Al twaalf jaar houdt David de Kramer zich voor de gemeente Utrecht bezig met veiligheidsvraagstukken. Met klassieke criminaliteitsthema's bijvoorbeeld, als autokraken, fietsdiefstallen en woninginbraken. Maar tegenwoordig buigt hij zich over de aanpak van digitale onveiligheid. Veel 'basismateriaal' is er nog niet. Niet in de eigen gemeente en niet bij collega-gemeenten. Wel zijn er doelen gesteld voor een digitaal veiligere stad. En inmiddels ligt er een 'Digitaal Weerbaarheidsbeeld' waar ook andere gemeenten van kunnen profiteren.

Door: Quita Hendrison

Wat hebben Lochem, Zutphen en New Orleans met elkaar gemeen? Ze zijn alle drie slachtoffer geworden van een digitale aanval op de gemeentelijke systemen. "Digitale veiligheid binnen de gemeente is een grote en noodzakelijke ambitie," stelt veiligheidsadviseur David De Kramer. "Je kunt als gemeente niet meer zonder een digitaal veiligheidsplan; je moet preventieve maatregelen nemen maar ook aan preparatie doen." Om greep op de materie te krijgen volgde hij een mastercourse Cybercrime, cybersecurity & risk management aan de Universiteit Twente. Met als resultaat een scriptie over de benadering van digitale onveiligheid en cybercrime in Utrecht. Het is onderdeel van het dossier 'Een Digitaal Veiliger Stad' waaraan De Kramer en collega's vier jaar lang uitvoering geven. "Waarbij we het nadrukkelijk niet bij luchtfietsen willen houden, maar vooral willen laten zien wat je als gemeente daadwerkelijk kunt doen."

Aan doen gaat altijd een fase van inventariseren vooraf. De Kramer: "Je begint met onderzoeken waar je het precies over hebt: wat betekent digitale onveiligheid voor Utrecht, wie zijn de belangrijke spelers, waar liggen de dreigingen en wat biedt kansen? Dat zijn de basisvragen voor mijn onderzoek geweest. Daar zijn vier oplossingsrichtingen uit voortgekomen. Ten eerste: Utrecht moet zich voorbereiden op cyberincidenten of een cybercrisis en daarom moet er een 'digitaal weerbaarheidsbeeld' worden opgesteld.

Ten tweede, om het bewustzijn onder inwoners en ondernemers over risico's op cybercrime te vergroten moet Utrecht een communicatieplan opstellen van waaruit voorlichtingscampagnes en trainingen worden aangeboden voor zowel (potentiële) slachtoffers als potentiële daders. Ten derde moet Utrecht voor een betere duiding van het probleem cybercrime in Utrecht nader onderzoek en analyse verrichten. Als laatste moet Utrecht aan de hand van het digitaal weerbaarheidsbeeld gerichte en diepgaande scenario's opstellen."   

Nieuwe wereld

Om met de conclusie van het digitaal weerbaarheidsbeeld Utrecht te beginnen: Utrecht is niet goed voorbereid op een cybercrisis - en we durven de stelling wel aan dat dat voor een heleboel gemeenten geldt. De belangrijke oorzaken daarvan zijn gebrek aan kennis, de matige informatiedeling tussen stedelijke partners en het gebrek aan gezamenlijke oefening. "Daar zijn we inmiddels hard mee aan de slag," aldus De Kramer. "Met zo'n dertig stedelijke en regionale partners - denk aan de politie, het onderwijs, maar ook nutsbedrijven, techpartners en financiële instellingen - gaan we die kennisdeling organiseren. We weten bijvoorbeeld van elkaar niet wat we wel en niet doen en hoe we in onze keten afhankelijk zijn van elkaar. Daarnaast gaan we samen oefenen met cybercrisisgevolgenbestrijding. Zoals we dat ook met fysieke rampenbestrijding doen. Wat moeten we doen als de matrixborden gehackt worden en er verkeerschaos ontstaat? Hoe gaan we handelen als onze gemeentelijke ICT-systemen gehackt worden en we geen dienstverlening meer kunnen bieden? Elke vorm van cybercrisis heeft ook fysieke gevolgen dus moet je oefenen hoe je dat zo aan kunt pakken dat de schade beperkt blijft. Samen met partners, want de overheid is niet de partij met het meeste verstand van ICT en cybersecurity. En los daarvan: dit is een relatief nieuwe wereld. Welke bevoegdheden heeft de burgemeester in cyberspace? Er is nog weinig wetgeving." Daarbij heeft cybercrime als belangrijke veroorzaker van een cybercrisis een aantal kenmerken die anders zijn die van conventionele criminaliteit,  beschrijft De Kramer in zijn scriptie. "Het kent geen fysieke grenzen, je hoeft als crimineel niet op de plaats delict te zijn. En de schaalbaarheid is enorm: met één 'fout' mailtje kun je miljoenen doelwitten bereiken, ook nog eens anoniem en zonder sporen achter te laten. En niet onbelangrijk: er is een kenniskloof tussen daders en slachtoffers. Er bestaat zelfs als zoiets als 'cybercrime as a service'. Dan hoeft je als crimineel nog niet eens zelf verstand van zaken te hebben, maar koop je die gewoon in."

