Meer openheid als verdediging tegen cyberaanvallen

ANALYSE - Een jaar nadat de losgeldbrieven in Hof van Twente uit de printers rolden, dient een nieuwe dreiging zich aan. Elke gemeente heeft, volgens een inschatting van de Informatiebeveiligingsdienst, te maken met het kwetsbare Apache Log4j. Zelfs onervaren hackers kunnen gemakkelijk computers kapen. Als het nog niet duidelijk was dat elke gemeente een potentiële Hof van Twente is, moet het dat nu wel zijn.

Kritieke kwetsbaarheden

Weinig gemeenten zijn openlijk zelfkritisch over de inzet voor cybersecurity. Om te achterhalen wat gemeenten werkelijk doen, vroegen AG Connect en Binnenlands Bestuur begin dit jaar 27 gemeenten naar hun maatregelen tegen cyberaanvallen. Bijna de helft blijkt niet te oefenen met aanvallen van buitenaf en bij een aanzienlijk deel ontbreekt een draaiboek voor wat te doen tijdens een cybercrisis. Slechts acht gemeenten deden in de afgelopen vijf jaar rekenkameronderzoek en zeven daarvan vonden kritieke kwetsbaarheden.

 

Abstract

Gemeenteraden moeten cyberbeveiliging aankaarten. Maar ict is een abstract en complex onderwerp dat niet op het gevoel inwerkt zoals bijvoorbeeld vluchtelingen of uitkeringen, dus het gevaar is dat raadsleden, die toch al te veel te doen hebben, het onderwerp laten liggen. Het digitale is inmiddels echter zo alomtegenwoordig aanwezig dat problemen dáár kunnen resulteren in problemen overal.

 

Protocol

De Tweede Kamer wil het gebrek aan draaiboeken en protocollen verhelpen: in april nam ze een motie aan voor een cyberverdedigingsprotocol voor gemeenten. Staatssecretaris Knops (Binnenlandse Zaken, CDA) reageerde in oktober dat hij de motie uitvoert, maar zegt in dezelfde brief dat hij niet inzet op één cyberverdedigingsprotocol, ‘omdat de ene situatie niet de andere is’. Eind oktober vragen Kamerleden Rajkowski en Strolenberg (beiden VVD) de staatssecretaris of hij niet alsnog werk wil maken van de aangenomen motie en voor een protocol wil zorgen. Knops, nooit om woorden verlegen, vertelt een verhaal dat hij werk maakt van de motie, maar dat één cyberverdedigingsprotocol geen goed idee is, en dat de huidige richtlijnen gemeenten eigenlijk al dwingen om dergelijke plannen op te stellen. Kort samengevat: ik ga het doen, maar ik doe het niet, en het is er al.

 

Vinkjes zetten

Het resulteert niet in beter voorbereide gemeenten. De alternatieven die Knops aandraagt zijn oplossingen die niet de vinger op de zere plek leggen: kaders, bewustwording, kennisdeling. Het normenkader van de BIO, waardoor gemeenten driftig aan de slag kunnen met vinkjes zetten. De ENSIA-zelfaudits die niemand snapt.

 

Oefenen

Het gaat om oefenen - dat benadrukte ook burgemeester Nauta van Hof van Twente in reactie op de onderzoeksresultaten van AG Connect en Binnenlands Bestuur. Knops heeft het in zijn suggesties wel over oefenen, maar hij heeft het over de overheidsbrede cyberoefening en oefenpakketten van Binnenlandse Zaken. Het valt te betwijfelen of dat oefeningen zijn die het vuur aan de schenen leggen.

 

Zwakste schakel

Gemeenten moeten op zoek naar manieren om de beveiliging écht te testen. Geef ethische hackers de vrijheid. Keer op keer komen ze binnen – zoals ook bleek uit het Utrechtse rekenkamerrapport 'Zo sterk als de zwakste schakel' – en pas wanneer zo’n rapport met zo’n titel de vinger op de zere plek legt, komt er verandering.

 

Plannen

Oefenen is niet de oplossing, maar oefenen wijst uit of oplossingen werken. Maatregelen als kaders, bewustwording, en kennisdeling zijn nodig, maar pas bij testen wordt duidelijk of het voldoende is. Plannen maken is belangrijk, maar de waarde blijkt pas in de praktijk. Het is zoals Mike Tyson zei: iedereen heeft een plan totdat ze op hun bek worden geslagen.

 

Openheid

Hiervoor is openheid nodig. De bereidheid om de eigen organisatie echt te testen. Na de oefening is ook openheid nodig. Te vaak worden de resultaten van ethische hackers gemasseerd of stilgehouden. Erken de zwakke schakels en werk aan oplossingen. Laat die oplossingen weer testen. Wees open over wat er goed en fout gaat. Hof van Twente heeft dat afgelopen jaar gedaan en dat moet een voorbeeld zijn voor alle gemeenten.

 

Dit is een ingekorte versie van het artikel uit nummer 24 van Binnenlands Bestuur. Lees hier de volledige versie.