‘Overheidsdata het nieuwe goud’

Overheden moeten zich beter realiseren wat ze te verliezen hebben, meent cyberveiligheidsadviseur van Deloitte generaal b.d. Dick Berlijn. Dan zouden ze zich meer bekommeren om de veiligheid van het internet.

Dick Berlijn (66) zit na zijn pensionering als eerste commandant der strijdkrachten niet stil. En niet om golfballetjes te slaan in Key Biscane. Vanochtend was de cyberveiligheidsadviseur van Deloitte in de hoofdstad om er met burgemeester Van der Laan en korpschef Aalbersberg te praten over de kansen van gemeenten binnen het internet der dingen.

‘De interactie tussen apparaten die zijn verbonden met internet gaat ons geweldig inzicht geven in de wereld om ons heen. Nu hangen nog 15 miljard apparaten aan het internet, over vier jaar zijn dat er 50 miljard. Denk aan alledaagse dingen als medische apparatuur, koelkasten en verwarming, maar ook aan auto’s, lantarenpalen, camera’s en drones – noem maar op. Ook gemeenten gaan daarvan profiteren. Als je je gedachten laat gaan, zijn de mogelijkheden fenomenaal.’

De burgemeester van Amsterdam realiseert zich volgens de senior board advisor van Deloitte ‘verrekte goed’ dat zijn stad de vruchten kan plukken van de wisselwerking tussen apparaten die zijn verbonden met internet en wil daarin ook investeren. Want, zegt Dick Berlijn, ‘bestuurders kunnen binnen het internet der dingen voor een slimme oplossing kiezen en zich veel preciezer op problemen richten, in plaats van, zoals nu gebeurt, een schot hagel af te vuren en maar zien wat er gebeurt.’

Hij noemt het beter organiseren van verkeersstromen of het oplossen van de parkeerproblemen. ‘Maar we zullen ook beter op de hoogte zijn van maatschappelijke ontwikkelingen, zoals het radicaliseren van groepen, en deze veel sneller kunnen bijsturen.’

Generaal b.d. Berlijn wil graag in een wereld leven waarin alles slim aan elkaar hangt. ‘We kunnen efficiënter werken, onze leefomgeving verbetert en de zorg wordt beter.’ Maar, zegt Berlijn erbij, dan moet die digitale omgeving wél stabiel en veilig zijn. Dat is het internet nu niet en Berlijn weet ook dat cybercriminelen binnen het internet der dingen helemaal de tijd van hun leven krijgen.

Waardeverlies
Consumenten vinden veiligheid en privacy immers minder belangrijk dan de prijs van hun slimme apparaten. En daar betalen we alsnog de rekening voor. Berlijn: ‘Deloitte schat het totale waardeverlies door cybermisdaad voor de grootste Nederlandse bedrijven en de overheid nu op tien miljard euro per jaar. De publieke sector lijdt een verwacht jaarlijks waardeverlies van 2,4 miljard. Probleem is dat bestuurders in het bedrijfsleven en in het openbaar bestuur onvoldoende idee hebben tot welk waardeverlies een hack of systeeminfectie door omzetverlies, imagoschade, afkalven van vertrouwen kan leiden.’

Het besef is er zo langzamerhand wel dat internetcriminaliteit een dagelijks en duur gevaar is, maar als het aankomt op het nemen van maatregelen, is de cyberveiligheidsadviseur van Deloitte ‘niet zo positief’. Waarom niet? Dick Berlijn: ‘De voorbereidende maatregelen zijn geen garantie dat je niet aan de beurt komt. Misschien worden er aan de voorkant wel maatregelen genomen, maar we moeten ook kunnen waarnemen dat er iets raars gebeurt met onze netwerken en onze data.

Als je de problemen kunt waarnemen, kun je ook een antwoord geven. Maar bestuurders kijken vaak naar de punten van hun schoenen als ik daarover begin.’

Net als bedrijven moeten (semi)overheden razendsnel kunnen reageren op cyberinbraken, meent Berlijn. ‘Als je dat niet lukt, neemt de schade toe en verlies je het vertrouwen van de burgers. Overheden zijn geen commerciële bedrijven, maar ook hún data zijn het nieuwe goud. Kijk naar ziekenhuizen, die lang niet allemaal hun lesje hebben geleerd. Ze zitten op een berg informatie en denken: “Wie kan het nou op ons gemunt hebben; we maken alleen maar mensen beter.” Dat is naïef, want ook hun informatie is goud en verhandelaar op de zwarte markt.’

