Cyberburgemeesters verwachten veel meer van BZK

De overheid doet nog te weinig tegen cybercrime. Gemeenten worden nog te veel aan hun lot overgelaten, vinden de cyberburgemeesters. Ze verzoeken de Vereniging van Nederlandse Gemeenten (VNG) bij het ministerie van Binnenlandse Zaken aan te dringen op structurele aandacht en financiering voor informatieveiligheid. Deze motie werd bij acclamatie aangenomen op de Algemene Ledenvergadering. Iris Meerts (PvdA), burgemeester van Wijk bij Duurstede, legt het uit.

Waarom deze motie?

Meerts: ‘De lokale overheid krijg niet de middelen om de informatiebeveiliging goed uit te voeren. Er is in het regeerakkoord wel geld voor gereserveerd, maar dat wordt besteed op nationaal niveau. Natuurlijk hebben gemeenten de Informatiebeveiligingsdienst, maar kleine en middelgrote gemeenten zijn gewoon niet in staat zelf voor voldoende beveiliging te zorgen. Gemeenteraden moeten nu kiezen of het geld naar het voetbalveld moet of, voor de zoveelste keer, naar ict. Maar het is geen luxe!’

‘De vraag is niet óf we online onder vuur komen te liggen, maar wanneer. We kunnen het niet voorkomen, maar slechts de schade beperken en zorgen dat we beter worden in afweren.’

De cyberburgemeesters willen ‘gemeenten in staat te stellen om de Nationale Cyber Security Strategie te implementeren’. Gebeurt dat nu niet?

‘Nee. Deze strategie is landelijk opgesteld door instanties als de NCTV en de NCSC, maar gemeenten moeten hem mede uitvoeren. Er is onvoldoende nagedacht over de uitvoerbaarheid voor de lokale overheid. Terwijl het veel logischer is als we vanaf het begin zou worden meegenomen. De uitdaging ligt juist in de uitvoering op lokaal niveau.’

Ook willen jullie onderzoeken hoe het ministerie van Binnenlandse Zaken (BZK) een rol kan pakken in het versterken van de digitale weerbaarheid van burgers. Wat willen jullie zien?

‘Het is net als met fietsen: je kunt zeggen dat het gevaarlijk is en het niet meer doen. Of je draagt een helm zodat je kunt vallen en weer opstaan. Die veerkracht moet je aanspreken. Mensen moeten bij wijze van spreken elke week een nep phishingmailtje ontvangen. Trainen. Toen ik werkte bij het Centre of Expertise Cyber Security dachten we aan buurtambassadeurs die langsgaan bij buren en hun vragen naar hun router en of ze hun wachtwoord hebben aangepast.’

‘Het gaat bij cybercrime over ouderen, maar het zijn eigenlijk de jongeren die kwetsbaar zijn. Die zijn veel meer online. Zij zijn een blinde vlek. Jongeren die hun bankpas af moeten staan. Kwetsbare meisjes die slachtoffer worden van sexting. Het is een burgerschapskwestie en daarmee iets van BZK, niet Justitie en Veiligheid. We moeten veel meer aan de voorkant doen, want iedereen gaat vallen op die fiets. We verwachten veel meer van het moederdepartement.’

Tot slot vragen jullie van BZK duidelijkheid over de BIO- en ENSIA-veiligheidsaudits. Wat is het belang daarvan?

‘Veel informatieveiligheid is procesmatig geregeld, niet alleen met de BIO en ENSIA maar ook rondom paspoorten, geolocatie en kabels in de grond. Zoiets creëert een gevoel van schijnveiligheid: het feit dat een paspoort procesmatig is afgegeven wil niet zeggen dat het veilig is afgegeven. Bovendien creëert het een enorme winkel voor adviesbureaus die hier veel geld aan verdienen. Er moet een betere manier te vinden zijn om dit te organiseren zonder dat het heel veel kost.’

‘Neem bijvoorbeeld het inschrijven van Oekraïners. Er worden digitale mogelijkheden gecreëerd en dat wilden wij ook. Maar onze collega’s van het klantcontactcenter wilden dat helemaal niet - zij willen mensen in de ogen kijken en uiteindelijk is dat natuurlijk veel veiliger. Het is zo dat we een kleinere gemeente zijn, maar we zijn nooit digitaal gaan inschrijven en we hebben vrij weinig problemen. Het is het contrast van de systeemwereld, met de afvinklijstjes van ENSIA en de BIO, en de leefwereld.’

Hoeveel vooruitgang boeken gemeenten op het gebied van informatiebeveiliging? Hoeveel vooruitgang boeken de cyberburgemeesters?

‘Begin dit jaar zijn we meer op de trom gaan slaan, maar het heeft nog niet tot concrete afspraken met bijvoorbeeld de staatssecretaris geleid. We willen aan tafel zitten op basis van onze lokale bevoegdheid, kennis en ervaring. Wij zijn het bevoegd gezag!'

Cyberburgemeesters riepen gemeenten op om in de coalitieakkoorden aandacht te besteden aan cybercrime, maar dat lijkt achterwege te blijven.

‘Alles vecht om voorrang, zeker in financieel zware tijden. Wat we nu wel doen zijn bestuurlijke peer-to-peergesprekken, waarin de burgemeesters, gemeentesecretarissen, CISO's, FG's en OOV’ers van twee gemeenten twee uur lang met elkaar praten. Het is wonderwel leuk! Ik verwacht dat dat komend jaar flink wat gaat opleveren. Soms zal het rammelen zijn aan een dichte deur, want de mensen die hiervoor openstaan vind je sowieso wel, maar het is veel moeilijker om gemeenten te benaderen die hier het nu niet van inzien. Daar hebben we ons op voorbereid. Het lastige stuk begint nu.’