Een digitaal veilige gemeente begint niet bij de burgemeester
Als er in de gemeente iets helemaal misgaat in cyberspace wordt er algauw naar de burgemeester gekeken. Professor Bibi van den Berg pleit voor een systeem waarin cybersecurityvraagstukken voor gemeenten deels op een collectief niveau worden georganiseerd. ‘Het is raar dat we bij digitale veiligheid de verantwoordelijkheid bij de burgemeester neerleggen. Dat doen we een vitaal systeem als de drinkwatervoorziening ook niet.’
Als hoogleraar cybersecurity governance onderzoekt Bibi van den Berg hoe overheden en organisaties sturing kunnen geven aan digitale veiligheid. ‘Hoe ontwikkelt cybercrime zich en wat kan de overheid daarin doen? Wat voor afspraken kunnen we maken over wenselijk gedrag in cyberspace? Hoe ziet het cybersecuritylandschap eruit; van gemeenten tot de internationale orde en alles daartussenin. Dat soort vragen onderzoeken we hier aan de Universiteit Leiden. Daarnaast ben ik lid van de cybersecurityraad en zit ik in diverse adviesraden waaronder de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS).’ De vele nevenfuncties zijn niet het gevolg van te veel vrije tijd. ‘Nee, het is voor wetenschappers belangrijk om kennis uit de echte wereld op te halen. Zodat wat we onderzoeken ook realiteitszin heeft; en dat kan niet vanaf een papieren werkelijkheid.’
Van den Berg weet daarom goed hoe complex de cyberwereld er voor gemeenten uitziet. ‘Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar. De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn.
Daarnaast zijn er binnen de gemeentegrenzen allerlei partijen actief met hun eigen systemen die ook allemaal aan dat internet gekoppeld zijn. Die partijen hebben uiteraard een eigen verantwoordelijkheid. Maar als gemeente ga je over bijvoorbeeld de vuilnisophaaldienst. Die van oudsher fysieke voorziening is vandaag de dag ook gekoppeld aan digitale netwerktechnologie. Het gaat niet meer alleen om IT (informatietechnologie), maar ook om OT (operationele technologie). En als daar wat misgaat is dat ook het probleem van de gemeente.’
Verstopt in de techniek
Dat probleem ontrafelen en er goede antwoorden op vinden, dat is een enorme uitdaging voor gemeenten en Van den Berg begrijpt dat maar al te goed. ‘Zolang het goed gaat blijven de risico’s abstract. Je weet gewoon niet precies wat er kan gebeuren, laat staan hoe je ‘het’ kunt voorkomen. En als je bepaalde maatregelen neemt, weet je vaak niet eens of ze helpen want die zitten digitaal verstopt in de techniek. In tegenstelling tot bijvoorbeeld een heel groot slot op de deur; dat kun je gewoon zien. Dat maakt het lastiger om de noodzaak tot investeren in digitale veiligheid te onderkennen. Het is best ingewikkeld om te bepalen of een bepaald incident zich niet voordoet omdat je een maatregel hebt getroffen of dat het gewoon toeval is. Ik kan me dus goed voorstellen dat je als gemeentebestuur zegt: dat geld besteden we liever aan het sociaal domein. Totdat het fout gaat en je geconfronteerd wordt met hoe enorm wijdvertakt digitale systemen zijn. En er ineens niks meer werkt.’
Om het verschil met fysieke veiligheid te illustreren maakt Bibi van den Berg de vergelijking met een ouderwetse inbraak. ‘Je ziet meteen braaksporen en je juwelen zijn weg. Bij een digitale inbraak zijn de daders soms al maanden binnen zonder dat je het merkt. En lang niet altijd zijn je digitale juwelen weg; stelen is in de digitale wereld vaak kopiëren. Dit maakt dat we anders na moeten denken over veiligheid dan we gewend waren bij fysieke veiligheid.’
