Digitale veiligheid chefsache

Cyberburgemeesters bepleiten centrale regie

Deze maand presenteerden veertien cyberburgemeesters een pamflet, waarin ze vragen om één bewindspersoon en één beleidsdepartement die landelijke regie voeren op digitale veiligheid. Van Rooij noemt cyberveiligheid een ‘impliciete opgave’. ‘Bij elk onderdeel van de samenleving zit een digitale component. Het gaat niet alleen om hacks en spionage – de digitale component wordt bij steeds meer verschillende onderdelen belangrijk. Bij alle vraagstukken, bij huiselijk geweld, in de openbare orde, is steeds meer cyberinvloed. Voor alle inwoners wil je een veilige woon- en werkomgeving, maar in integrale veiligheidsplannen komt cyber nauwelijks voor.’ Veel is ongrijpbaar en onzichtbaar. Een tasjesroof heeft impact, maar whatsappfraude is minder zichtbaar.

Daardoor is men geneigd het minder erg te vinden. Maar is dat terecht? ‘We zien het in aangiftebereidheid: de cijfers in de statistieken exploderen’, zegt Nienhuis. ‘Mensen voelen zich onzeker. Wij merken dat er veel persoonlijk leed is. Het thema van nulletjes en eentjes dringt in elk facet van een mensenleven door.’ En wat in Hof van Twente gebeurde, kan overal gebeuren. ‘Criminelen schieten met hagel. Als je pech hebt, als overheid of particulier, merk je het pas als je wordt geraakt. Je was de zwakste schakel.’

Goede voorbeeld
De gemeente moet volgens Nienhuis het goede voorbeeld geven en ‘het eigen huis op orde’ hebben. Dat vergt versterking van digitale dijken. ‘Het is een vast onderdeel van ons werk ons af te vragen: waar zit dat cybergedeelte? De digitale component wordt steeds belangrijker dan het fysieke deel.’ Met de Informatiebeveiligingsdienst voor gemeenten (IBD) en de VNG zijn initiatieven opgestart met rapportages, versteviging van de rol van de chief information & security officer (ciso) en verbinding met openbare orde en vei ligheid (OOV) en ict. Maar nog steeds zijn er incidenten in gemeenteland. ‘Hof van Twente en Lochem zijn voorbeelden. Je denkt dat je veilig bent, maar in de praktijk ben je toch kwetsbaar.’

Digitaal moet daarom chefsache worden voor de burgemeester, als direct verantwoordelijke voor het regisseren van lokaal veiligheidsbeleid inclusief de aanpak van cybercrime en gedigitaliseerde criminaliteit. ‘De gêne moet eraf bij burgermoeders en burgervaders. Inwoners willen weten waar ze op moeten letten, hoe ze zich kunnen beschermen. Mensen voelen zich veel kwetsbaarder dan in het verleden.’

Het ‘eigen huis op orde’ krijgen is een taak van elke burgemeester. Onlangs werden burgemeesters in Noord-Holland bijgepraat door een delegatie van het door een hack getroffen Hof van Twente. Burgemeesters, gemeentesecretarissen en ciso’s spraken met hun eigen beroepsgroep. Zo kon men in de eigen gemeente bedenken: had ons dit kunnen overkomen? De versnipperde beleidsaanpak op landelijk niveau helpt niet om het onderwerp versneld aan te pakken. ‘Door corona is er een extra versnelling geweest in de digitale wereld. Daar is weerwoord op nodig: centrale regie, structureel geld en een integraal programma.’

Lastig
Maar niet elke uitgenodigde burgemeester was erbij. In hoeverre realiseren burgemeesters zich eigenlijk dat er een probleem is? ‘Wij merken dat burgemeesters het op een aantal punten nog lastig vinden’, zegt Van Rooij. ‘Het is ongrijpbaar voor ze. Ze zoeken naar handelingsperspectief: wat kunnen we doen? Het is niet zo dat er geen belangstelling is, maar men zoekt handvatten. Daarom pakken we de missionarisrol op. Om te verbinden en te delen.’ Niche-onderwerpen beginnen vaak klein, maar via een sneeuwbaleffect neemt het anderen mee, ziet Nienhuis. ‘Het is niet erg dat ze er niet bij waren. Het is beter dat je zelf die urgentie voelt dan dat het je wordt aangepraat. Maar de ervaringsdeling heeft er wel toe geleid dat ze beseften: we hadden erbij moeten zijn.’

