Gelderland daagt gemeenten digitaal uit

De provincie Gelderland organiseert een cyberchallenge voor Gelderse gemeenten. De gemeenten die het beste uit de challenge komen en hun digitale zaakjes dus het beste op orde hebben, maken kans om volledig te worden doorgelicht door ethische hackers.

In 2021 werd de provincie Gelderland indirect slachtoffer van een hack, nadat cybercriminelen in de systemen van een leverancier waren binnengekomen. Privacygevoelige gegevens van provinciemedewerkers lagen op straat. De provincie bood alle slachtoffers de mogelijkheid om een nieuw paspoort aan te vragen, want met het oude kon worden gefraudeerd. 'Zo'n incident doet iets met je gevoel van veiligheid,' zegt Marjolein Zeeman, projectleider Cyberweerbaarheid bij de provincie.

'En hoewel het idee voor deze challenge al bestond voor het incident, maakte het ons nog eens extra duidelijk hoe kwetsbaar we allemaal zijn en hoe ontzettend vaak dit gebeurt. Vroeger kon je een phishing mail nog wel herkennen aan kromme, slecht vertaalde zinnen. Tegenwoordig wordt het zo geraffineerd en netjes uitgevoerd, dat het bijna niet als phishing te herkennen is. Ik voel het als een opdracht aan ons allemaal om super alert te zijn.'

Project Troje

Van september 2022 tot februari 2023 worden de deelnemers aan project Troje, zoals de cyberchallenge heet, door cyberveiligheidsbedrijf Secura getest op hun digitale weerbaarheid. Over de inhoud van de tests doet Zeeman liever geen mededelingen. 'We willen iedereen zo veel mogelijk kunnen verrassen. Alleen de CISO's (chief information security officers) zijn hierover uitgebreid geïnformeerd.'

De gemeenten die het beste uit de testen komen, krijgen een zogeheten red cell aangeboden, een variant op red teaming, de meest complete doorlichting door ethische hackers die er voor handen is. 'Een red cell is een iets pragmatischer variant, die in iets korter tijdsbestek te doorlopen is,' licht Zeeman toe. 'Omdat het om een intensieve test gaat, heeft een red cell vooral meerwaarde als er al een bepaalde mate van digitale weerbaarheid is. Dan is het lerende effect het grootst.'

Is het een taak van de provincie om gemeenten bewust te maken van cyberrisico's? 'Vanuit ons programma Weerbaarheid zien wij onze rol in de aanpak van ondermijning vooral op het gebied van ondersteunen, faciliteren en enthousiasmeren van onze partners en dus ook de gemeenten. Dit project past daar goed in, omdat we digitaal naar de gemeenten toe gaan om ze echt praktisch op weg te helpen.' Volgens Zeeman biedt het voordelen dat juist de provincie zich op dit vraagstuk werpt. 'We zitten dichter op de gemeenten dan de landelijke overheid. We ondersteunen bijvoorbeeld het netwerk van Gelderse CISO’s, omdat het belangrijk is dat ze elkaar goed kennen.' Tegelijkertijd benadrukt Zeeman dat de provincie de challenge niet zelf uitvoert, maar dit laat uitvoeren door een gekwalificeerd bedrijf. De provincie krijgt ook geen inzicht in de resultaten van de individuele gemeenten.

Oproep

Tachtig procent van de Gelderse gemeenten heeft zich al opgegeven voor project Troje. Zeeman richt zich tot de overige twintig procent als ze alle gemeenten in haar provincie oproept om zich ook aan te melden. 'We bieden een kant en klaar pakket aan, dat gratis is, weinig inzet vraagt van de gemeenten en waarmee je flinke stappen kunt maken in het verder op orde brengen van je digitale weerbaarheid.' Aanmelden kan nog tot 18 juli.