Sebastiaan van 't Erve is burgemeester van Lochem. Een gemeente die in 2019 werd getroffen door een hack en die heel open is over de afhandeling daarvan, zodat andere gemeenten daarvan kunnen leren. Sinds die tijd is Van 't Erve een beetje een missionaris met zendingsdrang als het gaat om digitale veiligheid. Hij drukt medebestuurders op het hart om informatieveiligheid heel serieus te nemen: "Schrijf eens op wat je allemaal niet meer kunt doen als je computer uitvalt. Dan schrik je."
Door: Marieke Vos
De recente hack van de gemeente Hof van Twente toont helaas aan hoe urgent en actueel digitale beveiliging is. Wat betekende de digitale aanval op de gemeente Lochem voor jullie bewustzijn over informatieveiligheid?
"Iedereen kent ons van de hack in 2019, omdat we daar heel open over zijn. Maar we waren eerder al eens slachtoffer van een ransomware-aanval. Dat gebeurde vlak voor de verkiezingen en daar werd ik heel zenuwachtig van. Het is gelukkig goed afgelopen, maar het maakte ons er scherp van bewust hoe belangrijk de informatievoorziening is geworden voor ons werk. IT is de ruggengraat van wat we doen. Ik zeg wel eens: schrijf voor de gein eens op wat je niet meer kunt doen als je computer uitvalt. Dan kom je erachter dat een heleboel werk stilvalt. Zoals het verstrekken van uitkeringen, het verwerken van aangiftes van geboorte en overlijden. Dat zijn zeer essentiële taken, die je als gemeente altijd moet blijven doen. Tijdens de hack maakten we een analyse: wat moet doorgaan en hoe doen we dat? We zijn een kleine gemeente, dus de uitkeringen hadden we zelf rond kunnen brengen. Ook andere dienstverlening hadden we in geval van nood handmatig kunnen doen. Maar gemeenten zijn ook verantwoordelijk voor het aansturen van de rioolgemalen en de verkeerslichten. Dat los je niet zomaar op."
Foto: Sebastiaan van 't Erve, burgemeester van Lochem.
Waar begint goede informatieveiligheid?
"Tijdens deze coronatijd merken we hoe goed het werkt om vaak onze handen te wassen. Infectieziektes komen nu minder voor, blijkbaar is de hygiëne van mensen verbeterd. Hetzelfde geldt voor digitale hygiëne. Het begint bij goed gedrag, bij het gebruiken van sterke wachtwoorden, bij goed nadenken voordat je op een weblink klikt. Dat gedrag kun je stimuleren en ondersteunen met allerlei praktische tools. Ik vind het heel goed dat de Informatiebeveiligingsdienst gemeenten ondersteunt in het digitaal weerbaarder worden. En dat gemeenten samen, via de VNG, gezamenlijk tools inkopen voor digitale veiligheid. Zoals GGI-Veilig, waarmee we als gemeenten praktische tools krijgen voor het vergroten van onze digitale weerbaarheid. Het is niet gemakkelijk om je informatieveiligheid op orde te houden, maar dit soort gezamenlijke inkoop maakt het gelukkig wel gemakkelijker om de technische basis te regelen."
U spreekt liever over digitale weerbaarheid dan over informatieveiligheid. En u spreekt uw collegabestuurders aan op hun verantwoordelijkheid voor dit thema. Waarom?
"De zero risk society bestaat helaas niet. Er zijn altijd partijen die stevig hun best doen om bij de overheid de boel te verstoren. De vraag is hoe je daarop bent voorbereid. Dat bedoel ik met digitale weerbaarheid. Aan de voorkant probeer je het zo goed mogelijk te beveiligen, door digitale hygiëne, werken aan bewustwording en de inzet van de juiste technische middelen. Dat vraagt alertheid van bestuurders, die moeten daar de juiste vragen over stellen aan hun CISO en IT-afdeling. Je hoeft echt geen technisch specialist te zijn, maar je moet wel de alertheid hebben om de goede vragen te stellen. Wij dachten ook dat we het goed op orde hadden, maar toch werden we gehackt. We doen nu een aantal dingen heel anders en daaruit concludeer ik dat ik beter door had moeten vragen. Ik gun het elke gemeente om die alertheid te hebben. En ik vind het heel goed dat gemeenteraden en accountants steeds vaker vragen stellen over informatieveiligheid.
Het nemen van de juiste maatregelen aan de voorkant is relatief gemakkelijk, want daar zijn allerlei normen en instrumenten voor. Maar je moet ook anticiperen op wat er gebeurt als er toch een crisis ontstaat. Dat vraagt om een crisisvoorbereidheid van je organisatie."
