Aan innovatie geen gebrek bij gemeenten. Digitale overheidsdiensten en smart city-projecten schieten als paddenstoelen uit de grond. Daarmee groeit ook het belang van een solide beveiliging. De focus ligt hierbij vaak op bescherming tegen cyberaanvallen. Begrijpelijk, maar een belangrijk aspect sneeuwt onder: de continuïteit van de dienstverlening.
Gemeenten en hun inwoners worden steeds afhankelijker van digitale technologie. Dat brengt nieuwe risico’s met zich mee waarop gemeenten moeten anticiperen. Burgers verwachten dat digitale overheidsdiensten betrouwbaar zijn, dat de overheid zorgvuldig omgaat met hun privacygevoelige gegevens en dat er maatregelen tegen cybercriminaliteit van kracht zijn. Kortom, gemeenten moeten hun digitale zaken op orde hebben. Maar dat is makkelijker gezegd dan gedaan.
Cybersecurity is veelal gericht op bescherming tegen cyberdreigingen. Bewustwordingstrainingen helpen bijvoorbeeld bij het herkennen van phishing-aanvallen. Antimalware-oplossingen maken malware onschadelijk voor die het netwerk bereikt. En organisaties passen tweefactorauthenticatie toe om te voorkomen dat aanvallers toegang krijgen tot belangrijke informatie. Allemaal logische maatregelen, maar met één groot manco: ze houden nauwelijks rekening met het herstel na een incident om zo downtime te beperken.
Ransomware legt Atlanta plat
Om een goed en duidelijk voorbeeld te geven: een crisis in Atlanta toont hoe groot de impact van downtime kan zijn. Deze Amerikaanse stad met ruim 470.000 inwoners werd op 22 maart getroffen door ransomware. Drie maanden later kampt Atlanta nog steeds met serieuze problemen. Ruim een derde van de 424 computerprogramma’s die de stad gebruikt, is volledig of deels onbruikbaar. Bijna 30 procent wordt beschouwd als ‘mission critical’. Cruciale diensten zoals de politie en rechtbanken ondervinden hier hinder van.
Heeft Atlanta gefaald op het gebied van cybersecurity? Misschien, maar de realiteit is dat een digitale beveiliging nooit waterdicht is. Cybercriminelen bedenken telkens nieuwe methoden om technische oplossingen te omzeilen. Om gelijke tred te houden met de aanvallers, moeten gemeenten hun beveiliging dus continu tegen het licht houden – ook in Nederland. Maar zelfs met de beste securityexperts en een onbeperkt budget is een ransomware-besmetting niet geheel uit te sluiten.
Het belang van cyberresilience
Wel kunnen we vaststellen dat Atlanta niet uitblinkt in het waarborgen van de continuïteit. Het vermogen van een organisatie om na een cyberaanval of storing te herstellen – de ‘cyberresilience’ – is minstens zo belangrijk als de beschermende maatregelen. Hoe zorgen we ervoor dat applicaties snel weer operationeel zijn? Welke alternatieven hebben we? Hoe voorkomen we gegevensverlies?
Een strategie voor cyberresilience vereist een gelaagde aanpak waarin elementen als informatiebeveiliging, continuïteit en archivering samenkomen. Ik illustreer dit graag aan de hand van een voorbeeld: e-mail. Stel dat een e-maildienst als Microsoft Outlook of Gmail eruit ligt door een storing. Dan is het belangrijk om snel over te kunnen stappen op een vergelijkbare dienst. Ook moet je de e-mailgegevens kunnen herstellen, wat niet mogelijk is als alles bij één bedrijf gehost wordt.
Digitaal geheugen in de cloud
Met een cloudgebaseerde archiveringsdienst kunnen gemeenten hun e-mail cyberresilient maken. Deze oplossing creëert een soort digitaal geheugen van de organisatie, zodat er altijd een actuele back-up van de e-mails is. Op deze manier kun je het risico op gegevensverlies na een cyberaanval, menselijke fout of technische storing drastisch beperken. Gevoelige data zijn altijd versleuteld, beschikbaar, repliceerbaar en veilig in de cloud.
Dit is slechts een voorbeeld van een maatregel die bijdraagt aan cyberresilience. Ook het vergroten van het bewustzijn kan een belangrijk middel zijn. Tot deze conclusie kwamen bijvoorbeeld de gemeenten Blaricum, Eemnes en Laren nadat ransomware de it-systemen van Burgerzaken had platgelegd. In tijden van crisis moeten de verantwoordelijkheden duidelijk zijn, zodat iedereen weet wat hij of zij moet doen.
Uit onderzoek van Vanson Bourne blijkt echter dat nog geen 30 procent van de ondervraagde organisaties een strategie hanteert voor cyberresilience. Ook gemeenten moeten zich bewust zijn van deze blinde vlek. Wat zich in Atlanta afspeelt, kan ook hier zomaar gebeuren. Maar als we nu al rekening houden met het ergste, zijn we straks in ieder geval goed voorbereid.
En uiteraard vergeet naast techniek voor cyberresilience het trainen van de mensen niet 🙂 Niet met regeltjes en geboden, maar met praktische tips en micro-learnings die prikkelen. Ik spreek voor eigen parochie 😉