Collectieve zorgtaak
Anders nadenken betekent bijvoorbeeld minder nadruk op preventie, hoe gek dat in eerste instantie ook klinkt. ‘De laatste dertig jaar hebben we enorm veel energie gestoken in het voorkomen van incidenten. Op zich logisch en nuttig, maar cyberspace is zo complex; je kunt niet alles voorkomen en bovendien komen er voortdurend nieuwe kwetsbaarheden bij. Daarom is er de laatste jaren naast preventie ook meer nadruk komen te liggen op het detecteren van incidenten en op het reageren op incidenten. En daartoe moet je het brede speelveld kunnen overzien. Daaruit vloeit mijn overtuiging voort dat het onmogelijk is voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ik pleit voor een systeem waarin cybersecurityvraagstukken en IT-beheervraagstukken voor gemeenten deels op een hoger collectief niveau worden georganiseerd. De IBD heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd.’
Want nu hangt het er vaak maar vanaf hoe de cybersecurityorganisatie in een getroffen gemeente eruitziet. ‘Ik zie daarin grote verschillen,’ vervolgt Van den Berg. ‘Tussen grote en kleine gemeenten, in de hoeveelheid kennis en bewustwording in huis, in budgetten en menskracht. Daarom is het onverstandig om tegen de individuele gemeente te zeggen: zorg zelf maar voor je digitale veiligheid. Het is raar dat we bij digitale veiligheid de verantwoordelijkheid bij de burgemeester neerleggen. Dat doen we bij vitale systemen als de drinkwatervoorziening ook niet. Het gemeentebestuur hoeft niet voortdurend te testen of het wel goed zit met het drinkwater; die verantwoordelijkheid is opgenomen in het totale organisatiesysteem. Maar voor digitalisering is dat nog niet geregeld. En daardoor worden verantwoordelijkheden op verkeerde plekken belegd. Dat zie je terug op meerdere niveaus: is je telefoon gehackt? Eigen schuld, had je maar een beter password moeten gebruiken. Hof van Twente gehackt? Is de schuld van die systeembeheerder met z’n simpele wachtwoord welkom2020. Maar hij is niet de dader, hij is slachtoffer. De complexiteit van dit soort vraagstukken is zo hoog dat je je moet afvragen of het redelijk is om aan de eindgebruiker op te dragen dat hij het maar moet regelen.’
De juiste vragen stellen
Tot haar tevredenheid ziet Van den Berg verandering op dit vlak. ‘In de nieuwe Nederlandse Cybersecuritystrategie zie je een verschuiving van verantwoordelijkheid naar de voorkant. Naar de partijen die de systemen aanbieden. Die systemen moeten op voorhand gaan voldoen aan wet- en regelgeving en technische standaarden. Ook in de aankomende Europese cyber securitywet, de EU Cybersecurity Act, wordt dat opgenomen. Logisch eigenlijk, want voor bijvoorbeeld je koffiezetapparaat is het allang zo geregeld dat die moet voldoen aan veiligheidseisen en dat het niet aan jou is om te zorgen dat ie veilig is. En zo is het dus ook niet aan de burgemeester om ervoor te zorgen dat IT-systemen veilig zijn. Keuzes moeten op een eerder punt in de keten gemaakt worden. Een digitaal veilige gemeente begint niet bij de burgemeester.’
Van den Berg zegt daarmee niet dat burgemeesters en andere gemeentelijke actoren achterover kunnen leunen. ‘Om de governance in de gehele digitale veiligheidsketen te verbeteren moet je weten hoe het spel in elkaar zit. Als je niet snapt waar het over gaat, kun je niet de juiste vragen stellen en ook niet aangeven waarom iets wel of niet van jou is. We moeten op strategisch niveau, met de relevante partijen, de discussie aan hoe we in Nederland de taken en verantwoordelijkheden in cyberspace verdelen. Ik realiseer me dat een systemische verandering tijd nodig heeft. Ondertussen moeten we allemaal aan de bak om de uitdagingen te begrijpen, ons voor te bereiden op incidenten en crisismanagement in te richten.’
Tekst Quita Hendrison / Gepubliceerd in Burgemeestersblad 103