'Aanpak van cybercrisis in kinderschoenen'

Als wethouder in Amersfoort ondervond hij in 2014 enorme gevolgen van de DigiNotar-hack en zo’n vijf jaar later ontsnapte zijn gemeente Lochem op het nippertje aan cybercriminelen. De overheid is gedoemd tot kwetsbaarheid, stelt burgemeester Sebastiaan Van ’t Erve (44). ‘We moeten bestuurlijke verantwoordelijkheid nemen.’ Hij hoopt dat zijn promotieonderzoek naar cybercrisismanagement iets ­teweeg kan brengen.

Afhankelijk van digitale systemen

In de wandelgangen wordt hij al een tijdje de cyberburgemeester genoemd, maar zelf expert worden op gebied van cybersecurity? Het is niet per se zijn doel. ‘Ik wil vooral mijn eigen gemeente zo goed mogelijk besturen. En dat kan niet zonder kennis van besturing van digitale systemen, waar we als overheid sterk afhankelijk van zijn geworden,’ zo vertelt hij aan tafel in het gemeentehuis in Lochem, pal naast het Twentekanaal. 

'Digitale denker'

Voor veel burgemeesters is IT een nieuwe wereld en in sommige gevallen een ver-van-hun-bed-show, maar van ’t Erve was altijd al een ‘digitale denker’. ‘Ik ben van een generatie die is opgegroeid met een computer. Mijn vader had thuis een TRS-80, de Automatiseringgids lag op tafel. Nadenken over IT is mij met de paplepel ingegoten.’
 

DigiNotar

Als wethouder van gemeente Amersfoort kreeg hij IT in zijn portefeuille. Hij duurde niet lang voordat hij voor het eerst geconfronteerd werd met de gevolgen van digitale kwetsbaarheid. DigiNotar, een bedrijf dat voor de beveiliging van overheidswebsites verzorgt, werd gehackt en cybercriminelen kregen daarmee de mogelijkheid om via overheidswebsites valse SSL-certificaten uit te geven. ­Koppelingen en certificaten van overheidswebsites konden plotseling niet meer ­worden vertrouwd. ‘De minister gaf midden in de nacht een persconferentie waarin werd aangekondigd dat overheidsdiensten doorgingen, terwijl hij eigenlijk de veiligheid niet kon garanderen. Het was een uitzonderlijk besluit, dat mij de ogen heeft geopend.’

Lochem in het nieuws

Hij nam de ervaring mee naar Lochem, waar hij in 2014 werd benoemd tot burgemeester. Toen zo’n vijf jaar later veiligheidsdiensten hackers aantroffen die maanden toegang bleken te hebben tot de systemen van gemeente wist hij dat het menens was. Lochem was ineens overal in het nieuws. Er kon op tijd worden ingegrepen, de gemeente kroop door het oog van de naald. ‘Als digitale systemen van de overheid niet meer werken, kan werkelijk alles vastlopen’’ zegt Van ’t Erve er nu over. ‘Uitkeringen en toeslagen kunnen niet worden uitgekeerd, maar ook de rioolgemalen – een verantwoordelijkheid van gemeenten – kunnen worden uitgeschakeld.’

Als bestuurder aansprakelijk

De kosten van herstel liepen uiteindelijk in de tonnen. Een flink bedrag, geeft Van ’t Erve onmiddellijk toe, maar een miljoenenschade werd daarmee voorkomen. Bij een cybercrisis moeten bestuurders verantwoordelijkheid nemen, ook al kost dat geld. ‘Je kunt de schuld bij een IT-afdeling proberen neer te leggen, maar je bent als bestuurder aansprakelijk voor het bemensen van diezelfde afdeling.’

Meer expertise opdoen  

De hectische ervaring werd voor Van ‘t Erve uiteindelijk een inspiratiebron. Hij besloot dat hij meer expertise moest opdoen over cybersecurity. Hij startte enkele maanden geleden daarom een promotieonderzoek aan de Universiteit Leiden, onder begeleiding van Bibi van den Berg, hoogleraar Cybersecurity Governance. ‘Je kunt als organisatie veel doen met certificeringen en normen voor cyber­security, maar wat doe je als bestuurder wanneer het dan tóch allemaal misloopt?’

Stokpaardje

Het is inmiddels een bekend stokpaardje: hoeveel er ook wordt geïnvesteerd in ­security, kwetsbaarheden zijn nooit ­helemaal te voorkomen en 100 procent ­veiligheid bestaat niet. Van ’t Erve beaamt dat. Hij keek zelf met Lochem in de afgrond – gelukkig zonder te vallen. ‘Ik hoor wel eens zeggen: als alles uitvalt pakken we het kladblok erbij en vergaderen we door, maar je schrikt echt even wanneer de digitale ruggengraat van de organisatie ineens ­wegvalt.’ In een gedigitaliseerde wereld zijn uiteindelijk alle organisaties gedoemd tot kwetsbaarheid. ‘Dat komt door de wijze waarop de technologie is ontwikkeld, hoe het IP-protocol in elkaar zit, noem het maar op. Daarin zullen bestuurders dus verantwoordelijkheid moeten nemen.’

Grote uitdaging voor bestuurders

Van ’t Erve ziet voor alle bestuurders een grote uitdaging. ‘Een die ik persoonlijk heel leuk vind om over na te denken en geregeld voorleg bij anderen. Welke downtime, hoeveel uitval, accepteren we eigenlijk als bestuurder? Hoe neem je je verantwoordelijkheid om ervoor te zorgen dat overheid de diensten kan blijven leveren?’

Sinds hij zijn onderzoek is gestart, leest hij zich in over onder meer bestaande normen voor cybersecurity, gemaakte afspraken met leveranciers en kleine lettertjes in contracten in het geval er zich incidenten voordoen. ‘Bij recente incidenten in gemeenteland zijn er veel juridisch interessante discussies over nalatigheid. Met nieuwe security-wetgeving, zoals de NIS2, krijgen gemeenten een steeds grotere rol en groeiende verantwoordelijkheid. Maar er is meer dan alleen voldoen aan abstracte normen.’

Meer dan vinkjes zetten

Van ’t Erve wil verder gaan dan alleen ­‘vinkjes zetten’. Wat is het plan wanneer de dienstverlening uitvalt? In hoeverre is zo’n plan nu uitgeschreven? Je kunt een A4tje uitwerken en weer een vinkje zetten, maar over de inhoud en de kwaliteit van het plan wanneer er een cybercrisis ontstaat gaat
het te weinig.’

Heel nieuw vakgebied

Op dit moment is Van ’t Erve midden in zijn literatuuronderzoek, waarvoor hij nu zo’n 380 artikelen heeft doorgelezen. Heeft hij met de opgedane kennis al zijn voordeel kunnen doen als burgemeester? ‘Voor mijn onderzoek wil ik manieren beschrijven waarop lokale overheden zo goed mogelijk kunnen omgaan met een cybercrisis. Uit de literatuur wordt tot nu toe duidelijk dat het fenomeen cybercrisis nog in de kinderschoenen staat. Voorheen was een ramp of crisis tamelijk overzichtelijk. Een brand kun je blussen, maar een digitale crisis is ongrijpbaar. Waar komt de crisis vandaan, wat zijn de effecten voor de korte en lange termijn? Het is voor bestuurders een geheel nieuw vakgebied.’

Lees het hele artikel in Binnenlands Bestuur nr. 11 (inlog)