Veel gemeenten zijn niet voorbereid op aanvallen van cybercriminelen. Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack. In sommige gevallen hebben gemeenten niet eens tweestapsverificatie ingesteld voor hun medewerkers, blijkt uit een rondgang van vakbladen AG Connect en Binnenlands Bestuur.
Naar aanleiding van incidenten in Hof van Twente en Lochem stelde journalist Sjoerd Hartholt samen met privacy-deskundige Brenno de Winter vragen over de voorbereiding van gemeenten op eventuele hacks. 'Hebben gemeenten draaiboeken klaarliggen? Wordt er in gemeenteraad over gesproken en is er Rekenkameronderzoek gedaan? Veel gemeenten zijn er teleurstellend weinig mee bezig en van de 50 benaderde gemeenten antwoordden er slechts 27.'
Waarom?
Wat de gemeenten bezielt om de beveiliging zo te verwaarlozen vindt Hartholt lastig te zeggen. 'Veel gemeenten vinden dat ze er hard aan trekken en dat het allemaal niet zo slecht gaat. Maar ondertussen hebben ze simpele dingen niet op orde of schuiven ze eenvoudig onderzoek voor zich uit. Gemeenten zijn bang dat aanvallen van buitenaf van ethisch hackers veel reuring en vaak een kritisch rapport opleveren; Rekenkameronderzoeken zijn vaak vernietigend.'
Na het recente incident in Hof van Twente mag je hopen dat er een gevoel van urgentie is, zegt Hartholt. Toch houden veel gemeenten zich nog angstvallig stil. 'Concrete antwoorden blijven vaak uit. Bij andere vragen was het antwoord: 'we kunnen dat niet zeggen, want het is mogelijk gevoelige informatie', terwijl dat helemaal niet zo was. Het viel ook op dat gemeenten vaak niet goed kunnen uitleggen wat ze precies doen - ook een teken aan de wand.'
Andere gemeenten zouden een voorbeeld kunnen nemen aan Den Haag, dat een jaarlijks hack-evenement organiseert met meer dan honderd hackers. 'Die krijgen compleet vrij spel en ze leggen elk jaar enorme gaten en risico's bloot. Dat is misschien niet fijn, maar daar heb je wel het meeste aan.' De kostenafweging is aan de gemeenten, maar in het geval van Hof van Twente is de investering een schijntje ten opzichte van de voorkomen schade.
Reactie
Volgens de Vereniging Nederlandse Gemeenten spelen de problemen niet alleen bij gemeenten, maar maatschappijbreed. Daarom moet je gemeenten er niet meteen op afrekenen als je makkelijk binnenkomt als hacker. Die reactie komt voor Hartholt niet onverwacht. 'Maar volgens mij moet je juist als overheid vooroplopen. Het is goed dat de VNG via een speciaal loket speciale zaken aanbiedt om het beter te doen, maar gemeenten moeten daar zelf ook stappen in zetten.'
Remco Groet is van de informatiebeveiligingsdienst voor gemeenten, onderdeel van de Vereniging van Nederlandse Gemeenten (VNG). Hij is niet enthousiast over de conclusies. 'We herkennen de voorbeelden uit het onderzoek wel, maar het is wel erg selectief. Er worden allerlei negatieve zaken belicht, maar informatiebeveiliging is veel meer dan dat.'
Groet protesteert met name tegen het beeld dat wordt geschetst van gemeenten. 'Het lijkt nu net alsof wij informatiebeveiliging als enige niet op orde hebben, terwijl dat net zo goed geldt voor de rest van de publieke en de private sector.'
Wel erkent hij dat de overheid een voorbeeldfunctie heeft en dat er nog veel werk te verzetten is.
Bron: bnr.nl
Meer info over Cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Criminal-to-criminal-model met een duidelijke rolverdeling neemt verder toe in 2022
Er zijn inmiddels al twee pandemie-jaren verstreken. Deze jaren hebben niet alleen veranderingen teweeggebracht in de werkcultuur, maar hebben ook gezorgd voor compleet nieuwe security-uitdagingen. Waar in het eerste coronajaar het verhuizen van medewerkers naar de thuisomgeving centraal stond, werden bedrijven het afgelopen jaar geconfronteerd met de veiligheidsrisico’s die deze, soms overhaaste, digitalisering met zich meebracht. Om de veiligheidsrisico’s het komende jaar te minimaliseren, zullen bedrijven hun IT-beveiligingsinfrastructuur moeten aanpassen aan de cloud. Nicolas Casimir, CISO EMEA bij Zscaler, gaat verder in op deze en andere trends voor het komende jaar.
Cybergevaren in 2022 de grootste zorg voor bedrijven in Belgie en Nederland voor COVID-19
Volgens de Allianz Risicobarometer vormen cybergevaren in 2022 de grootste zorg voor bedrijven wereldwijd. De dreiging van ransomware-aanvallen, datalekken of een grote IT-uitval baart bedrijven nog meer zorgen dan bedrijfsonderbrekingen en verstoring van de toeleveringsketen, natuurrampen of de coronapandemie, die bedrijven in het afgelopen jaar allemaal zwaar hebben getroffen.
‘VPNLab’ offline gehaald door politie diensten
Handhavingsinstanties ondernamen deze week actie tegen het misbruik van VPN-diensten door criminelen. Dit deden ze door de infrastructuur en de gebruikers van VPNLab.net aan te pakken. De producten van de VPN-provider, bedoeld voor afgeschermde communicatie en internettoegang, werden ter ondersteuning van ernstige misdrijven gebruikt. Zoals de inzet van Ransomware en andere cybercriminaliteit.
Drie kennissessies over de cyberrisico's bij procesautomatisering
Eind 2021 organiseerden diverse partijen - waaronder het CIP - drie kennissessies over de cyberrisico's bij procesautomatisering. Van deze sessies zijn nu ook podcasts beschikbaar. Zeker ook interessant voor overheden!
Aantal cyberaanvallen steeg in 2021 met 50% vergeleken met een jaar eerder
Het aantal cyberaanvallen per week steeg in 2021 met 50% vergeleken met een jaar eerder, stellen cybersecurity onderzoekers. In het vierde kwartaal was er een recordhoogte van 925 aanvallen per week per organisatie wereldwijd. Dit melden onderzoekers van Check Point, een multinationaal IT-securitybedrijf.
Informatiebeveiliging en cyberrisico’s één van belangrijkste risico’s voor financiële instellingen
De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.