Verlamd
Het Hollywood Presbyterian Medical Center betaalde chanteurs begin dit jaar 17 duizend dollar in bitcoins om weer bij hun data te kunnen. Ze waren verlamd. Een school in North Carolina betaalde 10 duizend dollar losgeld. Een politiestation in Massachusetts 500 dollar. ‘Dat zien we hier ook gebeuren. Criminelen zoeken nieuwe markten.’ Geen paniek, voegt Berlijn eraan toe. ‘Maak vooral gebruik van alle mogelijkheden die het internet biedt, maar beschouw veiligheid als een absolute randvoorwaarde om die prachtige nieuwe toekomst mee te maken. Tot nu hebben we de beloften van de digitale omgeving omarmd zonder na te denken over de kwetsbaarheden. Dat mag ons niet gebeuren met het internet der dingen.’

Gemeenten, groot en klein, kunnen de digitale veiligheid goed organiseren, aldus Berlijn. ‘Maar vaak merk je dat men niet goed weet hoe het moet worden aangepakt. Ons advies is steeds: vraag om hulp. Dat kan Deloitte doen, maar ook bedrijven als FOX-iT of Hoffmann Security.’

Hulp bijvoorbeeld bij het organiseren van crisisoefeningen waarbij inbrekers data stelen of een chantagevirus zich invreet in het gemeentelijke netwerk. Dick Berlijn: ‘We gaan naar gemeenten en praten over de verantwoordelijkheden van bestuurders. Wat zou je op zijn minst moeten doen, op welke manier laat je je doorlichten en welk stappenplan heb je om van de ad-hoc naar de in-controlesituatie te gaan? En we lopen crisismanagementscenario’s door. Ik heb er gisteren nog eentje mogen verzorgen.’

Wat is er met de gegevens op een server gebeurd? Hoe reageert een managementteam? Berlijn: ‘Komt een mailtje binnen dat de server al vijf maanden openstond. Vervolgens blijkt dat een ontslagen werknemer boos is vertrokken. We kijken hoe een managementteam omgaat met een worst case cyberscenario. Hebben jullie überhaupt weleens naar scenario’s gekeken? Nagedacht wie het op jullie gemunt kan hebben? Is er een reactieteam? Is er nagedacht over een persmoment? Realiseert u zich dat er sinds januari een wet is over datalekken en dat u zo’n lek direct moet melden bij de Autoriteit Persoonsgegevens?’

Door het ijs
Menig managementteam zakt tegen die tijd door het ijs, ervaart Berlijn. ‘Ze denken dat ze professioneel genoeg zijn om het cyberprobleem improviserend te lijf kunnen. Dat is niet meer van deze tijd. Goed crisismanagement doe je voor 90 procent voordat de cybercrisis uitbreekt. Je moet een scenario-analyse hebben gemaakt en weten waar je kwetsbaarheden zitten. Je hebt een protocol en dat heb je gestresstest en geëvalueerd.’

Oefening baart kunst, aldus oud F-16 vlieger Berlijn. ‘Ik vraag mensen weleens: “Waarom denk je dat Defensie zoveel kost?” Omdat Defensie veel oefent. Waarom is dat? Omdat Defensie goed voorbereid wil zijn op alle noodsituaties. Omdat ze geoefend hebben, hebben ze ook het vertrouwen dat ze het aankunnen. Je weet wie in het team zit en hoe je mensen moet alarmeren. De watch officer rapporteert wat is waargenomen. Wat is feit, wat is aanname? Checklist erbij. De rust keert daardoor ook veel sneller terug. Maar wat zie je meestal? Er is een incident gebeurd, misschien wel een ramp. En vervolgens krijg je de ramp na de ramp – paniek na de paniek.’

Om het niet zover te laten komen, sloten zes gemeenten (Den Haag, Delft, Zoetermeer, Enschede, Eindhoven en Tilburg), bedrijven en kennisinstellingen (The Hague Security Delta, Twente Safety & Security en Dutch Institute for Technology, Safety & Security) vorige maand een zogenaamde City Deal om de digitale veiligheid te verbeteren. De partners starten elf living labs waarin (digitale) oplossingen worden bedacht voor veiligheidsvraagstukken zoals crowdcontrol en het creëren van veiliger verkeersstromen.

