Cybercriminelen slaan steeds vaker toe bij overheidsinstellingen, die in groeiende mate afhankelijk zijn van digitale systemen. Eind 2020 werd de gemeente Hof van Twente volledig platgelegd door cybercriminelen. Tijdens deze hack-aanval versleutelden cybercriminelen de gegevens op veel gemeentelijke servers. Om gemeenten te ondersteunen en te adviseren bij deze groeiende bedreiging, brachten NHL Stenden Hogeschool en De Haagse Hogeschool in kaart in welke mate Nederlandse gemeenten zich voorbereiden op zo’n cybercrisis. “Het onderwerp staat hoog op de agenda, maar níet op papier”, stellen de onderzoekers.
Online een identiteitsbewijs aanvragen. Digitaal je rijbewijs verlengen. Of met één klik op de knop een uittreksel uit het bevolkingsregister opvragen. Onze wereld digitaliseert in rap tempo. Ook gemeenten leunen meer en meer op digitale systemen om de dienstverlening voor hun burgers te organiseren. Gevolg is dat ze steeds kwetsbaarder worden voor aanvallen op, of de uitval van deze systemen; een zogenoemde cybercrisis. Recente hack-aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid in 2019 maakten eens en te meer duidelijk dat cyberincidenten grote impact kunnen hebben. Aanleiding voor onderzoekers van NHL Stenden Hogeschool en De Haagse Hogeschool om de handen ineen te slaan voor een verkennend onderzoek naar hoe gemeenten zich voorbereiden.
Een wereld van verschil
In de periode van 1 juli tot 1 december 2020 spraken de onderzoekers met ambtenaren van 18 verschillende gemeenten verspreid over Nederland. Het merendeel van de respondenten was werkzaam als Chief Information Security Officer (CISO) of als adviseur bij de afdeling Openbare orde en Veiligheid. “Wat ons als eerste opviel was dat deze twee collega’s elkaar – in vrijwel alle gemeenten – nauwelijks kenden”, vertelt Sander Ebbers, docent-onderzoeker bij de onderzoeksgroep Cybersafety van NHL Stenden Hogeschool. “Zowel bij grote als kleine gemeenten komt de samenwerking tussen de traditionele crisisafdeling Openbare Orde en Veiligheid en de IT-afdelingen moeilijk op gang. Tussen de fysieke wereld en de digitale wereld zit binnen gemeenten vaak nog een wereld van verschil. Verontrustend, omdat een cybercrisis ook potentieel invloed kan hebben op de fysieke omgeving.”
Als voorbeeld noemt Ebbers de cyberaanval op containergigant Maersk in de Rotterdamse haven in 2017. “Tijdens een aanval vernietigden cybercriminelen data van de servers van Maersk. Het gevolg was een logistieke puinhoop. Schepen konden hun containers niet laden en lossen en vrachtwagens stonden tot kilometers ver in de omgeving te wachten tot ze de haven in konden. Deze hack-aanval zorgde voor lange files op omliggende (snel)wegen. Vandaar dat ook de gemeente Rotterdam in actie moest komen. Dit voorbeeld bewijst dat een cybercrisis ook direct fysieke gevolgen kan hebben voor de burgers, waar je als gemeente rekening mee moet houden.”
Wel op de agenda, niet op papier
Dat een aanval van cybercriminelen nog vele malen heviger kan uitpakken voor gemeenten en burgers, weet ook Joyce Koch, onderzoeker bij het lectoraat Riskmanagement en Cybersecurity bij De Haagse Hogeschool. “We spreken wel eens over de worst case scenario’s, waarbij criminelen het water- of stroomnet weten te hacken. Of wat dacht je van het platleggen van onze financiële transacties of het hacken van onze sluizen en gemalen. Gemeenten moeten zich dus niet alleen voorbereiden op een cybercrisis waarbij zij zelf het slachtoffer zijn. Ze kunnen tegelijkertijd ook geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie of bedrijf – gevestigd in de gemeente – wordt getroffen door een cyberaanval.”
“De deelnemende gemeenten gaven aan dat ze in zeer beperkte mate ervaring hebben met cybercrises”, vertelt Koch. “Ondanks dat ze er zelf nog niet direct mee te maken hebben gekregen, zijn alle deelnemende gemeenten zich wel bewust van het feit dat een cybercrisis een reëel gevaar is. Kortom: het bewustzijn is er, maar desondanks heeft het overgrote deel geen draaiboek in de kast liggen mocht het ooit zover komen. Het onderwerp staat wél hoog op de agenda, maar níet op papier.”
Oefenen met cybercrisissituaties
Een opvallende derde uitkomst van het onderzoek is dat bij gemeenten die aangaven wel een (cyber)crisisplan op de plank te hebben liggen, dit plan meestal ook echt op de plank blijft liggen. “In slechts zeer beperkte mate oefenen gemeenten met deze crisisscenario’s”, concludeert Jurjen Jansen, senior onderzoeker bij de onderzoeksgroep Cybersafety van NHL Stenden Hogeschool. “De betreffende gemeenten lijken dus in zekere zin goed voorbereid, maar weten eigenlijk niet of de draaiboeken en crisisplannen wel werken tijdens een cybercrisis. Als reden om niet te oefenen, werd veelal tijdsgebrek genoemd. Voor het efficiënt oefenen van zo’n crisissituatie zijn geavanceerde crisisgames ontwikkeld. Het is tevens de vraag of formaliseren van protocollen en plannen daadwerkelijk zorgt voor een betere afhandeling bij een werkelijke cybercrisis. Ook daar ligt voor ons een taak.”
Dit verkennende onderzoek is dan zeer zeker ook geen gesloten boek, als het aan de onderzoekers ligt. “Dit onderzoek heeft ons een beter inzicht gegeven in de kennishiaten en de dilemma’s die er binnen gemeenten spelen”, knikt Jansen. “In een vervolgonderzoek willen we gemeenten nog gerichter gaan adviseren en concrete ondersteuning aanbieden bij het opstellen van zo’n cybercrisisplan. Wat ons betreft liggen er genoeg actiepunten die de moeite waard zijn om verder te onderzoeken.”
Lees het onderzoek hier.