Niet ransomware of hackers, maar medewerkers binnen een gemeente zijn de grootste cyberdreiging voor gemeentelijke organisaties. Dat stelt de Informatie Beveiligingsdienst (IDB) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021-2022.
De meest prominente risico’s liggen bij de ambtenaren die iedere dag gebruikmaken van informatie- en communicatiesystemen om hun werk te doen. Daar kleven risico’s aan, zo staat in het rapport.
Medewerkers kunnen bijvoorbeeld misbruik maken van het feit dat ze vanwege hun functie toegang hebben tot veel gegevens en systemen. “Een kwaadwillende kan in zo’n geval gegevens wijzigen, wissen of toevoegen, een onterechte factuur indienen of goedkeuren, vergunningen verstrekken, een uitkering toewijzen, het bepalen van een hoogte van een vergoeding, het verstrekken van een paspoort: dat begint allemaal met het invoeren van gegevens in informatiesystemen.”
Vooral medewerkers met verhoogde toegangsrechten kunnen grote schade aanrichten. Interne medewerkers kennen de interne processen en controlemechanismen en kunnen die daarom beter omzeilen dan iemand van buiten. Deze dreiging is moeilijk te ontdekken, stelt het IDB in het rapport.
Ook de beschikbaarheid van het informatiesysteem is een cruciale factor zoals bijvoorbeeld in het eerste halfjaar van 2020 is gebleken bij het Citrix-lek en het thuiswerken vanwege de coronamaatregelen. “Door het lek in Citrix moest dit systeem, dat ook bij veel gemeenten wordt gebruikt, een aantal dagen van de buitenwereld worden afgesloten. Het gevolg was dat ambtenaren in veel gevallen niet meer konden thuiswerken, kantoren waren overbelast en werkprocessen lagen in sommige gevallen stil.”
Gemeenten dienen volgens de IDB een plan te hebben voor uitval van een informatiesysteem. De risico’s met betrekking tot de bedrijfscontinuïteit nemen toe, omdat online processen steeds meer de standaard worden en de offline alternatieven verdwijnen.
