Risico op ‘neerwaartse spiraal’ informatiebeveiliging

Veel gemeenten nemen maatregelen om de informatiebeveiliging te verbeteren, maar de dreiging neemt sneller toe. De Informatiebeveiligingsdienst (IBD) erkent in het Dreigingsbeeld informatiebeveiliging dat men ‘somber’ zou kunnen worden van de situatie. Als de weerbaarheid niet aanzienlijk verbetert, zullen er steeds meer incidenten komen. ‘Een neerwaartse spiraal.’

Criminelen proberen aan de lopende band een ingang te vinden en de (potentiële) gevolgen worden steeds ernstiger: ‘Het wordt merkbaar.’ De IBD geeft aan dat er steeds meer meldingen zijn van situaties waar processen bij gemeenten door destructieve gijzelsoftware langduriger verstoord zijn. ‘Criminelen aarzelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.’

Iedere gemeente

De IBD signaleerde in 2021 1.841 kwetsbaarheden in hard- en software. Deze kwetsbaarheden kunnen misbruikt worden door kwaadwillenden en het is zaak om ze tijdig te verhelpen, wat vaak een kwestie van updaten is, maar ook complexer kan zijn.

De Log4j-kwetsbaarheid, die eind 2021 naar buiten kwam, was in feite aanwezig bij iedere organisatie ter wereld bij iedere organisatie ter wereld en ‘iedere gemeente is eind 2021 druk geweest met het aanpassen of bijwerken van software om incidenten te voorkomen’.

Kwetsbare samenwerking

Ketenkwetsbaarheid blijft een probleem. Gemeenten zitten bijvoorbeeld gemiddeld in dertig samenwerkingsverbanden en omdat privacy en informatiebeveiliging als operationeel detail wordt gezien, is er weinig aandacht voor in de samenwerkingsafspraken. Samenwerking en uitbesteding wordt vaak gedaan om kosten te besparen en ‘informatiebeveiliging is in die zin een kostenpost’.

‘Gemeenten vertrouwen erop dat bij een samenwerkingsverband dergelijke zaken ‘gewoon geregeld zijn’’, contateert de IBD. ‘Dit heeft als gevolg dat er weinig zicht is op de feitelijke risico’s als taken zijn uitbesteed.’ Senzer, een samenwerkingsverband van zeven gemeenten, werd in 2021 getroffen en in 2022 werd een softwarebedrijf van vijf Limburgse gemeenten getroffen.

Binnen een week

Het op orde hebben van de basismaatregelen, zoals meerfactorauthenticatie en monitoring, blijft cruciaal. ‘Het grootste deel van de (ransomware)incidenten is terug te voeren op het ontbreken van één of meerdere van deze maatregelen.’

Maar de snelheid waarmee gemeenten de achterstand wegwerken haalt het niet bij de snelheid waarmee criminelen professionaliseren. De IBD geeft een voorbeeld: ‘Een gemeente installeerde een nieuwe server en koppelde deze aan het internet. Deze bevatte nog kwetsbaarheden. Binnen een week was deze server gehackt en had een ‘onbevoegde’ toegang tot de hele gemeentelijke omgeving.’