Of er nu sprake is van een lek of een hack, zodra er met de cybersecurity in een gemeente iets misgaat, wordt er direct naar de burgemeester gewezen. Die is immers verantwoordelijk. ‘Raar’, vindt hoogleraar cybersecurity governance Bibi van den Berg. Dat doen we met een vitaal systeem als drinkwater ook niet,’ zo betoogt zij in een artikel in het Burgemeestersblad.
‘Niet iedere gemeente kan cybersecurity zelf organiseren’
De aanpak per gemeente verschilt, evenals de hoeveelheid kennis, bewustwording, budgetten en menskracht.
Te complex
Van den Berg onderzoekt hoe overheden en andere organisaties sturing kunnen geven aan digitale veiligheid. Die van de gemeenten omschrijft zij als ‘complex’. Eigenlijk te complex om dat als gemeente zelfstandig te kunnen doen. Volgens de hoogleraar is het onmogelijk voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit er dan ook voor om cybersecurity voor gemeenten gedeeltelijk op een hoger collectief niveau te organiseren. Nu verschilt de aanpak nog per gemeente, alsmede de hoeveelheid kennis en bewustwording die gemeenten in huis hebben, in budgetten en menskracht.
Kwetsbaar
‘Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar’, zo zegt zij in het blad van het Genootschap van burgemeesters. ‘De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.’ Het feit dat gemeenten samenwerken met allerlei andere partijen die hun eigen systemen hebben die ook weer via het internet met elkaar verbonden zijn, maakt het extra complex.
Minder preventie
Vreemd genoeg vindt Van den berg dat er bij cybersecurity minder nadruk zou moeten liggen op preventie. ‘De laatste dertig jaar hebben we enorm veel energie gestoken in het voorkomen van incidenten. Op zich logisch en nuttig, maar cyberspace is zo complex; je kunt niet alles voorkomen en bovendien komen er voortdurend nieuwe kwetsbaarheden bij. Daarom is er de laatste jaren naast preventie ook meer nadruk komen te liggen op het detecteren van incidenten en op het reageren op incidenten. En daartoe moet je het brede speelveld kunnen overzien.’
Digitale volwassenheid
Van den Berg stelt dat het onmogelijk is voor individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit voor een systeem waarin cybersecurityvraagstukken en IT-beheervraagstukken voor gemeenten deels op een hoger collectief niveau worden georganiseerd. De IBD heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd.’
Lees het hele artikel op de website van het Genootschap van burgemeesters.
