Wethouder Joost de Jong | Beeld: still uit video gemeente Eindhoven

In december 2020 werd raadslid Joost de Jong plots wethouder financiën en bedrijfsvoering van de gemeente Eindhoven, als tijdelijk vervanger van de zittend wethouder. Daarvoor had Joost een IT-functie bij het ministerie van Defensie, waar “alle ICT als essentieel wordt gezien, van informatie- tot en met wapensystemen”. In Eindhoven vallen bedrijfsvoering, ICT en financiën in één portefeuille, dus de voormalig militair pakte bij de gemeente de technische draad weer op. Dacht hij.

Alles gaat goed

“In mijn eerste voorstelrondje vroeg ik de ambtenaren hoe het stond met de beveiliging van gegevens bij de gemeente. Toen kreeg ik het legendarische antwoord: ‘met de beveiliging gaat het goed, we hebben alle audits gehaald.’ Toen vroeg ik hoe het zat met het risicoprofiel van de gemeente, het aanvalsplan, het rampenplan, de plannen voor back-up & restore, de risiconiveaus en de jaarplanning en het werd duidelijk dat het onderwerp informatiebeveiliging niet op de politieke tafel lag zoals ik het voor ogen had.”
De positie van digitale veiligheid is ook geen gemakkelijke. Wanneer het goed geregeld is, merkt niemand dat het werkt. Gemeenten hebben een BIO (Baseline Informatiebeveiliging Overheid), maar dat is een norm en in bestuurlijk opzicht dus vrijblijvend. Wat moet er verplicht worden geregeld? Joost miste best practices en harde richtlijnen. “Partijen bij de rijksoverheid hebben zicht op bedreigingen. Maar waar hebben gemeenten mee te maken? Moeten we ons voorbereiden op internationale spelers, criminele organisaties of lokale groepen met een criminele agenda? Wat wordt er van ons verwacht? Leg de bijbehorende maatregelen dan ook maar wettelijk vast, voor alle overheidsorganisaties.”

Onderbroken dienstverlening

Wat Joost mist in de brede discussie over digitale veiligheid is de blik op de burger. “Dit gaat niet over de gemeenten zelf, maar over de kwetsbare mensen waar wij onze dienstverlening op inrichten. Dat vind ik een onderbelicht risico van de digitale dreiging: hoe kwetsbaarder de burger, hoe meer informatie de gemeente over die persoon heeft, hoe harder die wordt getroffen. Ga jij tegen iemand die afhankelijk is van zijn uitkering zeggen: kom over twee maanden maar terug wanneer alles weer is gerepareerd?”
In zijn tijd als wethouder werd het Joost heel duidelijk dat digitale veiligheid op de bestuurstafel hoort. “Het is net als met het verkeer in onze gemeente: breng in kaart wat de risicoplekken zijn van ongelukken, wat de ‘black spots’ zijn en bespreek wat acceptabel is om te accepteren.” Het antwoord ligt niet in audits of compliance, zegt hij. “De gemeente Hof van Twente had ook alle vinkjes op groen staan, maar dat bleek geen garantie. We moeten oefenen, we moeten onze back-ups goed regelen, ook het terugzetten ervan. We moeten in control zijn op onze risico’s en dus weten wat we moeten doen wanneer ransomware [zie kader] ons lamlegt, hoe lang het duurt voordat we onze kwetsbare burgers weer kunnen helpen na een aanval.”
Over ransomware voegt hij nog toe dat de echte dreiging niet het geld is dat betaald moet worden. “De organisaties die echt de bijl leggen aan de wortel van onze vrijheid hebben geen interesse in geld. Als een crimineel binnen kan komen, stel je dan eens voor wat een (vijandige) nationale overheid kan doen. Het echte gevaar is het ondermijnen, dreigen met en veranderen van onze eigen informatie, om dat tegen ons en onze samenleving te gebruiken.”

Risicodenken

Informatiebeveiliging is een kerntaak, stelt Joost. “En dat houdt in dat de gemeenteraad het college best mag vragen om zijn digitale ambities, om het risicoprofiel van de gemeente.” Het denken in risico’s is een mindset die hij heeft overgehouden aan zijn militaire verleden. “Wij werden getraind om te denken in kwetsbaarheden. En in gemeenten zit die niet alleen in ICT-systemen, maar ook in personeel. De Nederlander is goed van vertrouwen en het aanspreken van collega’s wordt vaak gezien als confronterend. Dat vinden we vervelend, maar security is geen polderen. Worden mensen gescreend? Zit er iemand aan de balie die gechanteerd kan worden? Vraagt iemand opeens heel veel gegevens op? Zorg voor segmentatie, dat niet één persoon overal bij kan.”

Meten

Moet het altijd heel veel geld kosten om de veiligheid op orde te krijgen? Joost denkt even na en zegt dan: “Je moet het sowieso goed willen doen. Thuis heb je toch ook sloten op de deur? Dat is verstandig. Security is de deur ook daadwerkelijk op slot draaien. En heb een achtervang voor als het netwerk platgaat.” Hij besluit: “Het gesprek over de ambities op het gebied van informatiebeveiliging hoort thuis bij het bestuur, het college én de raad. Dat gesprek moeten we aangaan, mede op basis van dreigingsinformatie vanuit de landelijke overheid en de VNG. Het is cruciaal dat de gemeente daar de tijd en de middelen voor reserveert.”

Wat te doen tegen ransomware?

De Informatiebeveiligingsdienst (IBD) krijgt veel vragen over ransomware, die vaak gaan over een beleid over het al dan niet betalen van losgeld. Deze losgelddiscussie leidt volgens de IBD af van de mogelijkheden die bestaan om de risico’s voor een groot deel af te wenden. De organisatie heeft een paar keuzes om zich te wapenen tegen ransomware en andere digitale aanvallen. Het beste is dat directie en bestuur kiezen voor een combinatie van onderstaande onderdelen:

• Preventie: voorkomen dat aanvallers binnenkomen, denk aan het afsluiten van poorten en sterke toegangsbeveiliging.
• Signalering: waarnemen dat er afwijkingen zijn van de norm, of zien dat aanvallers binnen zijn. Manieren voor signalering zijn logging en monitoring.
• Drempels opwerpen: beperken van de schade die aanvallers kunnen aanrichten, denk aan netwerksegmentatie en de inrichting van toegangsrechten.
• Herstel: mogelijkheden om terug te keren naar de normale situatie, denk aan het terugzetten van (offline opgeslagen!) back-ups.

Source