Aandacht Hof van Twente voor informatieveiligheid ‘verslapt’

De aandacht van Hof van Twente voor informatieveiligheid verslapt enigszins. Dat merkt de lokale rekenkamer die in een onderzoek terugblikt op de geruchtmakende hack van eind 2020. Volgens de rekenkamer is de gemeenteraad te passief en ontbrak het bij de organisatie aan kennis en financiering.

Geringe aandacht

Hof van Twente ondervond door de hack aan den lijve dat ict en informatieveiligheid op de politieke agenda moeten staan en hoe groot de gevolgen van fouten kunnen zijn. ‘De indruk bestaat dat de gemeente veel werk heeft verzet na de hack’, schrijft de rekenkamer, ‘maar dat de aandacht enigszins verslapt.’ Sinds de zomer van 2021 is namelijk geringe aandacht geweest vanuit de raad voor informatiebeveiliging en slechts twee partijen besteedden er aandacht aan in hun verkiezingsprogramma’s.

De rekenkamer is in bredere zin kritisch op de rol van de raad als het gaat om informatieveiligheid: ‘In de samenwerking tussen college en raad is het college leidend en initiërend. De raad neemt weinig regie en laat zich leiden.’

Signalen niet opgemerkt

Toen de criminele hackers eind 2020 binnendrongen, bleek er bij de gemeente ‘een groot verschil tussen de bestuurlijke werkelijkheid en de dagelijkse praktijk’,valt te lezen in het eindrapport ‘De perfecte storm’. In de verantwoordingsrapportages leek de gemeente ‘in control’ te zijn, maar onderdelen van het informatiebeveiligingsbeleid waren nog in ontwikkeling en sommige onderdelen werden in de praktijk niet consequent uitgevoerd.

‘Diepgaande kennis over ict was niet voldoende aanwezig op sleutelposities in de ambtelijke en bestuurlijke organisatie om de naleving van beleid en protocollen af te dwingen of te controleren.’ Voorafgaand aan de hack, vanaf begin 2019 al, kwamen er signalen dat de informatieveiligheid tekortschoot, maar ‘deze signalen zijn niet voldoende doorgedrongen bij management, college en de raad’.

Tegenmacht organiseren

De financiering van ict en informatiebeveiliging was ‘beneden de benchmark met vergelijkbare gemeenten’. De functie van Chief Information Security Officer (CISO) was ingevuld voor 8 uur per week, ‘relatief weinig voor een gemeente als Hof van Twente’, en deze had ‘geen eigen budget, in weerwil van de adviezen van de IBD’.

De rekenkamer doet meerdere aanbevelingen – zoals het monitoren van de werking van het beleid, het zorgen voor adequate financiering en het organiseren van tegenmacht binnen de organisatie – en de raad stemde hier tijdens een openbare vergadering mee in. Het college schrijft in een reactie dat er enkele feitelijke onjuistheden in het rapport zijn, maar constateert ‘dat met dit gedegen rekenkamerrapport een goede aanscherping van reeds gepubliceerde rapporten is gegeven’.