Kwetsbaarheden in software kunnen funest zijn voor lokale overheden. Ze zijn een risico door digitale samenwerking met andere gemeenten en daarmee dus de achilleshiel van de ict-beveiliging van de lokale overheid.
Dat blijkt uit het rapport ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’. In de studie kijkt de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) twee jaar vooruit. En dat beeld is somber. D
e risico’s voor gemeenten groeien. De afgelopen jaren steeg het aantal beveiligingsincidenten zoals ransomware-aanvallen op gemeenten en gemeentelijke instellingen fors. Dat blijft volgens het rapport de komende jaren zo. Gemeenten zijn vooral kwetsbaar omdat ze niet in staat zijn om mee te gaan in de snelheid waarmee criminelen in staat zijn om nieuwe aanvalstactieken in te zetten.
De IBD ziet dat in het bijzonder drie soorten dreigingen opvallen sinds het uitbrengen van het vorige dreigingsbeeld twee jaar geleden.
- Meer ransomware, destructievere gevolgen
- Steeds meer en ernstiger kwetsbaarheden in software
- Gevaren in ketens uit het zicht
Ransomware en fouten in software
Het aantal ransomware-aanvallen op lokale overheden groeit en ze zijn tegelijk ook steeds professioneler. Ook ziet de IBD steeds meer en vaak ook ernstigere fouten in software. Dit aantal fouten steeg van 24 in 2019 naar 45 in 2020 tot negentig in 2021. En juist naar die fouten zijn criminelen op zoek. Het rapport benadrukt dan ook het belang van investeringen in informatieveiligheid.
De IBD ziet wel dat gemeenten informatiebeveiliging belangrijk vinden en voortdurend stappen zetten. Zo is er bij de samenwerking met externe partijen, zoals organisaties die uitkeringen verstrekken of belastingen innen, meer aandacht nodig voor informatiebeveiliging en privacy.
Criminelen aarzelen volgens het rapport niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren. Met als voorbeeld de ransomware-aanval op de gemeente Buren. Daarbij werden gegevens van gemeenten niet alleen gestolen maar ook kwam een grote hoeveelheid data op straat te liggen door publicatie op het darkweb.
Als voorbeeld noemt het rapport een lek in softwarecomponent Log4j. “Die logtool voor Java-webapplicaties bleek massaal misbruikt te worden met eind 2021tienduizenden getroffen softwarepakketten die met grote spoed moesten worden aangepast of bijgewerkt. Feitelijk was deze kwetsbaarheid aanwezig bij nagenoeg iedere organisatie ter wereld met een omvangrijke ict-omgeving, dus ook Nederlandse gemeenten.”
Samenwerkingen
Ook samenwerkingen maken gemeenten kwetsbaar. Volgens het rapport neemt een gemiddelde gemeente deel in zo’n dertig samenwerkingsverbanden. Verder maken ze allemaal gebruik van diensten van derden zoals softwareleveranciers. Omdat men bij uitbesteding vooral stuurt op de kwaliteit van de uiteindelijke dienstverlening en informatiebeveiliging en privacy als operationele details zien, is daar weinig aandacht voor in de samenwerkingsafspraken.”
Een van de aanbevelingen in het rapport is om informatiebeveiliging niet meer te zien als kostenpost. “Als er al concrete afspraken zijn tussen lokale overheden over informatiebeveiliging en privacy, dan staat controle op de naleving beperkt op de agenda. Gemeenten vertrouwen erop dat bij een samenwerkingsverband dergelijke zaken gewoon geregeld zijn.”
Gemeenten kunnen zich in eerste instantie richten op het normenkader dat de AVG en de BIO (Baseline Informatiebeveiliging Overheid) geeft. Daarnaast is regelmatig doen van backups en testen en oefeningen houden noodzakelijk en dus niet een overbodige luxe. Verder is tweefactor-authenticatie en rollen vastleggen van bijvoorbeeld ciso’s (chief information security officers) en fg’s (functionarissen gegevensbescherming).
Dit laatste is vooral belangrijk als er een incident plaatsvindt. Dan weet iedereen wie verantwoordelijk is voor de beveiliging van burgerdata van de gemeente. Daarbij is een grotere rol weggelegd voor de gemeentesecretaris, die de kar moet gaan trekken rond initiatieven voor betere cyberweerbaarheid.
Lees ook:
- Digitale dienstverlening overheid onvoldoende voor laagopgeleiden
- Omgevingsdienst