De cyberburgemeesters willen cyberveiligheid in plannen versterken, maar de urgentie moet ook in de gemeenteraden doordringen. Nienhuis: ‘Als digitaal chefsache is, geldt dat ook voor de raad. Het is een ondergeschikt onderwerp, maar het moet op de agenda. Gemeenteraden moeten cyberveiligheid oppakken. De impact op de samenleving komt nu te weinig voor het voetlicht. We moeten mensen weerbaarder maken. Daar hebben de gemeenteraden wat te doen. En daarom moeten we de krachten bundelen en structurele programma’s opzetten. Dat is het motief voor ons pamflet. De tijd van pilots is voorbij.’

Het onderwerp ontstijgt de individuele gemeente. Kwetsbaarheden kunnen immers bij een van de vele overheidspartners zitten, maar ook voor de oplossingen kijkt men buiten gemeentegrenzen. ‘We hebben in Noord-Holland een ontzettend mooi project gedraaid: ‘HackShield en de gemeente’, vertelt Nienhuis. Deze game, ontwikkeld met verschillende organisaties, maakt kinderen en hun omgeving bewuster van cybercriminaliteit. ‘Echt fantastisch. Wij willen landelijke dekking met de game, maar dat heeft veel voeten in de aarde.

Op verschillende gebieden werken we met private partijen, in proeftuinen en city deals, maar het zou mooi zijn om te zeggen: we gaan deze kekke proef duurzaam binnen de overheid bestendigen. Daar lopen private partijen enorm tegenaan: we initiëren iets, maar kunnen het niet snel doorzetten.’ HackShield geeft volgens Van Rooij veel openingen bij gemeenten. ‘Het kan op veel fronten met publiek-private samenwerking, maar het is fijn voor private partners om een bepaalde mate van voorspelbaarheid te hebben.’

Kern van het verhaal is: centrale regie. ‘Het risico voor individuele gemeenten is dat zij bijvoorbeeld afgaan op de informatie uit ENSIA-beveiligingsaudits’, zegt Nienhuis. Het was een van de dingen die misging in Hof van Twente: de stuurinformatie leek aan te geven dat alles in orde was. Daarom had het bestuur niet door dat er iets niet klopte. ‘We moeten centraal normen afspreken en daar structureel de financiering op inrichten.’

Versplinterd
Maar dit thema is op rijksniveau versplinterd georganiseerd, het thema is bij vier ministeries belegd. De Cyber Security Raad stelde onlangs als centrale regie niet een minister Digitale Zaken voor, maar een ministeriële onderraad. Zijn de cyberburgemeesters het daarmee eens? ‘Het gaat ons om een blik over de volle breedte’, zegt Van Rooij. ‘De vorm laat ik aan anderen.’ Ook de vraag of er extra (online) bevoegdheden nodig zijn voor burgemeesters blijft nog boven de markt hangen, al is er in de samenwerking met Noord Holland Samen Veilig (regionaal samenwerkingsverband) Noord-Holland wel gesproken over een ‘interventiekaart’ en de inzet van ‘vliegende brigades’.

Hoe dan ook, dit is hét moment. ‘We onderschrijven wat de Cyber Security Raad meldt en delen onze lokale ervaringen. Wij vinden het belangrijk dat alle gemeenten, groot en klein, op basisniveau gelijk worden getrokken. Dat kan alleen met centrale regie, structureel geld en aandacht. Het moet tijdens deze formatie gebeuren.’ En als dat niet zo is? ‘Dan hobbelen we weer vier jaar achter de feiten aan.’