In deze column schrijft wethouder Joost Pals over digitale veiligheid. Risico’s op dat vlak gaan om veel meer dan alleen ICT. Zo kan ransomware de complete bedrijfsvoering lamleggen. Belangrijk is dat een organisatie goed getraind is.
Met regelmaat hoor je in het nieuws over bedrijven die gehackt zijn. Ransomware is een dreiging die ook gemeenten aangaat. Sterker, de dreiging van zulke aanvallen neemt alleen maar toe.
Informatiesamenleving
In het gemeentebestuur richt ik me vooral op de financiën, maar beroepsmatig ligt mijn achtergrond in de ICT. Dus heeft dat mijn bijzondere aandacht. Natuurlijk binnen de gemeente Bergen op Zoom zelf, maar ook daarbuiten. Toen de Vereniging van Nederlandse Gemeenten (VNG) zocht naar wethouders die willen bijdragen aan het thema Informatiesamenleving, heb ik me daarvoor meteen aangemeld. Digitale veiligheid is daar namelijk een onderdeel van. Bovendien kan ik de kennis vanuit de VNG weer benutten voor onze eigen gemeente.
Grote gevolgen
Ik zie een aantal zaken die nodig zijn om te verbeteren. In de eerste plaats hoort het onderwerp digitale veiligheid thuis op de bestuurstafel. Nog te vaak zie je dat cybersecurity gemakshalve wordt overgelaten aan ICT-ers. En die pakken het absoluut naar eer en geweten op. Maar de gevolgen - als het misgaat - zijn te groot voor zo’n aanpak alleen.
Ransomware kan de complete bedrijfsvoering lamleggen. Daar horen directie en bestuur zich dus mee te bemoeien. Het gaat verder dan computers op bureaus in kantoren. Ook stoplichten en sluizen zijn vatbaar voor hacks. Alle stoplichten tegelijk op groen, of een sluis die zorgt voor een verkeerde waterstand: digitale problemen kunnen fysieke gevolgen hebben.
Dreigingsbeeld
Langzaam maar zeker zie je dat het besef van die grote impact gelukkig begint door te dringen. Onlangs kwam het kabinet bijvoorbeeld met een landelijke Cybersecurity strategie (NLCS). En wat ook helpt, zijn de toegankelijk geschreven rapportages van de Informatiebeveiligingsdienst (IBD). In heldere taal berichten zij over het "dreigingsbeeld" voor informatieveiligheid. Wat zijn de grootste risico’s die gemeenten lopen. Aan welke soorten dreigingen moet je dan denken. En wat kun je doen om je weerbaarheid te vergroten?
Risico’s
De IBD noemt in de nieuwste rapportage drie grote risico’s. 1. De uitval van dienstverlening en bedrijfsvoering. Denk aan praktische dingen als het niet meer kunnen uitgeven van paspoorten of het betalen van uitkeringen. 2. Fouten in de dienstverlening, bijvoorbeeld door onjuiste informatie. En 3. Vertrouwelijke informatie in verkeerde handen, zoals het uitlekken van persoonsgegevens.
Naast drie risico’s worden ook drie soorten dreigingen genoemd: 1. ransomware, 2. kwetsbaarheden in software en 3. gevaren bij samenwerkingsverbanden.
Wat doen?
Behalve technische maatregelen - zoals firewalls en het gebruik van two factor authenticatie - is bewustwording minstens zo belangrijk. Want je kunt je systemen nog zo dichttimmeren, als iemand zich onbewust voor het karretje laat spannen van cybercriminelen, heb je alsnog de poppen aan het dansen.
Wat ook echt nodig is, is om voldoende te oefenen. Te oefenen. En te oefenen. Zodat je als organisatie getraind bent om goed te handelen wanneer je gehackt bent. Want het is niet de vraag "of" je gehackt wordt, maar wannéér. Dat is de realiteit.
Absolute veiligheid bestaat niet. Vergelijk het met andere vormen van veiligheid. Het is onrealistisch om elke woningbrand volledig uit te sluiten. Daarvoor zorg je dat er een brandweer is. Goed getraind en in staat om adequaat te blussen. Met digitale veiligheid is dat niet anders.
Onze gemeente
Komend jaar hebben we een programma om de digitale veiligheid in Bergen op Zoom te vergroten. Belangrijke stappen zijn al gezet, maar het moet nog echt flink beter. Ook dat hoort bij "orde op zaken" stellen. Ik ga er in een volgende column verder op in.
Joost Pals, 2 december 2022