Uw collega, burgemeester Sjoerd Potters van De Bilt, bepleit in het recente Trendrapport Informatiesamenleving dat een gemeente een digitale crisis moet behandelen als een reguliere crisis. Wat vindt u daarvan?
"Ik ben het daar helemaal mee eens. We hebben de hack van 2019 afgehandeld via de GRIP-structuur, die je ook gebruikt bij crises in de openbare orde en veiligheid. Die structuur werkt heel goed, ook bij het afhandelen van een digitale crisis. Ik zie veel parallellen tussen een crisis in de digitale en een crisis in de fysieke wereld. Bijvoorbeeld: als er een grote brand is, dan komen brandweerkorpsen uit de regio helpen. De vraag is wie er komt helpen blussen bij een grote digitale crisis. Ik heb aan de adviesraad van de Informatiebeveiligingsdienst gevraagd of er niet een crisis response organisatie kan komen voor digitale incidenten. Zodat we elkaar kunnen helpen in geval van nood. En dan doel ik niet alleen op gemeenten, maar op alle overheden en wellicht ook private partijen. Ik vind dit een vraag waarover de politiek zich moet buigen. Net als tijdens de coronacrisis: welke sectoren zijn vitaal en hoe regelen we het als het daar misgaat?"
Een gemeente staat niet op zichzelf, want in de digitale wereld is alles met elkaar verknoopt. Wat betekent dit voor digitale weerbaarheid?
"Alles wat we doen is in ketens georganiseerd. Wij zijn als gemeente Lochem met een goede 200 organisaties verbonden. We vormen als overheid één groot netwerk, maar we hebben daar nog veel te weinig over afgesproken. We hebben daar nog een stevige klus te klaren, vind ik. Want een risico bij mij is een risico bij ieder ander in deze keten! Ik vind dat we als overheid onze digitale weerbaarheid samen moeten organiseren. We zouden een soort artikel 5 van de NAVO moeten hebben, waarin staat dat een aanval op de één een aanval op ons allen is.
Iedereen die ik hierover spreek, vindt het heel belangrijk om samen actie te ondernemen. Maar dat past niet bij hoe we het in Nederland georganiseerd hebben. In een stelsel waarin de minister stelselverantwoordelijk is en 'je gaat erover of niet' stelregel is, is het toch ieder voor zich. Digitalisering is ons hier boven het hoofd gegroeid. Alle systemen zijn met elkaar verknoopt, maar niemand is verantwoordelijk voor het geheel."
Hoe kijkt u in het licht van deze onderlinge afhankelijkheden naar het feit dat gemeenten steeds meer samen organiseren?
"We kopen steeds meer gezamenlijk in en dat levert ons kostenbesparingen en meer kwaliteit op. Dat is positief. Het betekent ook dat we steeds meer dezelfde normen gaan hanteren en dezelfde technieken gebruiken en dat is heel goed voor onze ketenverantwoordelijkheid. Dus eigenlijk zie je dat het ook daar in de praktijk anders gaat dan hoe we het in ons stelsel georganiseerd hebben. Ministers zijn stelselverantwoordelijk, die gaan dus over de optelsom, maar die som is groter dan het geheel der delen. Ik denk dat we hier als overheid een been moeten bijtrekken in ons denken, zodat we beter aansluiten bij wat er al in de praktijk gebeurt."
Tot slot, wat raadt u collegabestuurders in praktische zin aan?
"Ik heb al aangestipt dat het belangrijk is om vragen te stellen in je eigen organisatie. Je kunt wel denken dat de juiste maatregelen zijn genomen, maar dat weet je pas als je daar ook naar vraagt. Dat zijn vaak technische maatregelen met afvinklijstjes, bijvoorbeeld over het wachtwoordenbeleid. Daar bovenop komt dat je als bestuurder goed moet nadenken over de risico's die je loopt. Dat je in kaart brengt hoe je met deze risico's omgaat en wat je kunt organiseren als terugvaloptie, mocht een risico werkelijkheid worden. Dan gaat het ook over risico's die elders liggen dan in je eigen organisatie, namelijk in de ketens en netwerken waarin je samenwerkt. Daar moeten wij als bestuurders mee aan de slag, dit kunnen we niet overlaten aan de IT-afdeling."
Meer informatie
In het recente Dreigingsbeeld van de Informatiebeveiligingsdienst staan concrete handvatten voor bestuurders om risico's in kaart te brengen en hierop te acteren:
Met het Trendrapport Informatiesamenleving duidt de VNG voor bestuurders de belangrijke ontwikkelingen in de informatiesamenleving, waaronder digitale veiligheid:
GGI-Veilig helpt gemeenten hun digitale weerbaarheid te verhogen en hun ICT-infrastructuur veiliger te maken. GGI-Veilig bestaat uit een gezamenlijk ingekocht portfolio van producten en diensten voor operationele informatiebeveiliging:
