Hulde voor openheid Hof van Twente

In het duister van de digitale wereld zoeken criminelen naar zwakke plekken. Het kwetsbare Apache Log4j leert dat elke gemeente een potentiële Hof van Twente is. Al kunnen andere gemeenten leren van de openheid die in Twente werd betracht, analyseert BB-redacteur Alexander Leeuw.

Gemeenten houden cyberaanvallen vaak geheim

Hof van Twente kwam er niet genadig van af: de schade van de cyberaanval eind vorig jaar liep in de miljoenen, gevoelige data verdwenen en de ict-infrastructuur kon bij de schroot. Maar de gemeente besloot niet, zoals dat nog te veel gebeurt, de problemen stil te houden. Hof van Twente zocht de publiciteit. Pijnlijke conclusies werden getrokken, burgemeester Ellen Nauta gaf toe dat ze niet in control was terwijl ze dat wel dacht te zijn en een jaar lang was Hof van Twente het voorbeeld waarmee bestuurders bij de les van cyberbeveiliging werden gehouden. Zo kan de openheid van één gemeente de reden zijn dat een nog veel groter ict- debacle wordt voorkomen.

Een jaar nadat de losgeldbrieven in Hof van Twente uit de printers rolden, dient een nieuwe dreiging zich aan. Elke gemeente heeft volgens een inschatting van de Informatiebeveiligingsdienst te maken met het kwetsbare Apache Log4j. Zelfs onervaren hackers kunnen gemakkelijk computers kapen. Het Nationaal Cyber Security Centrum publiceerde een lange lijst leveranciers bij wie de kwetsbare loggingtool wordt gebruikt. Online zoeken kwaadwillenden naar ingangen en de ransomware morrelt aan de deur. Als het nog niet duidelijk was dat elke gemeente een potentiële Hof van Twente is, moet het dat nu wel zijn.

Uit de frequentie waarmee Hof van Twente wordt aangehaald, blijkt echter ook een manco: het blijft moeilijk om ict-problemen aan te kaarten. Een incident als Hof van Twente (en eerder in de gemeente Lochem) is tot op zekere hoogte bruikbaar, maar als de organisatie niet is doordrongen van het belang van goede cyberbeveiliging dan gebeurt er te weinig. Onlangs bleek uit onderzoek van de Eindhovense rekenkamercommissie dat het bestuur onvoldoende is betrokken en te weinig stuurt op privacy en informatiebeveiliging. Besturen moeten betrokken zijn én blijven. Niet slechts wanneer de dreiging gevoelsmatig even dichterbij lijkt.

Niet oefenen

Weinig gemeenten zijn openlijk zelfkritisch over de inzet voor cybersecurity. Om te achterhalen wat gemeenten werkelijk doen, vroegen AG Connect en Binnenlands Bestuur begin dit jaar 27 gemeenten naar hun maatregelen tegen cyberaanvallen. Bijna de helft blijkt niet te oefenen met aanvallen van buitenaf en bij een aanzienlijk deel ontbreekt een draaiboek voor wat te doen tijdens een cybercrisis. Slechts acht gemeenten deden in de afgelopen vijf jaar rekenkameronderzoek en zeven daarvan vonden kritieke kwetsbaarheden.

Gemeenteraden moeten cyberbeveiliging aankaarten. Maar ict is een abstract en complex onderwerp dat minder op het gevoel inwerkt dan bijvoorbeeld vluchtelingen of uitkeringen, dus bestaat het gevaar dat de overbezette raadsleden het onderwerp laten liggen. Het digitale is inmiddels echter zo alomtegenwoordig aanwezig dat problemen dáár kunnen resulteren in problemen overal. Niet voor niets heeft de toeslagenaffaire veel te maken met voortschrijdende techniek: de Belastingdienst heeft al jaren last van zwaar verouderde ict-systemen.

En er is geen grip op de gegevensverwerking: begin deze maand legde de Autoriteit Persoonsgegevens de Belastingdienst een boete op van 2,75 miljoen euro omdat jarenlang gegevens (de dubbele nationaliteit van aanvragers van kinderopvangtoeslag) zijn verwerkt op discriminerende en onrechtmatige wijze.

Tweede Kamer

De Tweede Kamer wil het gebrek aan draaiboeken en protocollen verhelpen: in april nam ze een motie aan voor een cyberverdedigingsprotocol voor gemeenten. Staatssecretaris Knops (Binnenlandse Zaken, CDA) reageerde in oktober dat hij de motie uitvoert, maar zegt in dezelfde brief dat hij niet inzet op één cyberverdedigingsprotocol, ‘omdat de ene situatie niet de andere is’. Eind oktober vragen Kamerleden Rajkowski en Strolenberg (beiden VVD) de staatssecretaris of hij niet alsnog werk wil maken van de aangenomen motie en voor een protocol wil zorgen. Knops, nooit om woorden verlegen, vertelt een verhaal dat hij werk maakt van de motie, maar dat één cyberverdedigingsprotocol geen goed idee is, en dat de huidige richtlijnen gemeenten eigenlijk al dwingen om dergelijke plannen op te stellen. Kort samengevat: ik ga het doen, maar ik doe het niet, en het is er al.

Het resulteert niet in beter voorbereide gemeenten. De alternatieven die Knops aandraagt zijn oplossingen die niet de vinger op de zere plek leggen: kaders, bewustwording, kennisdeling. Het normenkader van de BIO, waardoor gemeenten driftig aan de slag kunnen met vinkjes zetten. De ENSIA-zelfaudits die niemand snapt. Het gaat om oefenen – dat benadrukte ook burgemeester Nauta van Hof van Twente in reactie op de onderzoeksresultaten van AG Connect en Binnenlands Bestuur. Knops heeft het in zijn suggesties wel over oefenen, maar hij heeft het over de overheidsbrede cyberoefening en oefenpakketten van Binnenlandse Zaken. Het valt te betwijfelen of dat oefeningen zijn die het vuur aan de schenen leggen.

Gemeenten moeten op zoek naar manieren om de beveiliging écht te testen. Geef ethische hackers de vrijheid. Keer op keer komen ze binnen – zoals ook bleek uit het Utrechtse rekenkamerrapport ‘Zo sterk als de zwakste schakel’ – en pas wanneer zo’n rapport met zo’n titel de vinger op de zere plek legt, komt er verandering.

Red teaming

Oefen met situaties waarin het fout gaat. Burgemeester Kees van Rooij van Meierijstad, waar ze volgend jaar met red teaming willen beginnen, noemde een interessante reden om te oefenen: hij merkt dat het een tijd duurt voordat men doorheeft dat het een cyberaanval is. Spam en storingen zijn er immers voortdurend. Door het in de praktijk te ervaren, komen mensen tot dat soort inzichten. Er is een nieuw soort ondermijning bijgekomen, zei burgemeester Nauta, en daar moet je wel op oefenen.

Oefenen is niet de oplossing, maar oefenen wijst uit of de oplossingen werken. Maatregelen als kaders, bewustwording, en kennisdeling zijn nodig, maar pas bij testen wordt duidelijk of het voldoende is. Plannen maken is belangrijk, maar de waarde blijkt pas in de praktijk. Het is zoals Mike Tyson zei: iedereen heeft een plan, totdat ze op hun bek worden geslagen. Hiervoor is openheid nodig. De bereidheid om de eigen organisatie echt te testen. Te vaak worden de resultaten van ethische hackers gemasseerd of stilgehouden. Erken de zwakke schakels en werk aan oplossingen. Laat die oplossingen weer testen. Wees open over wat er goed en fout gaat. Hof van Twente heeft dat afgelopen jaar gedaan en dat moet een voorbeeld zijn voor alle gemeenten.