Gemeente.nu

Nieuws voor gemeenten

Cyberveiligheid blijft kritiek punt

door

Cyberveiligheid gemeenten

De gijzelhack bij Hof van Twente zal menig gemeente hebben doen beven. In 2020 waren er bijna 4000 meldingen van ICT-veiligheidsincidenten bij lokale overheden. De VNG wil cybersecurity beter tussen de oren van bestuurders en raadsleden krijgen.

Wen er maar vast aan. Met de oprukkende digitalisering zullen ICT-incidenten alleen maar toenemen. Dat is de niet mis te verstane boodschap van het vorige week verschenen jaaroverzicht van de Informatiebeveiligingsdienst. Dit onderdeel van de VNG ondersteunt gemeenten bij hun ICT-beveiliging en bescherming van persoonsgegevens. Afgelopen jaar kwamen er 3.845 meldingen binnen over problemen met ICT-beveiliging. Bij 175 incidenten moest de dienst ondersteuning bieden. In 2019 waren er nog zo’n 3000 meldingen en was assistentie nodig in 144 gevallen. 

Meer risico’s

Ook werden afgelopen jaar bijna 2000 kwetsbaarheidsmeldingen aan gemeenten verstuurd, om te waarschuwen voor softwarelekken. Een veertigtal was dermate ernstig, dat er een hoge kans op misbruik aanwezig was. Op alle fronten nemen de risico’s dan ook toe, concludeert de Informatiebeveiligingsdienst. Gemeenten kunnen op allerlei manieren slachtoffer worden van een inbraak of een hack, ook als ze zelf alles prima op orde hebben.

2020 was vanaf de eerste dag een veelbewogen jaar voor de gemeentelijke ICT-beveiliging. In januari sloeg het Nationaal Cyber Security Centrum (NCSC) groot alarm over lekken in applicatieplatform Citrix. Via dit systeem, waar ook zo’n 200 gemeenten mee werken, loggen medewerkers van buiten in op het bedrijfsnetwerk. In tientallen gemeenten, waaronder Amsterdam, Den Haag en Rotterdam, konden ambtenaren niet meer thuiswerken, omdat de toegangspoort tot de interne netwerken van het NCSC op slot moest.

Diensten ontoegankelijk

Verder was een aantal gemeentelijke diensten niet toegankelijk, zoals het regelen van een crematie, de aanvraag van subsidies en het indienen van milieuklachten. Ook werden gemeenten geraakt die zelf niet met Citrix werken maar hun leveranciers wel. Later bleek dat hackers uit China en Iran binnen waren geweest bij 25 overheidsinstellingen en bedrijven. De veiligheidsproblemen waren gelukkigerwijs opgelost voordat de coronacrisis in maart losbarstte en ambtenaren en bestuurders noopte tot thuiswerken.

In september werd de Veiligheidsregio Noord- en Oost-Gelderland getroffen door een ransomware-aanval die de kantoorautomatisering lamlegde. De veiligheid was volgens de veiligheidsregio niet in geding. De brandweer kon gewoon uitrukken en de meldingssystemen P-2000 en C-2000 bleven in de lucht. Ook werden er volgens de veiligheidsregio geen data gestolen.

Gijzelhackers Hof van Twente

Aan het eind van het coronajaar volgde het meest ingrijpende gemeentelijke cyberveiligheidsongeluk. Medio december legden gijzelhackers de systemen van Hof van Twente plat. De gemeentelijke dienstverlening kwam abrupt tot stilstand. De Overijsselse gemeente moest op de blaren zitten en zag al haar systemen onbruikbaar worden, omdat de hackers alle data hadden afgegrendeld of vernietigd. Op de eis van losgeld werd niet ingegaan.

Eind vorige maand kon burgemeester Ellen Nauta haar inwoners vertellen dat de naweeën van de cyberaanval groot zijn. Het zal nog zeker twee jaar duren voor de gemeenten haar ICT-infrastructuur weer op orde heeft. De dienstverlening moet nog grotendeels handmatig verlopen. Volgens Nauta zijn er vooralsnog geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt. Over de kosten van de hack kan ze nog niets zeggen. Wat er precies mis ging, moet eind februari duidelijk worden. Dat onderzoek loopt. Overigens was de gemeente niet tegen cyberinbraak verzekerd.

Resolutie digitale veiligheid

De VNG wil richting gemeentebestuurders benadrukken dat ICT-beveiliging niet alleen een kwestie is van bedrijfsvoering. Ook bij de politiek moet het besef toenemen. Om het onderwerp bij bestuurders en ook raadsleden tussen de oren te krijgen, staat voor de algemene ledenvergadering van vrijdag 12 februari de Resolutie digitale veiligheid op de agenda. Oogmerk hiervan is dat bestuurders zelf het voortouw nemen voor het opstellen van een agenda digitale veiligheid in hun gemeente.

De ingrediënten: voldoende budget voor blijvende weerbaarheid tegen digitale dreigingen, het onderwerp regelmatig agenderen in het college, en jaarlijks een overzicht van ICT-incidenten met de Informatiebeveiligingsdienst delen. Overigens heeft het VNG-bestuur zelf begin vorig jaar een agenda digitale veiligheid opgesteld.

Tagged With: , , , , Filed Under: Bedrijfsvoering, Cybersecurity, Veiligheid

Reader Interactions

VIND Handhaving

GERELATEERD

Digitale innovatie overheid

Opinie Digitale innovatie? Haast u langzaam!

Van ontwikkelingen in de ICT wordt vaak gezegd dat die snel gaan. Nu ben ik van de leeftijd dat ik het allemaal zelf heb kunnen meemaken. Wat hebben we gaandeweg geleerd? Tijdens mijn studie beschikte de universiteit over één machtige computer, waar je slechts spaarzaam gebruik van mocht maken. In mijn laatste studiejaar werd een... lees verder

Operationele technologie Den Haag gehackt

Tijdens het terugkerende Hâck The Hague evenement werd dit keer op verzoek operationele technologie (OT) gehackt, zoals stoplichten en camera’s. Hackers vonden verschillende kwetsbaarheden van uiteenlopende veiligheidsrisico’s. Inmiddels hebben meer gemeenten vergelijkbare projecten opgestart. De hofstad zette deze editie opnieuw eerlijke hackers in om kwetsbaarheden in de gemeentelijke systemen op te sporen. Zes uur lang namen... lees verder

Vertraagde software tart digitalisering Omgevingswet

Echte calamiteiten bleven tot nu toe uit, maar het Digitaal Stelsel Omgevingswet (DSO) blijft met problemen kampen. Intussen is ook belangrijke software vertraagd die het publiceren van omgevingsdocumenten moet ondersteunen. In haar recente voortgangsbrief over de implementatie van de Omgevingswet aan de Tweede Kamer is minister Keijzer (Volkshuisvesting en Ruimtelijke ordening) ronduit positief over de... lees verder

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *