Bedrijfscontinuïteit is iets van ons allemaal

Nederlandse gemeenten staan in toenemende mate onder druk van de dreiging van ransomware-aanvallen en andere cyberdreigingen. Het belang van digitale veiligheid en het besef dat het kan misgaan moet omhoog. Hoe garandeer je als gemeente de continuïteit van de dienstverlening naar burgers toe? Daarover spraken de deelnemers aan tafel in de live sessie 'Invloed van dreiging op digitale veiligheid minimaliseren' op het VNG Jaarevenement op 10 november.

Een aantal grote incidenten de laatste jaren laat zien dat de volledige gemeentelijke dienstverlening zomaar plat kan komen te liggen. Het 'Dreigingsbeeld informatiebeveiliging' van de Informatiebeveiligingsdienst (IBD) laat zien dat het aantal incidenten de afgelopen twee jaar is verdubbeld. De IBD ontving de afgelopen twee jaar steeds meer meldingen van situaties waar gemeentelijke processen langdurig(er) verstoord zijn als gevolg van destructieve gijzelsoftware. "Gemeenten moeten nadenken wat de kritische processen zijn en wat ze moeten regelen om die ongestoord verder te laten gaan", stelt Nausikaä Efstratiades, hoofd van de IBD, voorafgaande aan de tafeldiscussie. "Het is van belang dat we met elkaar de dreigingen en de risico's herkennen, en dat die ook op bestuurlijk niveau worden gezien."

'Geen academisch feestje'

Het is belangrijk binnen de organisatie dat Business Continuity Management (BCM) wordt gezien als iets van ons allemaal, voegt Patrick Spigt, directeur dienstverlening bij de gemeente Katwijk toe. "Zorg dat het bestuur dit tussen de oren krijgt. Daar begint het mee", raadt Wim Eppinga, gemeentesecretaris Hollands Kroon, dan ook aan. "Maak het concreet, wat hebben we eraan als gemeente, als burger?" Het moet geen academisch feestje zijn", stelt Murvin Chan, BCM-manager bij de gemeente Rotterdam, en lid van de expertgroep BCM van de IBD. Zijn collega in die expertgroep, Terence van Gestel, CISO bij de gemeente Tilburg, noemt het vooral ook belangrijk dat je als gemeente juist de samenwerking met anderen hierin zoekt, bijvoorbeeld met andere gemeenten in de regio.

Dagelijks aangevallen

De gemeente Katwijk krijgt dagelijks aanvallen vanuit de buitenwereld, vertelt Spigt. "Dat betekent dat je je systemen steeds moet verbeteren om dit technisch weg te vangen. Daarin moet je wel de hele organisatie meenemen en duidelijk maken hoe belangrijk bedrijfscontinuïteit management is." In Katwijk doen ze dat met nanolearning om iedereen hiervan bewust te maken en digivaardigheid mee te geven. "Het is fundamenteel om hiermee bezig te zijn. Het kan niet dat je maanden bezig bent om je dienstverlening op gang te brengen."

Daar is Eppinga het mee eens. "Uitkeringen, rijbewijzen, paspoorten, rioleringssystemen. Uitval raakt de hele samenleving. Ook wij worden voortdurend aangevallen, we hebben mooie systemen om dat te scannen. De kern van het probleem is dan ook niet de dreigingen, maar het gebrek aan bewustwording binnen de organisatie. Onze 400 medewerkers snappen het wel, maar er moet een bewustwordingsproces op gang komen om het te structuren."

Of het nu om een cybercrisis of een overstroming zoals in Limburg gaat, als gemeente moet je je bewust worden welke kritische processen moeten doorgaan. Chan: "Wij begeleiden en ondersteunen de lijnmanagers, gemeentesecretarissen en directeuren in het uitvoeren van hun verantwoordelijkheid." Medewerkers hebben daarbij hulp nodig van experts omdat ze niet dagelijks hiermee bezig zijn, vult Van Gestel aan.

