Gemeenten nemen ondanks geruchtmakende incidenten weinig maatregelen tegen cyberaanvallen. Bijna de helft oefent niet met aanvallen van buitenaf en ook bij de rekenkamers staat informatiebeveiliging niet hoog op de agenda. Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect waar 27 gemeenten aan meededen. Bij een aanzienlijk deel van de gemeenten ontbreekt een draaiboek voor een digitale crisis.
‘Teleurstellend’
Dat veel gemeenten nog altijd niet oefenen met aanvallen van buitenaf, noemt Brenno de Winter ‘erg teleurstellend’. De ict-deskundige gaf duiding toen de gemeente Hof van Twente was getroffen door een hack. Uit de antwoorden van het onderzoek blijkt volgens hem ‘dat oefenen met cybersecurityaanvallen lang niet vanzelfsprekend is voor gemeenten. Sommige geven aan dit wel van plan te zijn, andere laten het volledig afweten.’
Toespraakje
Zes van de 27 gemeenten oefenen niet met simulaties van digitale aanvallen en elf doen het gedeeltelijk of zijn dergelijke oefeningen nu pas aan het voorbereiden. De Winter: ‘Dit past bij het beeld dat in plaats van een echte test voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt.’
Van binnenuit
Ongeveer een op de drie gemeenten verrichte in de afgelopen vijf jaar rekenkameronderzoek naar informatiebeveiliging. Bij interne penetratietesten (dat wil zeggen: vanuit het gemeentelijke gebouw) vonden de onderzoekers vrijwel altijd kritieke kwetsbaarheden. Begin april bleek nog dat de gemeente Utrecht met name van binnenuit kwetsbaar is.
Kennis ontbreekt
Binnenkomen is meestal geen probleem. ‘In de praktijk lukt het vrijwel altijd om tijdens een fysieke inlooptest binnen te komen’, laat een externe onderzoeker weten in een van de rekenkameronderzoeken. Dat er weinig rekenkameronderzoek naar informatiebeveiliging wordt verricht, komt volgens De Winter mogelijk doordat rekenkamers dergelijk onderzoek moeilijk vinden omdat de relevante kennis ontbreekt.
ENSIA
Het gebrek aan technische kennis is een veel voorkomend probleem, ook bij besturen en gemeenteraden. Die moeten dus goed op de hoogte worden gehouden. Het is daarom niet ideaal dat ruim een derde van de gemeenten aangeeft dat informatiebeveiliging niet periodiek wordt geagendeerd of dat er vooral wordt vertrouwd op de ENSIA-beveiligingsaudits. De Winter schreef daar in zijn duidend rapport voor Hof van Twente over dat dit vanwege het hoge technische gehalte onvoldoende geschikt is als stuurinformatie.
Draaiboeken
Een draaiboek voor een digitale crisis is bij gemeenten vaak niet aanwezig, zo blijkt verder uit de resultaten. Bij bijna een op vijf gemeenten ligt dit niet klaar. ‘Opvallend: zo’n draaiboek hadden ook Lochem en Hof van Twente niet toen bij hen een crisis uitbrak. In algemene zin ontbreekt het vooral bij kleinere gemeenten’, aldus De Winter. ‘En als je niet oefent met aanvallen van buitenaf, gaat dat draaiboek er ook niet komen. Je wilt een oefening draaien waarin alles in het honderd loopt, zodat er na afloop een gevoel ontstaat van: daar moeten we iets mee.
Openheid van zaken
Uit de vragen blijkt verder dat gemeenten niet graag openheid van zaken geven over dit onderwerp, bijvoorbeeld als het gaat om het budget voor penetratietesten. ‘Een bedrag kan variëren, maar zegt niks over de uiteindelijke rapportages’, zegt De Winter hierover. ‘Openheid van zaken geven hierover is juist belangrijk.’ De Informatiebeveiligingsdienst adviseerde onder andere om geen informatie geven over het budget voor penetratietesten omdat dat een uitnodiging zou kunnen zijn voor ‘talloze commerciële aanbiedingen’.
Reactie IBD
De Informatiebeveiligingsdienst laat in de reactie verder weten dat gemeenten hard werken aan hun informatiebeveiliging. ‘De voorbeelden in dit artikel zijn herkenbaar, maar het is een beetje selectief winkelen. Dit artikel wekt de schijn dat het bij gemeenten in het bijzonder slecht is gesteld, terwijl de maatschappij als geheel een been zou moeten bijtrekken. Gemeenten zijn transparant over hun incidenten en bestuurders zijn zich bewust van hun verantwoordelijkheden rondom digitale veiligheid.’ De IBD benadrukt het belang van prioriteiten stellen: niet alles kan en zeker niet tegelijk. ‘Oefenen op incidenten is essentieel en daarom ontwikkelde de Vereniging van Nederlandse Gemeenten een Cyberoefenpakket.’
Onderzoek door: Alexander Leeuw en Sjoerd Hartholt
Verantwoording: voor dit onderzoek zetten Binnenlands Bestuur en AG Connect vragen uit bij 50 gemeenten en 27 reageerden. Vanwege de gevoeligheid van het onderwerp zijn hun namen niet vermeld. Het onderzoek vond plaats in april.
Lees het uitgebreide verhaal over het onderzoek in nummer 10 van Binnenlands Bestuur dat eind deze week verschijnt.