Ondanks geruchtmakende incidenten zoals bij Hof van Twente, nemen gemeenten weinig maatregelen tegen cyberaanvallen. Bijna de helft oefent niet met gesimuleerde hackaanvallen. Mocht er zich onverhoopt toch een cyberdreiging of digitale crisis voordoen, dan ligt er vaak geen draaiboek klaar. Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect. Zij stuurden in april vijftig gemeenten een vragenlijst over cybersecurity en informatiebeveiliging. Daarvan reageerden er zevenentwintig. De belangrijkste bevindingen van het onderzoek zijn vandaag gepubliceerd.
Uit de peiling blijkt dat oefenen met cybersecurityaanvallen verre van vanzelfsprekend is voor gemeenten. Zes van de zevenentwintig gemeenten oefent helemaal niet met digitale aanvallen op hun eigen computersystemen. Elf gemeenten doen dat gedeeltelijk, of zijn druk doende om dergelijke simulaties voor te bereiden. Securityexpert Brenno de Winter noemt de resultaten ‘erg teleurstellend’. “Dit past bij het beeld dat in plaats van een echte test voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt”, aldus De Winter.
In het onderzoek komt tevens naar voren dat slechts één op de drie gemeenten in de afgelopen vijf jaar zijn informatiebeveiliging heeft laten keuren en analyseren door de Rekenkamer. Volgens De Winter vindt dergelijk onderzoek nauwelijks plaats, omdat de relevante kennis vaak ontbreekt bij de Rekenkamers. Het is daarentegen wel belangrijk dat het regelmatig gebeurt: bij interne penetratie- of pentests vinden onderzoekers vrijwel altijd kritieke kwetsbaarheden.
Afgelopen maand bleek nog dat de informatiebeveiliging van de gemeente Utrecht niet op orde was. Medewerkers waren onvoldoende op de hoogte van de gevaren van social engineering en phishing en was geheime informatie niet goed opgeborgen. Verder werkte de gemeente met verouderde besturingssystemen en waren wachtwoorden eenvoudig te bemachtigen of te kraken. De beveiliging van buitenaf was daarentegen wel op orde. De Rekenkamer Utrecht adviseerde om structureel te investeren in het trainen van de medewerkers en de inrichting van gemeentelijke gebouwen te verbeteren om ongeautoriseerde toegang te voorkomen.
Het ontbreken aan technische kennis is volgens de onderzoekers een veel voorkomend probleem. Niet alleen bij Rekenkamers, maar ook bij gemeenteraadsleden en colleges van B&W. Zonder deze kennis is er niemand die aan de bel kan trekken als er iets niet in de haak. Doordat deze kennis ontbreekt, beschikt één op de vijf gemeenten niet over een draaiboek als er een cyberaanval plaatsvindt.
Volgens De Winter speelt dat voornamelijk bij kleinere gemeenten en oefenen zij het minst met gesimuleerde cyberdreigingen. Zodoende belanden zij in een vicieuze cirkel. “Als je niet oefent met aanvallen van buitenaf, gaat dat draaiboek er ook niet komen. Je wilt een oefening draaien waarin alles in het honderd loopt, zodat er na afloop een gevoel ontstaat van: daar moeten we iets mee”, zegt de beveiligingsexpert tegenover Binnenlands Bestuur en AG Connect.
De Winter pleit voor openheid van zaken. Op dit moment willen gemeenten veelal niets kwijt over hun informatiebeveiliging, of bijvoorbeeld het budget dat zij jaarlijks kwijt zijn aan pentests. “Een bedrag kan variëren, maar zegt niks over de uiteindelijke rapportages. Openheid van zaken geven hierover is juist belangrijk.”
Hof van Twente is de uitzondering op de regel. De gemeente was in december 2020 het doelwit van een ransomware-aanval. Hackers wisten de computersystemen van de gemeente binnen te dringen en privacygevoelige informatie van de gemeente en haar inwoners te versleutelen. Het ging onder anderen om de financiële administratie en aanvragen voor jeugdzorg en omgevingsvergunningen. Verder wisten de daders vertrouwelijke informatie over werk, inkomen en schulden van burgers buit te maken. Tot slot wisten ze de back-up systemen plat te leggen.
Burgemeester Ellen Nauta liet de zaak grondig onderzoeken. Ze vond het belangrijk dat de resultaten openbaar werden gemaakt. Half maart publiceerde cybersecuritybedrijf NFIR haar onderzoekrapport naar de aanval. Rond dezelfde tijd maakte De Winter zijn duidingsrapportage openbaar. Daaruit bleek dat de beveiliging op een aantal punten te wensen overliet. Door een aanpassing in de firewall kon de FTP-server overal vandaan bereikt worden. Bovendien draaide deze server op een kwetsbare versie van het Remote Desktop Protocol (RDP) van Microsoft. Tot slot was het wachtwoord van de FTP-server weliswaar aangepast, maar allesbehalve sterk: deze luidde Welkom2020. Een pentest waarschuwde hier niet voor.
De Informatiebeveiligingsdienst (IBD) laat in een reactie weten dat gemeenten informatiebeveiliging wel degelijk serieus nemen en er hard aan werken. Een woordvoerder vertelt zich niet in de conclusies te kunnen vinden. “De voorbeelden in dit artikel zijn herkenbaar, maar het is een beetje selectief winkelen. Dit artikel wekt de schijn dat het bij gemeenten in het bijzonder slecht is gesteld, terwijl de maatschappij als geheel een been zou moeten bijtrekken. Gemeenten zijn transparant over hun incidenten en bestuurders zijn zich bewust van hun verantwoordelijkheden rondom digitale veiligheid.”
Demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops schreef afgelopen maart een voortgangsbrief om de Tweede Kamer bij te praten over het vergroten van de digitale weerbaarheid van de publieke sector. Daarin schreef hij onder meer dat zijn ministerie samen met de Vereniging van Nederlandse Gemeenten (VNG) de afgelopen jaren drie cyberoefenpakketten heeft ontwikkeld voor gemeenten en provincies.
Knops erkent dat het een goed begin is, maar dat er nog veel werk voor de boeg is om digitale dienstverleningsprocessen en computersystemen minder kwetsbaar te maken. “Technologie en de bijbehorende bedreigingen lijken zich sneller te ontwikkelen dan dat organisaties adequate beheersmaatregelen kunnen inrichten. Hierbij is het besef gekomen dat men meer en meer moet accepteren dat cyberincidenten niet altijd te voorkomen zijn, maar dat men beter in staat moet zijn deze incidenten te detecteren en beter moet kunnen ingrijpen om de gevolgen te beperken”, zo schreef de staatssecretaris aan de Tweede Kamer.
Structureel oefenen met gesimuleerde cyberaanvallen is volgens Knops de enige manier om in de toekomst het hoofd te bieden aan cyberdreigingen.
