'Precies wat ik verwachtte, trof ik aan bij Hof van Twente'
Te midden van alle verhalen over cyberdreiging en kwetsbare gemeenten is het ook nog eens moeilijk voor gemeenten om de juiste krachten te vinden voor beveiligingsrollen. Bij Hof van Twente hebben ze daarom de ervaren Rob Mellegers als externe Chief Information Security Officer (CISO) aangetrokken - voor twee dagen per week. ‘Heel veel gemeenten zijn genoodzaakt een externe partij die rol te laten vervullen of iemand aan te stellen met wat minder ervaring.’
Te midden van alle verhalen over cyberdreiging en kwetsbare gemeenten is het ook nog eens moeilijk voor gemeenten om de juiste krachten te vinden voor beveiligingsrollen. Bij Hof van Twente hebben ze daarom de ervaren Rob Mellegers als externe Chief Information Security Officer (CISO) aangetrokken - voor twee dagen per week. ‘Heel veel gemeenten zijn genoodzaakt een externe partij die rol te laten vervullen of iemand aan te stellen met wat minder ervaring.’
Hoe staat het herstel van de vernietigende hack er nu voor?
Mellegers: ‘We zijn druk bezig om alles wat we voor de hack hadden, terug te krijgen. De niet versleutelde data is teruggehaald. Een forensisch onderzoeksbureau heeft onderzocht dat daar geen restanten van malware meer in zitten. De rest halen we niet terug, maar voor het inzien daarvan is een veilige, afgeschermde omgeving ingericht.'
'We hebben nu 75 procent van de dienstverlening van voor de hack terug. Dit jaar zal de volledige dienstverlening actief moeten zijn. Daarna gaan we optimaliseren.’
Wat verwachtte u te vinden bij Hof van Twente toen u daar in juli begon, een half jaar na de hack?
‘Precies wat er ik er aantrof. Ik zag dezelfde problematiek als ict-adviseur bij Heerlen in 2016. Later vroeg die gemeente me de rol van CISO in te vullen. Eigenlijk merkte ik toen al dat allerlei zaken nog niet goed waren ingericht en moesten worden aangepakt. Dat zie ik bij heel veel gemeenten terug. En dat trof ik ook bij Hof van Twente aan.’
Hoe staat het er nu voor?
‘Vroeger gebeurde alles bij gemeenten in eigen beheer, met een eigen team, maar er wordt steeds meer uitbesteed. Wij hebben nu alles uitbesteed aan verschillende bedrijven, waarbij NFIR de security monitoring doet. Zij informeren ons als er incidenten zijn met een prioriteit 5, 4 of 3. Is het prioriteit 2 of 1 dan gaat het naar de war room en wordt de burgemeester op de hoogte gehouden. Dan gaan zaken in quarantaine en komen er forensische analyses.’
‘Om te bepalen wat er nodig is voor een veilige gemeente, moet er een vertaalslag worden gemaakt. Gemeenten worstelen daarmee. De gemeenteraad besluit dat er een CISO nodig is en dan wordt er bijvoorbeeld een technisch beheerder benoemd die ineens gesprekspartner moet zijn voor leveranciers, applicatiebeheerders en de burgemeester. Iemand in een CISO-rol moet dat wel kunnen.’
Daarom schakelde Hof van Twente u in?
‘De vorige CISO zag al dat er een verbeteractie moest komen en heeft dat neergelegd bij de directie. Daarom hebben ze mij in eerste instantie aangenomen als Technical Information Security Officer – TISO. Ik heb vanuit mijn studie een technische invalshoek met een bestuurscomponent, dus ik kan de vertaalslag maken. Nadat de vorige CISO vertrok, is mij gevraagd een aantal onderdelen van die rol over te nemen.’
Zijn besturen zich voldoende bewust van de situatie?
‘Ik zie veel gemeenten waar security hoog op de agenda staat. Maar ook heel veel die zich minder bewust zijn en dat zie je terug in de cultuur. Het is dus goed dat er iemand is die zich heel bewust is van de feiten. Dus een burgemeester met cyberervaring kan de vertaalslag maken naar de burgemeester die minder heeft met cyber.’
Hebben gemeenten voldoende in huis?
‘Er is frictie tussen wat gemeenten kunnen en willen. Er komen steeds meer eisen van de overheid en gemeenten krijgen niet meer tijd en geld om maatregelen te implementeren. Er zal meer geld moeten worden vrijgemaakt.’
Wat ontbreekt er?
‘We hebben het normenkader met de BIO en dat wordt geauditeerd op basis van opzet en bestaan, maar niet op basis van werking. Processen worden beschreven, maar er wordt niet getoetst of ze altijd worden nageleefd.Eigenlijk zou er realtime monitoring monitoring moeten zijn op de techniek aan de binnenkant van je netwerk, zodat een auditor altijd de actuele status kan zien. Dat kun je in een jaar niet realiseren, maar ik denk wel dat iets dergelijks er over tien jaar moet zijn.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.