Dick Berlijn: ‘Deloitte verhuist zijn Cyber Intelligence Centre deze zomer van Amsterdam naar het hart van de The Hague Security Delta. Kennisinstellingen, bedrijven en overheden denken hier gezamenlijk na over cyberveiligheid, waardoor ondernemingen en overheden met vertrouwen gebruik kunnen maken van het al moois dat het internet der dingen te bieden heeft. Wees niet bang en profiteer ervan, maar zorg nu wél voor stabiliteit en veiligheid.’

‘We zijn geen cyberpolitie’
Burgemeester Frans Backhuijs (55) van Nieuwegein is voorzitter van de Visitatiecommissie Informatieveiligheid. Sinds het afgelopen najaar heeft de commissie zo’n vijftig gemeenten bezocht. De naam van de commissie doet denken aan de honderd-procentcontroles op vluchten uit Suriname.

‘De naam dekt de lading niet helemaal’, zegt Backhuijs. ‘Het klinkt streng, maar dat zijn we niet. We zijn geen cyberpolitie. We komen niet langs om gemeenten de maat te nemen. We kijken hoe het staat met de digitalisering en de informatieveiligheid. We zijn er vooral om gemeenten te ondersteunen. En we willen weten of de afspraak werkt die de VNG heeft gemaakt met de minister over de verplichtende zelfregulering. Nemen gemeenten informatieveiligheid serieus zonder wetgeving?’

Gemeenten weten dat de commissie langskomt en vullen voor het bezoek een vragenlijst in. ‘Dat is een mooie aanleiding om het thema binnenshuis dieper te bespreken.’

Geen ict-jargon
De commissie bestaat uit burgemeester Backhuijs, oud-gemeentesecretaris van Groningen Maarten Ruys en directeur publiekszaken, handhaving en veiligheid in Leiden Wim Blok. Geen ict’ers. Backhuijs: ‘Als je dit onderwerp ambtelijk breed, bij het college en bij de raad goed voor het voetlicht wilt brengen, dan kun je het verhaal beter niet door techneuten laten vertellen. Voor je het weet, verzand je in ict-jargon.’

Informatieveiligheid heeft weliswaar met techniek te maken, maar vooral met gedrag, aldus Backhuijs. ‘Wie loopt zomaar door het gebouw en waar slingert informatie rond, tot de burgemeester die zijn werkkamer even uitgaat en zijn iPad en pc laat aanstaan. Sommige gemeenten hebben mystery guests naar hun eigen gemeentehuis gestuurd of phishing mails verzonden om te benadrukken dat informatieveiligheid tussen de oren zit.’ De visitatiecommissie stuurt er geen mystery guests op uit en verzendt ook geen phishing mails. ‘Daar hebben we de capaciteit niet voor en het zou ook niet juist zijn. Het is heel goed dat gemeenten het zelf doen. Dat leidt tot veel meer draagvlak.’

Ambities
Informatieveiligheid speelt bij alle bezochte gemeenten een rol, heeft Frans Backhuijs gemerkt. ‘En ze zien er ook allemaal het van belang van in. Je merkt dat grote gemeenten soms wat verder zijn dan de kleine, maar we constateren niet dat groot altijd goed is en klein niet. Het hangt vooral af van de ambities van het bestuur en de ambtelijke top. Soms van een enkele ambtenaar’, aldus Backhuijs. Tijdens zijn bezoeken aan gemeenten heeft VVD-burgemeester Backhuijs wel gemerkt dat sommige gemeenten het nuttig zouden vinden om toch wat meer regelgeving over informatieveiligheid te hebben.

‘Als steun in de rug’, zegt hij. ‘Dat in de jaarrekening bijvoorbeeld verplicht aandacht wordt besteed aan informatieveiligheid, zonder alles gedetailleerd te regelen hoor, waardoor bestuurders en ambtelijke top een stok achter de deur hebben in de discussie in eigen huis en met de gemeenteraad.’ De visitatiecommissie heeft nog ruim een jaar om in totaal 120 gemeenten te bezoeken.