Kwetsbaarheden in software en risico’s door digitale samenwerking met andere gemeenten vormen de achilleshiel van de ict-beveiliging van de lokale overheid. De afgelopen jaren steeg het aantal beveiligingsincidenten zoals ransomware-aanvallen op gemeenten fors. Ook voor de komende jaren zijn gemeenten kwetsbaar omdat ze niet meekunnen in de snelheid waarmee criminelen nieuwe aanvalstactieken ontwikkelen.
Dat blijkt uit het rapport ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten‘. In de studie kijkt de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) twee jaar vooruit om vervolgens een somber beeld te schetsen. ‘De dreiging neemt zo snel toe, dat er meer nodig is om het groeiende gat te dichten. Als gemeenten hun weerbaarheid niet verhogen, zal de toenemende, steeds professionelere dreiging in combinatie met het steeds grotere aanvalsoppervlak, leiden tot meer incidenten: een neerwaartse spiraal.’
De IBD ziet dat in het bijzonder drie soorten dreigingen opvallen sinds het uitbrengen van het vorige dreigingsbeeld (2021- 2022). Er is meer ransomware en dat heeft destructievere gevolgen. Er zijn steeds meer en ernstigere kwetsbaarheden in software en er ontstaan gevaren in ketens die uit het zicht blijven van gemeenten.
De beveiligingsdienst ontving de afgelopen twee jaar vaker meldingen van situaties waarin gemeentelijke processen langdurig verstoord waren als gevolg van ‘destructieve’ gijzelsoftware. ‘Criminelen aarzelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren.’ Als voorbeeld wordt de recente ransomware-aanval op de gemeente Buren genoemd. Bij de hack zijn gegevens van de gemeente gestolen. Vervolgens is een grote hoeveelheid data gepubliceerd op het darkweb.
Privacy
Ook ziet de dienst steeds meer en ernstigere kwetsbaarheden in software. Het aantal kwetsbaarheden met een hoge kans op misbruik en grote gevolgen voor de dienstverlening van gemeenten en de privacy van betrokkenen, steeg van 24 in 2019 naar 45 in 2020 tot negentig in 2021.
Als voorbeeld geldt een lek in softwarecomponent Log4j. Die logtool voor Java-webapplicaties is massaal misbruik en dat zorgde er eind 2021 voor dat tienduizenden softwarepakketten met grote spoed moesten worden aangepast of bijgewerkt. ‘Feitelijk was deze kwetsbaarheid aanwezig bij nagenoeg iedere organisatie ter wereld met een omvangrijke ict-omgeving, dus ook Nederlandse gemeenten.’
Ook samenwerkingen maken gemeenten kwetsbaar. ‘Een gemeente neemt deel in gemiddeld dertig samenwerkingsverbanden en maakt gebruik van diensten van derden zoals softwareleveranciers. Omdat men bij uitbesteding vooral stuurt op de kwaliteit van de uiteindelijke dienstverlening en informatiebeveiliging en privacy gezien worden als operationele details, is daar weinig aandacht voor in de samenwerkingsafspraken’ schrijven de samenstellers van het rapport.
Ze zien dat informatiebeveiliging vaak als kostenpost wordt benaderd. ‘Als er al concrete afspraken zijn over informatiebeveiliging en privacy, dan staat controle op de naleving beperkt op de agenda. Gemeenten vertrouwen erop dat bij een samenwerkingsverband dergelijke zaken gewoon geregeld zijn.’
Een voorbeeld van een incident dat ontstond bij derden, maar waarbij de gevolgen in de eigen gemeente merkbaar waren, is werkbedrijf Senzer. Dat samenwerkingsverband van zeven gemeenten werd in 2021 getroffen door een inbraak op het netwerk. De betaling van uitkeringen liep vertraging op. Systemen waren niet toegankelijk, medewerkers konden daardoor niet op een normale manier hun werk doen.
Vertrekpunt
Om de weerbaarheid te vergroten, zijn de AVG en de BIO (Baseline Informatiebeveiliging Overheid), een normenkader voor informatieveiligheid, een goed vertrekpunt, zo vindt IBD.
In het rapport doen de makers een aantal technische, organisatorische en financiële aanbevelingen aan gemeenten. Het gaat om de inzet van backups en het regelmatig-testen van de beschikbaarheid van die bestanden en het nemen van voorbereidingen op een mogelijke uitval van systemen. Ook tweefactor-authenticatie en het vastleggen van de rollen van bijvoorbeeld ciso’s (chief information security officers) en fg’s (functionarissen gegevensbescherming) moet goed worden vastgelegd zodat tijdens een incident duidelijk is wie er verantwoordelijk is voor de beveiliging en privacy van data van burgers. Ook moet de gemeentesecretaris een belangrijke rol vervullen om het tij te keren, vindt de beveiligingsdienst. Diegene moet het initiatief nemen om cyberweerbaarheid binnen gemeenten ‘aan te jagen’, schrijven ze.
