‘Niet iedere gemeente kan cybersecurity zelf organiseren’

Grote verschillen tussen gemeenten voor cybersecurity qua aanpak, kennis, bewustwording, budgetten en menskracht. Of er nu sprake is van een lek of een hack, zodra er met de cybersecurity in een gemeente iets misgaat, wordt er direct naar de burgemeester gewezen. Die is immers verantwoordelijk. "Raar", vindt hoogleraar cybersecurity governance Bibi van den Berg. "Dat doen we met een vitaal systeem als de drinkwatervoorziening ook niet."

Binnenlands BestuurMeer van deze auteur

© Bibi van den Berg (privefoto)

Bibi van den Berg (privefoto)

De hoogleraar uit dit in een gister gepubliceerd artikel in het Burgemeestersblad. Van den Berg onderzoekt hoe overheden en andere organisaties sturing kunnen geven aan digitale veiligheid. Die van de gemeenten omschrijft zij als "complex". Eigenlijk te complex om dat als gemeente zelfstandig te kunnen doen.

Zelfstandig onhaalbaar

Volgens Van den Berg (die vorig jaar spreker was op het securitycongres van AG Connect) is het onmogelijk voor veel individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit er dan ook voor om cybersecurity voor gemeenten gedeeltelijk op een hoger collectief niveau te organiseren. Nu verschilt de aanpak nog per gemeente, alsmede de hoeveelheid kennis en bewustwording die gemeenten in huis hebben, in budgetten en menskracht.

"Als gemeentelijke organisatie heb je allerlei digitale technologie in gebruik. Dat hangt allemaal aan netwerken en is dus per definitie kwetsbaar", zo zegt zij in het blad van het Genootschap van burgemeesters. "De gemeente heeft de verantwoordelijkheid om die kwetsbaarheden het hoofd te bieden en waar dat niet lukt adequaat te reageren. Want gemeenten hebben zoveel gevoelige data in hun systemen dat de impact van een incident enorm kan zijn. De eigen cybersecurity moet dus op orde zijn." Het feit dat gemeenten samenwerken met allerlei andere partijen die hun eigen systemen hebben die ook weer via het internet met elkaar verbonden zijn, maakt het extra complex.

Niet meer, maar mínder preventie

Vreemd genoeg vindt Van den berg dat er bij cybersecurity minder nadruk zou moeten liggen op preventie. "De laatste dertig jaar hebben we enorm veel energie gestoken in het voorkomen van incidenten. Op zich logisch en nuttig, maar cyberspace is zo complex; je kunt niet alles voorkomen en bovendien komen er voortdurend nieuwe kwetsbaarheden bij. Daarom is er de laatste jaren naast preventie ook meer nadruk komen te liggen op het detecteren van incidenten en op het reageren op incidenten. En daartoe moet je het brede speelveld kunnen overzien."

Van den Berg stelt dat het onmogelijk is voor individuele gemeenten om zelfstandig het hoogste niveau van digitale volwassenheid te bereiken. Ze pleit voor een systeem waarin cybersecurityvraagstukken en IT-beheervraagstukken voor gemeenten deels op een hoger collectief niveau worden georganiseerd. "De IBD heeft hier al een rol in, maar die collectieve zorgtaak voor de inrichting van digitale veiligheid in gemeenten moet nog veel steviger worden georganiseerd."

Dit artikel is eerder gepubliceerd op Binnenlands Bestuur, zustersite van AG Connect.