Gemeenten vatbaar voor cybercrime

Gemeenten oefenen amper met cyberaanvallen van buitenaf. Ook bij de rekenkamers staat informatiebeveiliging niet hoog op de agenda. Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect waar 27 gemeenten aan meededen.

Bij een aanzienlijk deel van de gemeenten ontbreekt een draaiboek voor een digitale crisis. Dat is opvallend in een tijd dat de geruchtmakende cyberincidenten zich opstapelen.

Ict-deskundige Brenno de Winter noemt de uitkomsten ‘erg teleurstellend’. Uit de antwoorden blijkt volgens hem ‘dat oefenen met cybersecurityaanvallen lang niet vanzelfsprekend is voor gemeenten. Sommige geven aan dit wel van plan te zijn, andere laten het volledig afweten.’ Zes van de 27 gemeenten oefenen niet met simulaties van digitale aanvallen en elf doen het gedeeltelijk of zijn dergelijke oefeningen nu pas aan het voorbereiden.

'Dit past bij het beeld dat in plaats van een echte test voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt.’ Ongeveer een op de drie gemeenten verrichten in de afgelopen vijf jaar rekenkameronderzoek naar informatiebeveiliging. De onderzoekers vonden bij interne penetratietesten vrijwel altijd kritieke kwetsbaarheden. ‘In de praktijk lukt het vrijwel altijd om tijdens een fysieke inlooptest binnen te komen’, is de ervaring van een onderzoeker. Dat er weinig rekenkameronderzoek naar informatiebeveiliging wordt verricht, komt volgens De Winter mogelijk doordat rekenkamers dergelijk onderzoek moeilijk vinden omdat de relevante kennis ontbreekt.

Uit de vragen blijkt verder dat gemeenten niet graag openheid van zaken geven over dit onderwerp, bijvoorbeeld als het gaat om het budget voor penetratietesten. ‘Openheid van zaken geven hierover is juist belangrijk’, zegt De Winter. Volgens de Informatiebeveiligingsdienst doen gemeenten dit niet omdat het een uitnodiging zou kunnen zijn voor ‘talloze commerciële aanbiedingen’.

Lees hier het achtergrondartikel