke gesprekken inhoudelijk verlopen en niet over wie iets goed of fout heeft gedaan.

‘Als bestuurder dien je verantwoordelijkheid te nemen voor de gehele omgeving: wanneer ik een halve kracht neerzet om al mijn systemen te beveiligen en het gaat mis, dán is een burgemeester verantwoordelijk. Daar gaat de bestuurlijke verantwoordelijkheid bij een cybercrisis over en daar moeten bestuurders elkaar nog veel meer op aanspreken.’