Cybersecurity: nog veel werk te doen

Zoals gemeenten oefenen met brand, moeten ze ook oefenen met cyberaanvallen. Dat gebeurt weinig. Rekenkameronderzoeken leggen kritieke kwetsbaarheden bloot, maar ze worden weinig gehouden, leert nieuw onderzoek van Binnenlands Bestuur en AG Connect. Realiseert de gemeentelijke top zich wel hoe kwetsbaar gemeenten zijn?

Geen oefeningen, draaiboeken en rekenkameronderzoeken

December 2020: nadat hackers vrij spel kregen om computernetwerken van de gemeente Hof van Twente te betreden, lag de dienstverlening lange tijd helemaal plat. De forensische rapportage vond veel tekortkomingen en privacydeskundige Brenno de Winter wees op tekortschietende sturing. Waar het een jaar eerder in Lochem fout ging en op het nippertje kon worden voorkomen dat de gemeente ten prooi viel aan ransomware, leed de gemeente Hof van Twente uiteindelijk een miljoenenschade.

Sinds de geruchtmakende zaken zou het in gemeenteland alarmfase één moeten zijn als het gaat om digitale weerbaarheid. Toch is nog maar weinig te merken van die noodzaak, zo komt naar voren uit onderzoek van Binnenlands Bestuur en AG Connect waaraan 27 gemeenten deelnamen. Gemeenten nemen ondanks duidelijke waarschuwingen uit de praktijk weinig maatregelen tegen cyberaanvallen. Bijna de helft (45 procent) oefent niet met aanvallen van buitenaf en bij een aanzienlijk deel ontbreekt een draaiboek voor een digitale crisis.

Slechts acht van de 27 deden rekenkameronderzoek in de afgelopen vijf jaar. Bij één op de vijf gemeenten is er geen draaiboek aanwezig voor het geval er een digitale crisis uitbreekt. Ook wordt duidelijk dat bij 11 procent het onderwerp cybersecurity niet structureel op de agenda bij B&W staat en de agendering hangt vaak af van de sturings informatie die in Hof van Twente tekortschoot.

Dat veel gemeenten nog altijd niet oefenen met aanvallen van buitenaf, vindt De Winter ‘erg teleurstellend’. ‘Uit de antwoorden blijkt dat dit lang niet vanzelfsprekend is voor gemeenten. Sommige geven aan dit wel van plan te zijn, andere laten het volledig afweten. Dit past bij het beeld dat in plaats van een echte test de voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt.’ Hij trekt een vergelijking met ontruimingsoefeningen voor het geval er brand uitbreekt. ‘Je oefent ook jaarlijks een situatie met brand. Dan hoor je dit ook te oefenen, zodat je weet hoe het verloopt wanneer het mis gaat. Die ervaring is op die momenten onmisbaar.’

Cyberdreiging
Naast oefeningen met aanvallen van buitenaf, zijn ook andere extra maatregelen onder gemeenten nog geen gemeengoed. En dat terwijl digitale incidenten rondom gemeenten zich de afgelopen jaren in rap tempo opstapelden. Begin mei stelde de Autoriteit Persoonsgegevens de gemeente Hellevoetsluis nog onder verscherpt toezicht vanwege zorgen over de bescherming van gevoelige gegevens van inwoners. De Cyber Security Raad waarschuwde vorige week in zijn jongste rapportage voor toenemende cyberdreiging. Uit het rekenkamerrapport getiteld ‘Zo sterk als de zwakste schakel’ bleek in april dat de gemeente Utrecht met name van binnenuit zeer kwetsbaar is: het bleek eenvoudig de kantoorpanden te betreden en toegang te krijgen tot gemeentelijke systemen.

Acht gemeenten, waaronder Utrecht, geven aan in de afgelopen vijf jaar dergelijk onderzoek naar informatiebeveiliging gedaan te hebben. Zeewolde leverde een uitzonderlijke prestatie: zowel van buiten als van binnen lukte het hacker-onderzoekers niet om ongeautoriseerde toegang tot het netwerk te krijgen. De Flevolandse gemeente is uitzonderlijk omdat bij de overige gemeenten die vergelijkbaar onderzoek deden van binnenuit wel kritieke kwetsbaarheden werden gevonden.

Sommige denken dat gemeenten ‘gewoon’ hun beveiliging op orde hebben, omdat er in principe niemand fysiek binnen kan dringen. Maar uit de rekenkameronderzoeken blijkt dat vrijwel altijd toegang tot het gemeentehuis kan worden verkregen. Zelfs in Zeewolde, leren de ervaringen van de onderzoekers: ‘Tijdens de inlooptest is gebleken dat het mogelijk was om fysieke toegang te verkrijgen tot niet-openbare werkplekken en toegang te krijgen tot dossiers en toegang te krijgen tot dossiers en poststukken. Dit komt overeen met de ervaring van Hoffmann bij andere gemeenten. In de praktijk lukt het vrijwel altijd om tijdens een fysieke inlooptest binnen te komen.’

