Waarom gemeenten miljoenen nodig hebben in de strijd tegen staatshackers

Gemeenten komen vanwege de geopolitieke spanningen steeds meer in beeld bij hackers, maar ze missen budget om passende maatregelen te nemen. Met name de G4 hebben met hun risicoprofiel een grote uitdaging. Security-experts van gemeente Den Haag schetsen de nijpende situatie. ‘Als je weet wat er momenteel op ons afkomt zou je echt geen oog meer dichtdoen.’

Iedere gemeente heeft te maken met digitale dreigingen, maar de grootste gemeenten met hun internationale havens, vliegvelden en regeringsgebouwen zijn steeds meer een internationaal doelwit voor criminelen en staatshackers.  De cybersecurity-uitdaging die erbij hoort kost vele miljoenen. De Vereniging van Nederlandse gemeenten vroeg daarom in april aan de Tweede Kamer om structureel ten minste 30 tot 50 miljoen euro extra voor het versterken van digitale veiligheid, maar een ‘ja’ lijkt onzeker: in het Hoofdlijnenakkoord gaat het veel over bezuinigen.

Gemeenten steeds vaker doelwit

Den Haag is bij uitstek een gemeente waar staatshackers het op hebben gemunt, zo leggen securityexperts van gemeente uit. De ministeries en vele grote internationale organisaties, ambassades, en het Koninklijk huis geven de gemeente een ‘uniek dreigingsprofiel’. Wie een gemeente hackt kan bijvoorbeeld bruggen, sluizen bedienen, met alle gevolgen van dien. Jeroen Schipper, als CISO verantwoordelijk voor de cybersecurity van de gemeentelijke organisatie, noemt zijn taak ‘enorm interessant’.

Aangezien Den Haag zich in het middelpunt van de geopolitiek bevindt, ervaart de gemeente direct consequenties op momenten dat er op het wereldtoneel iets gaande is, zoals nu in Oekraïne en Israël, vertelt Schipper. 'Dat uit zich door grootschalige aanvallen die steeds specialistischer van aard worden.' Den Haag wil zich zo goed mogelijk wapenen tegen deze toenemende dreigingen, maar extra inspanningen zijn grotendeels afhankelijk van geld. Een zak geld is niet altijd het antwoord op alles, toch is het hard nodig. Er zijn meer securityprofessionals nodig en de organisatie voorzien van hoogwaardige tooling voor de beveiliging van operationele technologie waaronder beweegbare bruggen, verkeersinstallaties en gemalen, is een flinke investering.

OT van toenemend belang

Operational Technology (OT) is volgens Schipper voor lokale overheden van toenemend belang en een groeiende uitdaging. Naast technische maatregelen zijn er ook experts nodig. 'Cybersecurity wordt vaak als een specialisme gezien, maar OT geldt weer als een specialisme binnen cybersecurity. Voordat je geld gaat uitgeven aan maatregelen om OT te beschermen, heb je ook de mensen nodig die ermee kunnen omgaan en met leveranciers om de tafel gaan.' Het valt nog niet mee om deze geschikte mensen te vinden. 'De gemeente is daarom enkele jaren geleden begonnen met het zelf opleiden van security-specialisten op gebied van OT.'  

NIS2 heeft grote impact

De actieve houding van Den Haag is hard nodig. Er verandert momenteel veel op gebied van wetgeving voor cybersecurity. De naderende komst van de NIS2, regelgeving die later dit jaar van kracht wordt, heeft grote impact. Met name de zorgplicht, waarbij je verplicht bent om diverse maatregelen te nemen, geldt als een forse taak. 'De meldplicht van cybersecuritymeldingen die er nu aankomt is vergelijkbaar met hoe dit geregeld is in de AVG. In plaats van toezicht achteraf, krijg je nu vooraf waarschuwingen. Positief aan de NIS2 is dat wij collectief op landelijk niveau op securitygebied zullen verbeteren.'

Toch is 100% compliant zijn aan alle regelgeving volgens Schipper praktisch gezien niet haalbaar. 'Geen enkele organisatie kan dit. Gemeente Den Haag, een gemeente met honderden applicaties, dus ook niet. Je zal altijd op basis van risicomanagement moeten kiezen waar de focus op ligt. Wij als gemeente hebben meerdere processen die van groot belang zijn, zoals de regelingen voor toeslagen en het uitgeven van rijbewijzen en paspoorten. Dit is dienstverlening die altijd in de lucht moet zijn, daar richten we een extra laag in voor beveiliging, naast alle generieke maatregelen die we voor de hele organisatie nemen.'

In enkele seconden in het netwerk

Voorheen kregen criminelen bij een succesvolle poging een mailtje met daarin de logingegevens van het slachtoffer, maar tijden zijn veranderd. Ook bij phishing is tegenwoordig alles geautomatiseerd. 'Als iemand in een phishingmail trapt wordt er door de crimineel automatisch ingelogd en automatisch een backdoor geplaatst', legt Schipper uit. 'Statelijke actoren hebben zoveel capaciteit en middelen, daar kun je je niet tegen wapenen. Ze zitten in luttele seconden in je netwerk. Als een land ergens wil binnenkomen, dan lukt dat gewoon. Je mag al van geluk spreken als een aanval wordt gedetecteerd.'

Wat als er geen geld komt?

Nu de formerende partijen de belofte doen om flink te bezuinigen op de overheid, kon een extra financiering voor gemeenten wel eens moeilijk worden. Schipper blijft daarover neutraal. 'Als er geen financiering komt, wordt er simpelweg een bepaald risico geaccepteerd. Ik kan een businesscase maken en de eventuele impact schetsen waarin wordt uitgelegd wat er gebeurt wanneer bestaande risico’s niet worden aangepakt. Uiteindelijk is het een kwestie van risicomanagement.' Voor gemeente Den Haag is dat niet nieuw. 'We zijn heel bewust bezig met hoe we effectief en efficiënt de beschikbare middelen kunnen inzetten. Dat betekent bijvoorbeeld dat je niet voor alle honderden applicaties de hoogste maatregelen neemt, maar de belangrijkste selecteert.'  

De wetenschap dat er ergens op aarde een leger aan hackers het zwaar gemunt heeft op zijn gemeente, leidt bij Schipper nog niet tot slapeloze nachten. 'Een eigenschap van CISO’s is dat ze totaal niet gestrest moeten zijn, maar als je weet wat er momenteel op ons afkomt zou je echt geen oog meer dichtdoen.'