‘Cyberveiligheid is geen magie’

Zeeland organiseert maand van de weerbare overheid

Koning Willem-Alexander bezoekt een Zeeuwse gemeente. Dat blijkt aanleiding voor Russische hackers om de havensystemen plat te leggen. Aan Zeeuwse bestuurders de taak om pijnlijke krantenkoppen te voorkomen, in een moeizame cyberoefening.

Tout bestuurlijk Zeeland komt opdraven in het Provinciehuis in Middelburg voor de opening van de Zeeuwse maand van de weerbare overheid, van 14 september tot 13 oktober 2023. Een deel van de genodigden heeft al een veiligheidsberaad achter de rug, gevolgd door beraad over Oekraïners, en nu schuiven ze aan voor een presentatie over cybercrime. Tijdens de maand staan verder onder meer een Escapeboot, een bijeenkomst Veilig Publieke Taak en een Regionale Deskundigheidsdag Radicalisering op het programma. Het laat zien hoe breed het thema weerbaarheid is.

In maart 2022 hebben alle dertien Zeeuwse gemeenten, Waterschap Scheldestromen en de provincie de ‘Zeeuwse norm weerbare overheid’ ondertekend. Er zijn ambities op negen thema’s, met als doel om de dijken overal even hoog te maken. Of het nu is om te voorkomen dat criminelen gaan shoppen onder vergunningverleners, of om de kwetsbare plekken in de online dienstverlening op te sporen, Zeeland werkt samen.

Commissaris van de koning Han Polman is trots dat het zijn provincie lukt om weerbaarheid op de kaart te zetten. In zijn openingstoespraak vertelt hij dat de voormalig minister van Binnenlandse Zaken Hanke Bruins Slot andere provincies stimuleert om de Zeeuwse aanpak over te nemen. Alles staat of valt met vertrouwen, houdt Polman zijn gehoor voor. Burgemeester Marga Vermue van Sluis merkt op dat de overheid nog achterloopt in digitale weerbaarheid, en dat het vertrouwen in de overheid in mum van tijd kan verdwijnen als iemand misbruik maakt van die lacune.

Verouderde systemen

Hoe misbruik in zijn werk gaat, laat Brenno de Winter zien, de chief information security officer (CISO) bij het ministerie van Volksgezondheid, Welzijn en Sport. De Winter toont een video die hij van ‘bronnen bij de geheime diensten’ heeft bemachtigd. In deze video overleggen vier ‘Russische hackers’, waarvan er eentje verdacht veel lijkt op De Winter zelf, hoe ze de komst van koning Willem- Alexander naar de gemeente Natte Meren kunnen ondermijnen. Ze overwegen de inzet van malware om de verouderde systemen van de gemeente plat te leggen. Eén geopend pdf’je is genoeg om een ramp in gang te zetten.

De Winter pauzeert de video en vraagt zijn gehoor hoe vergezocht het scenario is. Komt Windows XP nog voor bij de Nederlandse overheid? Het blijft even stil in de zaal. Dan merkt iemand op dat de systemen voor klimaatbeheersing vaak draaien op verouderde systemen. ‘Ik heb meer dan 2000 datalekken onderzocht, en ik stuit eigenlijk altijd op hetzelfde,’ reageert De Winter. ‘Verouderde software, nietgescheiden netwerken en er wordt niet overal meerfactorauthenticatie toegepast. Een systeem moet zó goed zijn dat je het in een vliegtuig durft te stoppen en er dan zelf in durft te stappen.’

De hackers in de video beramen een tweede plan: in plaats van een rechtstreekse aanval op de gemeente, kiezen ze voor de softwareleverancier van Natte Meren, die niets heeft gedaan met een melding van een kwetsbaarheid. Na zestig dagen mogen ethische hackers hierover publiceren – wat ze dus ook doen. Kassa voor de Russen: de coordinated vulnerability disclosure keert zich tegen de leverancier. ‘Zijn er geen normenkaders?’ vraagt een van de Russen, waarop de rest in lachen uitbarst. ‘Als er nieuwe cyberwetgeving in aantocht is, vraagt de gemiddelde bestuurder om extra tijd. Alsof hackers extra tijd geven.’

Deprimerend

Deprimerend nieuws voor bestuurders. Om het nog erger te maken, vertelt De Winter dat de burgemeester van Hof van Twente voorafgaand aan de hack op zijn gemeente op geen enkel moment een signaal kreeg dat er iets niet in orde was. ‘Er was betaald voor een pentest, al was er niet werkelijk getest,’ aldus De Winter.

‘Sommige hackers doen aan “magie”; ze zeggen wel dat ze kijken, maar ze liegen. Hoe had die bestuurder dan moeten weten dat er iets niet goed ging?’ Zijn boodschap aan CISO’s is dat ze tijdig aan de bel moeten trekken. Andersom moeten bestuurders vervolgens wel iets doen met waarschuwingen, of die nu van CISO’s komen of van ethische hackers.

Maar hoe weet je of er deugdelijk wordt getest bij een audit? De Winter: ‘Net als bij een apk-keuring wil je een lijstje ontvangen van de testen die zijn gedaan en het resultaat per test. Europese regelgeving is onderweg, maar tot die tijd is het een kwestie van veel vragen stellen. Waar kijk ik naar? Wat mag ik hier voor rechten aan ontlenen? Als koper bent u aansprakelijk.’

De boodschap komt hard aan bij Erik van Merrienboer, burgemeester van Terneuzen en voorzitter van de Veiligheidsregio. ‘Als je een speelterrein inricht, gelden er strenge normen, tot aan het speelzand aan toe. In allerlei branches is de normering volstrekt geregeld. Dat dit bij software niet het geval is, vind ik shocking.’

In de video hebben de hackers een nieuw plan opgetuigd. Geen betere installatie van malware dan door het personeel zelf. Benader de systeembeheerder die een promotie is misgelopen, raden de hackers elkaar aan, of koop de oude laptop van de systeembeheerder die boos is vertrokken. Leg een lijstje aan van medewerkers met financiële problemen, of met warme gevoelens voor Poetin.

Zwakste schakel

Is de mens inderdaad de zwakste schakel? Niet voor het eerst blijft het lang stil in de zaal. Frederiek Schouwenaar, burgemeester van Veere, zegt ten slotte dat haar collega’s en zijzelf wat terughoudend zijn om het woord te voeren omdat ze een gebrek aan kennis ervaren. ‘Een bestuurder is een duizenddingendoekje, geen expert.’ Ze voegt er meteen aan toe dat je niet bang moet zijn om vragen te stellen en je kwetsbaar te maken. ‘Je hebt een apparaat nodig dat het jou durft te zeggen als er een probleem is. Dat is de essentie van de weerbare overheid.’

Uiteindelijk zijn de bestuurders wel verantwoordelijk, pareert De Winter. Het leidt tot een geanimeerde discussie over de recente hack bij de KNVB, waarbij de voetbalbond betaalde om te voorkomen dat paspoortgegevens en salarisstroken van bekende voetballers op straat zouden liggen.

Volgens de voorzitter van de Autoriteit Persoonsgegevens hadden ze niet mogen betalen. Die afweging ligt voor een bedrijf anders dan voor een overheid, houdt De Winter de zaal voor. Wie is er bereid om een miljoen aan publiek geld aan criminelen over te maken?

‘We oefenen allemaal, maar het blijft ongrijpbaar wat de consequentie van een cyberaanval kan zijn’, zegt iemand in de zaal. ‘Ik word er zenuwachtig van.’ Dat is precies van De Winter wil. ‘Ik hoop dat jullie één nacht ongemakkelijk slapen en morgen staan voor je verantwoordelijkheid. Maar maak cyberveiligheid ook niet ingewikkelder dan het is. De vraag “wat doet deze software” kun je prima stellen in je eigen gemeente. Het is geen magie.’

De hackers slagen in hun opzet. De haven van Natte Meren ligt plat en de douane moet alle containers met de hand doorzoeken. Door deze chaotische toestand ziet de koning liever af van het langverwachte bezoek. Aan de zaal de opdracht om er een ronkende krantenkop bij te bedenken. ‘Nalatig bestuur zet koning in onderbroek’? ‘Cyberburgemeester valt door de mand’?

Het doel van de exercitie is vooral om duidelijk te maken hoe een ‘ongrijpbaar’ fenomeen als cyberveiligheid tot reële fysieke gevolgen leidt. Russische inmenging is niet denkbeeldig en zelden subtiel, benadrukt De Winter. ‘Wat ik van deze dag meeneem, is dat je echt moed moet hebben om door te vragen’, zegt burgemeester Schouwenaar na afloop. ‘Als we dingen spannend vinden, richten we een proces in en dan denken we dat we het hebben geregeld. Maar je moet denken in scenario’s. Wat als het misgaat, welke stappen hadden we moeten nemen om dat te voorkomen? Daar heb ik nu wel stress van. Dat ga ik nog wel navragen bij onze CISO: doen wij er echt alles aan?’