Oefenen

Incidenten zelf helpen wel bij te dragen aan die bewustwording. Daar zijn alle tafelgasten het over eens. En de laatste jaren zijn er best wel flinke incidenten geweest in het nieuws. "Toch blijft het vaak een ver van je bed show totdat je het ervaart", stelt Eppinga. "Daarom is het zo belangrijk om veel te oefenen, met je poten in de modder. Plannen zijn maar papier maar door het te ervaren zie je de urgentie." Uit een oefening in Hollands Kroon bleek er een nadeel aan papierloos werken te zitten: er was geen papieren draaiboek! "Dat kwamen we te weten door zo'n oefening."

De kant- en klare plannen en tools van de IBD kunnen bijvoorbeeld helpen bij het oefenen. "Als er een probleem is dan heb je geen tijd te verliezen. Maak dan gebruik van onze formats", adviseert Chan. Hoe breng je prioriteit aan in wat je kritische processen zijn? Dat doe je aan de voorkant met stakeholders in gemeente. "Openbare orde en veiligheid tellen mee. En het belang van de inwoner. Natuurlijk hoef je het wiel niet alleen uit te vinden. Alle gemeenten in Nederland kennen dezelfde kritische processen, daarom hebben we in de expertgroep een overzicht gemaakt van dertien tot vijftien meest kritische bedrijfsprocessen. De eerste drie in Tilburg zijn bijvoorbeeld het uitbetalen van uitkeringen, het bijhouden van de BRP (Basisregistratie Personen), en het stadstoezicht.

Met elkaar investeren

Het moet zeker niet alleen een feestje van de chief information security officer (CISO) worden, benadrukt Chan. "Iedereen heeft de verantwoordelijk om dit op orde te krijgen. Hoe ga je bijvoorbeeld de uitkeringen uitbetalen? Dat weet de CISO niet. Ga gezamenlijk met elkaar de strijd aan. Maak het concreet voor de collega's: wat heb je eraan. Als je er nu elke dag aan werkt heb je het over een jaar goed geregeld."

Toch blijft het lastig om de mensen mee te krijgen hierin, waarschuwt Spigt. "Veel van onze mensen zijn hier komen werken om de inwoner direct te helpen en niet om dit soort vraagstukken op te lossen. Onze mensen zijn met de waan van de dag bezig en dan is het lastig om capaciteit vrij te maken in je agenda voor zaken als privacy, security en BCM. Je zal in de organisatie veel meer het gesprek moeten voeren en als directie leiderschap moeten tonen."

Chan: "Eigenaarschap is dan ook belangrijk. Daarom moet je het niet te technisch maken. Als je het te abstract houdt dan gaat het bij de gemiddelde medewerker niet leven." Maak de vertaalslag naar de praktijk, vult Van Gestel aan. "Wat zijn de alternatieven die je hebt als bijvoorbeeld IT wegvalt?"

Er is creativiteit nodig, stelt Spigt die dan ook pleit voor een multidisciplinair team die dit oppakt binnen de gemeentelijke organisatie. Ook pleit hij ervoor om meer samen te werken in de regio met andere gemeenten en de Veiligheidsregio. "Hoe kunnen we dit soort zaken met de IBD beter maken voor onszelf?"

Menu

December 2022

• Vorige pagina
• 12 pagina's
• Volgende pagina

1. Voorwoord
2. Een overheid voor iedereen
3. Bedrijfscontinuïteit is iets van ons allemaal
4. Regionale Werkcentra; valkuil of kans?
5. Op reis door het werklandschap
6. Samen voor werkgeversdienstverlening
7. Op het goede spoor
8. De leefwereld verbinden met de systeemwereld in het werkdomein
9. Preview Routekaart Financiële Zorgen
10. Samenwerken tegen de versnippering
11. De basis op orde voor ondernemers met financiële zorgen
12. Colofon