In Nijkerk bleek dat het interne netwerk ‘eenvoudig toegankelijk was voor iedereen die fysieke toegang heeft tot het pand’. ‘Meerdere kritieke kwetsbaarheden’ zijn aangetroffen. In een zin die de situatie voor Nijkerk misschien enigszins relativeert maar die de situatie voor overige gemeenten minder rooskleurig doet voorkomen, wordt over de interne kwetsbaarheid opgemerkt: ‘Dit komt overeen met de situatie die Hoffmann bij veel andere gemeenten aantreft. Nijkerk scoort op dit punt dan ook gemiddeld.’ Ook bij Breda, Leeuwarden en Noardeast-Fryslân werden grote aantallen kwetsbaarheden gevonden.

Voor de duidelijkheid: het gaat hier om de acht van de 27 gemeenten die in het onderzoek aangaven in de afgelopen vijf jaar rekenkameronderzoek naar informatiebeveiliging te hebben gedaan. Zij lopen wat dit betreft voor op de rest. De Winter begrijpt echter wel dat er weinig rekenkameronderzoek wordt gedaan. ‘Rekenkameronderzoek naar cybersecurity is best ingewikkeld. Ik ben zelf functionaris voor de gegevensbescherming bij een aantal gemeenten. Dit soort thema’s vinden ze ingewikkeld en eng. Het vergt kennis die er vaak niet is.’

Het gebrek aan technische kennis is een veel voorkomend probleem, ook bij besturen en gemeenteraden. Die moeten dus goed op de hoogte worden gehouden. Het is daarom niet ideaal dat ruim een derde van de gemeenten aangeeft dat informatiebeveiliging niet periodiek wordt geagendeerd of dat er vooral wordt vertrouwd op de ENSIA-beveiligingsaudits. De Winter schreef daar in zijn duidend rapport voor Hof van Twente over dat dit vanwege het hoge technische gehalte onvoldoende geschikt is als stuurinformatie. ‘Ik concludeerde al dat bestuurders echt niet in de smiezen hebben wat er gaande is in hun netwerken. Dit onderstreept het gewoon’, zegt hij nu. ‘ENSIA is heel nuttig maar het is niet een vrijbrief om te roepen dat je de zaak op orde hebt.’

Penetratietest
Een draaiboek voor een digitale crisis is bij gemeenten vaak niet aanwezig, zo blijkt verder uit de resultaten. Bij bijna een op vijf gemeenten ligt dit niet klaar. ‘Opvallend: zo’n draaiboek hadden ook Lochem en Hof van Twente niet toen bij hen een crisis uitbrak. In algemene zin ontbreekt het vooral bij kleinere gemeenten’, aldus de Winter. ‘En als je niet oefent met aanvallen van buitenaf, gaat dat draaiboek er ook niet komen. Je wilt een oefening draaien waarin alles in het honderd loopt, zodat er na afloop een gevoel ontstaat van: daar moeten we iets mee.’

Vrijwel alle gemeenten geven verder aan minimaal jaarlijks een penetratietest oftewel pentest te laten uitvoeren. Volgens De Winter is dat bij een stabiele situatie goed, zolang daarbovenop ook continu wordt gescand op veranderingen en gevoeligheden. Maar er kan naast een pentest meer worden gedaan. ‘Een pentest is vooral een gelegenheid om dieper in de beveiliging te graven.’ Inzicht in hoe aanvallen binnenkomen bij gemeenten, geeft het volgens hem niet. ‘Soms worden ze matig uitgevoerd. Om echt inzicht te krijgen dient er ook geoefend te worden met aanvallen van buitenaf.’

Dát er jaarlijks een pentest plaatsvindt, zegt dus niet alles. Het gaat om hoe diep en hoe lang er is gekeken. Daarom is er gevraagd naar het budget voor pentesten. Dertien gemeenten geven aan, soms verwijzend naar advies van de Informatiebeveiligingsdienst (IBD), dat deze informatie vertrouwelijk is en niet kan worden beantwoord. De IBD laat weten inderdaad gemeenten te hebben geadviseerd geen informatie te geven over de budgetten voor pentesten omdat dat een uitnodiging zou kunnen zijn voor ‘talloze commerciële aanbiedingen’.