In één ding onderscheidt de 'nieuwe' criminaliteit zich niet van de 'oude': het achterliggende motief. "Geld, terreur of simpelweg 'de kick' daar is niks nieuws onder de zon," constateert De Kramer. Hoewel hij er wel nog een ding wil uitlichten. "Dat is contentcybercrime. Je kunt online snel en massaal denkbeelden werven die leiden tot radicalisering en polarisatie. En dan is de overgang van online naar de fysieke wereld heel fluïde. Dat kan snel tot openbare-ordeproblemen leiden. Daarom is het voor gemeenten verstandig om social media te monitoren."

Zelfverdediging

Complexe en veelomvattende materie dus. De Kramer kan zich goed voorstellen dat gemeenten het lastig vinden om een aanpak voor digitale veiligheid te ontwikkelen. "Begin in eigen huis: loop je digitale infrastructuur na, in hoeverre is die op orde? Den Haag liet bijvoorbeeld de eigen systemen hacken om de kwetsbaarheden bloot te leggen. We moeten ons realiseren dat er een keten van partijen is die afhankelijk zijn van onze dienstverlening en informatie. Niet in de laatste plaats de bewoners. Als er bij ons iets misgaat kan het gebeuren dat we onbereikbaar zijn, er geen paspoorten kunnen worden uitgegeven, dat BOA's hun werk niet kunnen doen, dat  bruggen niet opengaan, enzovoort. Het begint dus bij ons én bij het in kaart brengen van de keten en de onderlinge afhankelijkheden. Op basis daarvan kun je scenario's maken: als dit gebeurt, dan moeten we dat met die partners zo aanpakken. Doe dat niet alleen, maar betrek daar deskundigen bij, ervaringsdeskundigen ook. En ga oefenen, samen met de relevante partijen. Blijf die oefeningen herhalen, ook al is er niks gebeurd. Het is net als met zelfverdediging: je hoopt het niet nodig te hebben, maar als het wel zover komt, moet je niet vastgeroest zijn." Met scenario's denkt David de Kramer ook aan terugvalopties in de vorm van alternatieve netwerken. "Stel, je hele systeem ligt plat, bijvoorbeeld door overbelasting van het netwerk of het stroomnet, een risico dat alleen maar toeneemt, heb je dan alternatieven?

Beheersbaar maken

Een element dat zeker niet mag ontbreken in een digitaal veiligheidsplan is communicatie. In de eigen organisatie, maar ook naar buiten. "Het is ontzettend belangrijk dat bewoners en ondernemers kennis hebben van de risico's op cybercrime en een handelingsperspectief hebben. De Rijksoverheid doet veel aan voorlichting, maar de gemeente als meest nabije overheid kan daar veel meer in betekenen; daar zou het Rijk wel meer geld voor over kunnen hebben. Sowieso kan de samenwerking tussen lokaal en centraal beter. Het Cybersecuritybeeld Nederland (CSBN) dat het Rijk jaarlijks laat opstellen door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is heel nuttig. Maar de scenario's voor je eigen gemeente kun je het beste zelf opstellen. Jij weet tot op buurtniveau wat de specifieke kenmerken zijn van jouw gemeente."

Kortom, er is nog veel te doen en weinig tijd. Organisaties als het Centrum voor Criminaliteitspreventie en Veiligheid, de Wetenschappelijke Raad voor het Regeringsbeleid en het Rathenau instituut - om er maar een paar te noemen - spreken hun zorgen uit over de digitale weerbaarheid van ons land. En bij de overgang naar dit nieuwe decennium lieten trendwatchers in landelijke dagbladen optekenen dat digitale ontwrichting op korte termijn de grootste bedreiging van onze samenleving is. "We kunnen niet op onze handen gaan zitten en afwachten," waarschuwt De Kramer. "Nee, we zullen digitale onveiligheid niet kunnen uitbannen , maar we moeten ons wapenen om het beheersbaar te maken en te houden. Door preventie en preparatie. En wat ik hoopgevend vind, is het zelfcorrigerende vermogen van technologie. Zoals voertuigcriminaliteit afnam naarmate technologie dat steeds beter wist te voorkomen, zo kan dat ook met internettechnologie gebeuren; de huidige anonimiteit op het internet zal bijvoorbeeld steeds verder worden teruggebracht. Hoewel dat ook weer een keerzijde heeft, denk aan de risico's bij een corrupte overheid."

"Nogmaals, digitale onveiligheid is een complex en veelomvattend thema. Maar wel één waar elke gemeente wat mee moet. En je hoeft echt het wiel niet in je eentje opnieuw uit te gaan vinden. Andere gemeenten, zijn wellicht al wat verder dan jij. Die kennis willen we graag delen, uiteindelijk hebben we allemaal hetzelfde belang van een digitaal veilige samenleving voor ogen."