‘Oefenen met cyberaanvallen absoluut van belang’

Lang niet alle gemeenten oefenen met cyberaanvallen van buitenaf en ze hebben ook niet altijd draaiboeken klaarliggen, zo bleek uit onderzoek van Binnenlands Bestuur en AG Connect. Gemeente Hof van Twente maakte een hack met rampzalige gevolgen mee en krijgt sindsdien vele vragen van andere organisaties. Hoe belangrijk is het volgens een ervaringsdeskundige om goed voorbereid te zijn?

‘We voelen ons op dit moment een soort missionarissen’, vertelt burgemeester Ellen Nauta van Hof van Twente. Ze reageert graag op de onderzoeksresultaten. Hof van Twente probeert zoveel mogelijk aandacht te vragen voor het belang van goede cybersecuritymaatregelen. Daar horen goede draaiboeken en grondige crisisoefeningen bij. En die ontbreken nog te vaak.

 

Hoe kijkt u aan tegen de resultaten van ons onderzoek, waaruit blijkt dat gemeenten vaak geen draaiboek hebben en niet oefenen tegen cyberaanvallen?

Nauta: ‘Toen we werden gehackt, was gemeente Hof van Twente al aan het oefenen, maar dat was mondjesmaat vanuit de Veiligheidsregio. De eerste dagen na een hack weet je niet wat je overkomt, maar op een gegeven moment bedenk je dat je bent getraind op dergelijke situaties. Er komt een operationeel leider binnen die rust brengt en de teams inricht, zodat iedereen weet welke rol ze moeten vervullen. Dat is de waarde van oefenen. Organisaties zoals gemeenten moeten zich daarvan bewust zijn.’

 

Is daar een speciale digitale training voor nodig of is de algemene crisistraining voldoende?

‘Ik denk niet dat we genoeg hebben aan standaardtrainingen. De structuur met een operationeel leider klopt wel, maar het onderwerp en de impact zijn anders. Het is niet één ding dat gebeurt - het raakt alle ingangen en uitgangen. Er is een ander soort ondermijning bijgekomen. En daar moet je wel op trainen.’

 

We vroegen ook of het bestuur periodiek op de hoogte wordt gehouden van cybersecurity. Een deel gaf aan dat dat niet gebeurt.

‘Wij dachten aardig op de hoogte te zijn. Wat ik me na afloop voortdurend heb afgevraagd was welke vraag ik niet had gesteld. Want je krijgt keurig je ENSIA-rapporten, en er worden penetratietesten uitgevoerd, dus je veronderstelt dat je goed bezig bent. Dat heb ik uit deze hele crisis als bestuurder geleerd: je moet andere vragen stellen.’

 

We zagen ook dat veel gemeenten voor hun rapportage vooral vertrouwen op ENSIA-rapporten. Dat is dus niet voldoende?

‘Zo’n ENSIA-rapport geeft een deel van de werkelijkheid weer en het bevat niet de hele risicoanalyse die je nodig hebt. Je hebt een vertaler nodig en dat merken wij nog steeds elke dag. Er is hier nu een team van deskundigen dat als een soort aorta rondloopt om de boel weer op poten te zetten en zij spreken een andere taal dan de gemiddelde bestuurder en ambtenaar in Nederland. Er moet een goede vertaler tussen zitten die aangeeft wat het risico is dat je loopt en wat je kunt doen.’

 

Krijgen jullie veel vragen van andere gemeenten?

‘Ja. We krijgen vragen van gemeenten, van Veiligheidsregio’s, van CISO’s, van woningstichtingen, van non-profitorganisaties, noem maar op. We gaan op zo veel mogelijk verzoeken in omdat we het belangrijk vinden uit te leggen wat het doet met een organisatie als je wordt gehackt. Als je het hebt over ondermijning dan is dit er wel een.’

 

Om wat voor vragen gaat het dan?

‘Van alles. Bijvoorbeeld over wat je als eerste moet doen als je bent gehackt of wie je moet bellen - wat ik het ‘briefje op de gasmeter’ noem. Daar heeft de Informatiebeveiligingsdienst ook een draaiboek voor. Maar het kunnen ook heel andere vragen zijn, zoals wat we uitgaven aan ict, of we een benchmark hebben gehouden, hoe de aanval begon, dat soort dingen. En over losgeld hebben we ook veel vragen gehad.’

 

We merkten veel ongemak over onze vragen bij gemeenten, met name over hoeveel geld ze uitgeven aan pentesten en over welke veiligheidsmaatregelen (zoals het scheiden van servers) ze gebruiken. Is dat terecht?

‘Nee. Wat je uitgeeft aan ict staat als het goed is gewoon in de begroting en we zijn inmiddels zo ver dat iedereen segmentatie moet hebben. Wat wel terecht is dat je niet álle techniek laat zien. Op welke systemen zit segmentatie en tweefactorauthenticatie? Dat noem ik de achterkant van de keuken en dat je niet de hele keuken laat zien, dat begrijp ik.’

 

Hoe voorkom je dat je te veel afhankelijk wordt van leveranciers en audits als het gaat om cybersecurity? Hoe blijft de gemeente zelf in control?

‘Dat is een goede vraag, want voor je het weet stap je van de ene afhankelijkheid in de andere. Kleine gemeenten hebben meestal geen batterij hooggeschoolde ict’ers beschikbaar. Wat ze wel kunnen doen, is vragen stellen. Vraag de ict-leverancier om in een analyse inzichtelijk te maken welke risico’s je loopt en neem iedereen daarin mee. En wij denken bijvoorbeeld aan financiën, waar keurige auditcommissies zijn. Bij ict hebben we die niet en die zouden er misschien wel moeten zijn. Daar kijken we nu naar.’

 

Hoe ziet komende periode eruit, waarin de gemeente herstelt van de gebeurtenissen?

‘Wat we nu aan het doen zijn met het team dat als een aorta rondloopt, is het systeembeheer klaarmaken. Ik noem het beton storten zodat mensen niet meer houtje-touwtje hoeven te werken. Het zal nog zeker tot in het najaar duren. En vervolgens moeten we de systemen vullen met data en dat duurt in het zwartste geval nog een jaar langer. Dus we zijn in 2022 zeker nog bezig.’

 

Wat viel u verder op aan ons onderzoek?

‘De rekenkamers. Die onderzoeken deze materie niet. Cybersecurity is een heel actueel onderwerp, maar ik begrijp best dat rekenkamercommissies er huiverig voor zijn. Je hebt expertise nodig en die ontbreekt vaak.’