‘Hoezo kun je die vraag niet beantwoorden?’, reageert De Winter. ‘Een bedrag kan variëren, maar zegt niks over de uiteindelijke rapportages. Openheid van zaken geven hierover is juist belangrijk. Een volwassen organisatie kan prima verantwoording afleggen over deze vraag. Dat zij dit niet doen, rechtvaardigt bij mij de vrees dat er niet zo heel veel energie in wordt gestoken.’ Geheimzinnigheid wordt volgens hem zo gekoppeld aan onkunde, of vice versa.

‘Ze hoeven er niets over te zeggen en ze komen ermee weg. Ik heb bijvoorbeeld in mijn werk voor het ministerie van Volksgezondheid, Welzijn en Sport ervoor gezorgd dat de onderzoeken naar de CoronaMelder openbaar zijn gemaakt. Openheid en concreetheid gaan hand in hand. Als je dat niet kunt geven, dan moet je je zorgen maken.’ Hij verwijst hierbij naar het rekenkameronderzoek van de gemeente Utrecht, waar de kwetsbaarheden begin april zeer concreet werden gemaakt. ‘Je ziet het in hun beantwoording van de vragen in het onderzoek – ze zijn heel concreet in wat ze doen.’

Onvolwassen gedrag
Eén grote gemeente gaf bijvoorbeeld aan dat de zogeheten segmentering van het netwerk nog niet op orde is, maar dat hier wel aan wordt gewerkt. Het gevaar van slechte segmentering is dat je in één keer alles kwijt bent wanneer een partij binnen is. Vrijwel alle andere gemeenten gaven aan dat deze informatie ‘vertrouwelijk’ is of niet kon worden gedeeld volgens IBD-advies. De Winter: ‘Dan denk ik: leg eens uit waarom het je als gemeente kwetsbaar maakt? Als er al geen antwoord komt op deze vragen, hoed je dan maar voor de vragen die komen als het écht misgaat. Dit wekt een beeld alsof die gemeenten het maar gezeur vinden en zelf niet door hebben hoe kwetsbaar ze zijn.’ Besturen vinden het accepteren van kwetsbaarheid vaak nog moeilijk. De ethische hacker Wouter van Dongen vertelde in januari aan Binnenlands Bestuur dat zijn rapporten bij sommige organisaties leiden tot politieke spelletjes.

Men gaat vingerwijzen en sommige werknemers krijgen een andere positie. ‘Ik snap dat ze geïrriteerd zijn, dat het lijkt alsof ze hun werk niet goed doen, maar daar gaat het niet om’, aldus Van Dongen. De Winter zei naar aanleiding van zijn duidend rapport over Hof van Twente uit mei dat het stilzwijgen van problemen nog veel gebeurt, dat hij bij partijen komt die niet met problemen naar buiten willen treden. ‘Dat is niet goed.’ Hij vindt het dan ook kwalijk dat veel gemeenten bij sommige vragen geen openheid van zaken geven.

‘Een belangrijk deel van informatiebeveiliging is verantwoording afleggen van wat je aan het doen bent en hoe je organisatie is ingericht. Daar zijn normen voor. Op geen enkele vraag in het onderzoek hoef je exact aan te geven welke maatregel er wordt genomen. Als je gecoördineerd gaat roepen dat dit de veiligheid in het geding brengt, moedig je onvolwassen gedrag aan. Wanneer je de antwoorden niet geeft , kun je deze ook niet aan een gemeenteraad geven. Het lijkt me verstandig dat gemeenteraadsleden van deze gemeenten in actie komen omdat dit een signaal is dat het wel eens niet goed kan zitten.’

Alle gemeenten werken hard aan hun informatiebeveiliging, laat de IBD in een reactie weten. ‘De voorbeelden in dit artikel zijn herkenbaar, maar het is een beetje selectief winkelen. Dit artikel wekt de schijn dat het bij gemeenten in het bijzonder slecht is gesteld, terwijl de maatschappij als geheel een been zou moeten bijtrekken. Gemeenten zijn transparant over hun incidenten en bestuurders zijn zich bewust van hun verantwoordelijkheden rondom digitale veiligheid.’ De IBD benadrukt het belang van prioriteiten stellen: niet alles kan en zeker niet tegelijk. ‘Oefenen op incidenten is essentieel en daarom ontwikkelde de Vereniging van Nederlandse Gemeenten een Cyberoefenpakket.’

(klik op de afbeelding voor een vergroting)

Verantwoording: voor dit onderzoek zetten Binnenlands Bestuur en AG Connect vragen uit bij 50 gemeenten en 27 van hen reageerden. Vanwege de gevoeligheid van het onderwerp zijn hun namen niet vermeld. Het onderzoek vond plaats in april.