'Geen gemeente is echt voorbereid op een cybercrisis'

Gemeenten zijn beperkt voorbereid op cybercrises en er wordt niet geoefend. Omdat er nog weinig bekend is over deze vorm van crisisbestrijding bij gemeenten, voerden de Haagse Hogeschool en NHL Stenden Hogeschool een verkennend onderzoek uit. Grote uitdagingen zijn een gebrek aan samenwerking en, daardoor, onbenutte kennis over crisismanagement en cybersecurity. Binnenlands Bestuur sprak twee van de onderzoekers.

Jullie concluderen in het onderzoek dat de term ‘cybercrisis’ weinig wordt gebruikt en dat de definitie van ‘een groot incident’ niet is vastgelegd. Wat betekent dat?

Joyce Koch (Haagse Hogeschool): ‘Daar refereren we aan de opschaling als er bijvoorbeeld malware is gevonden en wat er dan moet gebeuren. Er zijn bijna geen vastgelegde protocollen over opschaling, wanneer iets als een groot incident moet worden gezien en welk handelingsperspectief daaraan hangt. Als er bijvoorbeeld malware wordt gevonden op zestig computers dan is het wel een groot incident, maar daar is bij bijna geen enkele gemeente een plan voor. Wat overigens niet wil zeggen dat het fout gaat.’

 

Jurjen Jansen (NHL Stenden): ‘Er is wat betreft grote incidenten nog niet heel veel gebeurd dus komt de vraag op: weet een gemeente hoe te handelen als dit wel gebeurt? Nou is ons punt niet dat je dit tot letter en punt moet vastleggen, maar je moet wel een visie hebben. Je moet weten wat je cybercrisismanagementplan is.’

 

Jullie schrijven: ‘Er zijn in dit onderzoek geen voorbeelden naar voren gekomen van structurele oefeningen van cybercrisisscenario’s met de gehele gemeentelijke organisatie.’ Dat lijkt me opvallend. Waren jullie hierdoor verrast?

Koch: ‘Het verbaast me niet, maar ondanks dat het niet goed wordt voorbereid, gaat het dus niet vaak mis. Wat ik opvallender vond was dat Chief Information Security Officers (CISO’s) en adviseurs Openbare Orde en Veiligheid (AOV’ers) elkaar heel beperkt vinden. Wij hebben dat als grote kwetsbaarheid geïdentificeerd, want er wordt geen gebruik gemaakt van elkaars kennis. De CISO weet iets van cyber, maar niet van een crisis. AOV’ers weten veel van crisisoefeningen, maar minder over cyber.

 

Jansen: ‘Een taalbarrière is misschien een groot woord, maar de CISO is erg op ict gericht en de AOV’er niet. Door crisisoefeningen kunnen die veel van elkaar leren. Dat is een quick win.’

 

Bij kleinere gemeenten blijft de voorbereiding kennelijk beperkt, onder andere vanwege capaciteitsgebrek en omdat CISO’s bezig zijn met de implementatie van de Baseline Informatiebeveiliging Overheid (BIO), waarbij het voorbereiden op een crisis geen prioriteit is. Hoe ernstig is dat?

Jansen: ‘Kleinere gemeenten hebben natuurlijk minder capaciteit om zich voor te bereiden op cybercrises. Ze moeten de BIO ook implementeren en je merkt dat dat veel prioriteit heeft. Je kunt als kleinere gemeente niet allemaal activiteiten gaan organiseren om een cybercrisis te voorkomen. Dat geeft wel een bepaalde mate van kwetsbaarheid.’

 

Eerder vertelde een ethische hacker aan Binnenlands Bestuur dat hij niets geeft om certificering zoals de BIO omdat hackers gewoon wat proberen totdat ze een ingang vinden. Als kleinere gemeenten zich voornamelijk richten op certificering dan kan dat een oorzaak zijn van kwetsbaarheid. Is dat een probleem bij de CISO of bij de rest van de organisatie?

Jansen: ‘In de BIO staat dat de CISO belast is met bewustwording, maar goed, het is nog wel een relatief nieuw thema. Het heeft tijd nodig voordat het onderdeel is van de organisatiecultuur. Dat is bij elke organisatie zo.’

 

Jullie schrijven dat informatiebeveiliging hoog op de agenda staat, maar ook dat het moeilijk op de agenda te houden is.

Koch: ‘Wat je ziet is dat in de gemeenteraad continu wordt geconcurreerd op allerlei thema’s, dus men weet dat informatieveiligheid belangrijk is, maar het blijft moeilijk om het in de koude fase als prioriteit te blijven zien. CISO’s grijpen incidenten zoals de hack van de Universiteit van Maastricht aan om informatiebeveiliging op de agenda te houden.

 

‘We merkten tijdens de interviews dat gemeenten nu echt gepreoccupeerd zijn met covid-19. Het is een enorme prestatie dat alle dienstverlening en thuiswerkfaciliteiten vanwege de crisis in no-time zijn uitgerold, maar het is een enorme vergroting van het aanvalsoppervlak voor hackers en een toename van de digitale kwetsbaarheid van gemeenten.’

 

Grotere gemeenten hebben ‘veelal basale draaiboeken’ – dat klinkt ook niet echt indrukwekkend.

Koch: ‘Dat vonden wij ook. Er is wel planvorming en er zijn draaiboeken, maar daar wordt dus beperkt mee geoefend. Dan weet je als gemeente niet of de plannen werken.’

 

Wat wordt bedoeld met de opmerking dat een aantal grote gemeenten gelooft ‘dat de crisesrespons niet beperkt moet worden door planvorming, maar moet worden afgehandeld door ervaren mensen met mandaat.’

Koch: ‘CISO’s gaven aan dat ze niet verwachten terug te grijpen op omvangrijke draaiboeken. Dat wordt overgelaten aan iemand met het mandaat en dat is een belangrijke verantwoordelijkheid in gemeenteland. Als jij kiest om je dienstverlening stop te zetten, is dat een stevige ingreep. Veel CISO’s geven aan dat ze dat mandaat hebben en op dit gebied wordt dat eerder verstrekt dan op andere gebieden. Er is tot nu toe geen enkele gemeente helemaal ten onder gegaan aan een cybercrisis, dus we kunnen niet staven of deze denkwijze goed werkt.’

 

‘Sommige CISO’s hebben een heel erg stevige rol en krijgen veel aandacht. Maar er zijn er ook veel die op hun eigen technische eiland zitten. Een gedegen voorbereiding op een cybercrisis is ook dat de hele gemeente zich bewust is het belang van cyberveiligheid. De BIO en ISO vormen de basis en die moet in ieder geval goed zijn. Wat betreft de BIO moeten gemeenten op veiligheidsniveau 3 komen maar bij sommige gemeenten, die bijzondere dienstverlening leveren of over gevoelige data beschikken, biedt veiligheidsniveau 3 onvoldoende bescherming.’

 

‘Dat staat nog los van de beperkte voorbereiding op cybercrisis, die ook niet met de BIO wordt afgedekt. We zien dat sommige CISO's daarom meer doen dan alleen implementatie van de BIO, maar geen enkele gemeente is echt voorbereid op een cybercrisis.’