'Het moet concreter dan trainingen en phishingmails'

‘Ontreddering was er absoluut’, zegt Dennis Lacroix, gemeentesecretaris van Hof van Twente. In een gesprek met de Vereniging van Nederlandse Gemeenten (VNG) vertelt hij dat hij de impact van de hack eind vorig jaar weleens vergelijkt met een rouwproces. Boosheid, verdriet, ontkenning. ‘Al die fases van rouw heb ik zelf ook gevoeld.’

Dertig jaar werk

‘Ik heb het gevoeld, de ontkenning: ‘Ik ga gewoon aan het werk want het is niet waar.’’ De hack leidde tot miljoenenschade bij de gemeente, belangrijke informatie werd vernietigd en in het interview vertelt Lacroix dat het zeker nog een aantal maanden gaat duren voordat de systemen weer volledig in orde zijn. ‘Ik ben dertig jaar werk kwijt, hoorde ik iemand zeggen.’

Bezorgdheid

De gemeente moet voor sommige problemen workarounds vinden, vertelt Lacroix, zoals de communicatie met de zorgaanbieders. ’Alles is gericht op dienstverlening, met name aan de kwetsbare inwoners. Dat is gelukt.’ Tegelijkertijd zijn dat tijdrovende processen die ‘ook maar zo lang houdbaar’ zijn. Er zijn bezorgde reacties bij de zorgverleners: ‘Als het bij jullie fout gaat, wat is er dan bij ons misschien wel doorgedrongen?’ Daar is gelukkig nog niets van gebleken.

Niets meer kunnen

De VNG krijgt in gesprekken soms mee dat dergelijke crises in andere colleges aan de orde zijn geweest, maar dat daar zoiets niet zou kunnen gebeuren. ‘Kom bij ons eens kijken’, reageert Lacroix daarop, ‘hoe groot de impact is als je niets meer hebt, niets meer kunt, en laat dat eens op je indalen. Dat betekent dat je geen facturen meer kunt versturen, dat je geen jaarrekeningen meer kunt maken, dat de mensen die je het hardst nodig hebben in de zorg niet meer kunt helpen. Stel je dan eens de vraag: heb ik genoeg doorgevraagd?’

Schijnveiligheid

De gemeente had digitalisering in beeld, maar toch kwam de hack als een verrassing. ‘Ieder jaar voldeden we een beetje beter aan de BIO-normen’, zegt Lacroix. ‘92 procent. En op het moment dat je dan gaat inzoomen, heb ik gemerkt, dan is dat maar een deel van het perspectief. Daarmee creëer je een soort schijnveiligheid want het zegt niets over de mate waarin je toch kwetsbaar bent.’

Tekortschietende infromatie

De gemeente had voor de hack een pentest laten uitvoeren. ‘Dat geeft maar een beperkt beeld van waar je kwetsbaar bent.’ Onlangs concludeerden Binnenlands Bestuur en AG Connect op basis van onderzoek dat veel gemeenten pentesten laten uitvoeren, maar dat er weinig crisisoefeningen zijn, weinig rekenkameronderzoeken zijn en dat er qua rapportage veel wordt vertrouwd op de huidige ENSIA-zelfevaluaties. Ict-deskundige Brenno de Winter concludeerde eerder in zijn duidende rapport over de hack al dat die informatie als stuurinformatie tekortschiet.

Tegenspraak

‘Je moet de deskundigheid aan de directietafel organiseren’, zegt Lacroix in het interview. ‘Dat is deskundigheid die je helpt te begrijpen wat er staat in zo’n ENSIA-rapportage.’ Hof van Twente deed dat - de CISO zat aan tafel - maar het is volgens Lacroix ook belangrijk om daar tegenspraak op te organiseren: ‘’Welke vragen stellen wij elkaar nu niet? Dat is er wel eentje die ik me heb voorgenomen om nog veel meer en veel beter te gaan doen.’

Niet vrijblijvend

‘Denk niet, ‘dat doen we al’, want dat hebben wij ook allemaal gedaan: training, bijeenkomsten, phishingmails. Allemaal gedaan, maar het moet echt nog een heel stuk concreter. We gaan periodiek trainingen verzorgen en die zijn niet vrijblijvend. En dan nog kan het misgaan.’