De incidenten op informatieveiligheidsvlak nemen met de dag toe, ook bij gemeenten. De media berichten er bijna wekelijks over. Deze week vond er een groot incident plaats bij de gemeenten Blaricum, Eemnes en Laren, ook wel de BEL-gemeenten genoemd. Het incident heeft er zelfs toe geleid dat alle systemen voor meerdere dagen zijn platgelegd. Bedenk wat dit betekent voor je bedrijfsvoering en reputatie als gemeente. We zijn al enkele jaren actief 

bezig op informatieveiligheidsvlak. Je zou denken dat het belang ervan inmiddels duidelijk moet zijn en het onderwerp bij elke gemeente hoog op de agenda staat. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn bij het management en bestuur, en krijgt het daardoor niet de aandacht die het verdient.

Burning platform

Maar moeten we dan wachten tot het fout gaat? Kunnen we alleen met een gevoel van angst of ongerustheid een verandering echt in gang zetten, en veranderen we alleen als een crisis ons daartoe dwingt? Angst kan inderdaad als een krachtige motivator werken als het gaat om het verhogen van de alertheid. Een goed voorbeeld hiervan is de Diginotar Hack in 2011. Er was al langer bekend dat hier veiligheidsissues speelden. Toch moest het tot een crisis komen om veel overheidsorganisaties wakker te schudden en stappen te laten zetten op informatieveiligheidsvlak. Dus ja, als je snel actie nodig hebt kunnen negatieve emoties helpen om iets te veranderen.

Echter gaat het bij informatieveiligheid om een uitdaging die continu aandacht vergt, en hiervoor is een open houding en commitment vanuit het management en het bestuur noodzakelijk. Deze verandertrajecten vragen niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. En dat blijkt voor informatiebeveiliging lastig: preventief geld uitgeven om iets te voorkomen wat misschien wel nooit gaat gebeuren… Maar doen we dat niet voor heel veel zaken? Denk aan alle verzekeringen die we afsluiten tegen diefstal, brandschade, ongelukken et cetera. Ook daar geven we preventief geld uit voor iets wat misschien wel nooit gaat gebeuren. Waarom dan niet voor informatieveiligheid?

Grote gevolgen

Maar besef wel dat wanneer zich een incident voordoet, dit kan leiden tot (grote) materiële en immateriële schade voor de gemeente. Zo heeft het datalek bij gemeente Amersfoort vorig jaar geleid tot grote gevolgen voor het imago van de gemeente, tevens heeft het veel (politieke) druk op de gemeente gelegd. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is.

Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeente. Je ziet dit nu heel duidelijk bij de BEL-gemeenten, die slachtoffer zijn van een virusaanval. Als reactie hierop heeft de gemeente alle computers offline gehaald. De verwachting is dat het nog tot het einde van de week kan duren voordat de systemen weer online komen. Tot die tijd kunnen medewerkers niet of nauwelijks werken en kunnen burgers geen online zaken regelen bij de gemeenten. Achteraf vindt iedereen een investering vooraf in informatiebeveiliging te rechtvaardigen. De (financiële) gevolgen van het beveiligingsincident zijn namelijk veel groter. En dit kan elke gemeente overkomen.

Uiteraard is het geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op informatieveiligheidsvlak. 100 % veilig bestaat immers niet, want ook ‘cybercrime’ is inmiddels de hobbyfase voorbij. Maar elke gemeente dient wel te zorgen voor een zo sterk mogelijke en veilige omgeving. Voor de gemeente zelf, maar ook voor haar burgers en bedrijven.

‘Praatjes vullen geen gaatjes’

Voor velen is het waarschijnlijk een herkenbaar probleem: het belang van informatiebeveiliging wordt gezien, zolang het maar bij praten blijft. Maar zodra er organisatorische capaciteit en (financiële) middelen nodig zijn, is het lastig om commitment van het management en het bestuur te krijgen. Wil je bij het management en bestuur bereiken dat er een positieve houding ontstaat ten aanzien van informatiebeveiliging en dat daarbij ook de eigen rol en verantwoordelijkheid wordt genomen? Zorg dan dat informatiebeveiliging structureel wordt opgenomen in beleidskaders en jaarplannen. Het management en bestuur dient als voorbeeld voor de gemeentelijke collega’s fungeren, en dient de benodigde middelen beschikbaar te stellen.

Onderstaand een aantal zaken die kunnen helpen prikkelen als het gaat om het bewerkstelligen hiervan. Incidenten op informatieveiligheidsvlak kunnen namelijk leiden tot:

• imagoschade, je hebt jaren nodig om een reputatie op te bouwen, maar slechts enkele seconden nodig voordat deze aan gruzelementen ligt
• een onderbreking van de bedrijfsvoering, met alle gevolgen van dien
• (mogelijke) financiële schade, denk aan aansprakelijkheid door gedupeerden en mogelijke boetes, bijvoorbeeld van de Autoriteit Persoonsgegevens (AP)

Bovendien heb je als gemeente, in het kader van de Wet bescherming persoonsgegevens (Wbp), de verplichting transparant te zijn over informatiebeveiliging en privacy en dien je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen (blijven) garanderen.

Ja, informatiebeveiliging en privacy kosten geld

Met de komst van ENSIA moet het college straks verantwoording afleggen aan de raad, waardoor dit belang alleen maar groter wordt. En als gemeente heb je de morele verplichting zorgvuldig en integer om te gaan met de persoonsgegevens van burgers. Dit betekent dat je deze moet beveiligen tegen misbruik of ongeautoriseerde toegang. En ja, dat kost geld.
Dus wacht niet tot het te laat is en het vuur al tot aan de schenen staat, maar zet informatieveiligheid hoog als prioriteit op de bestuurlijke agenda en neem maatregelen, door het beschikbaar stellen van de benodigde (financiële) middelen. Alleen dan kun je informatiebeveiliging structureel borgen in de gemeente en, hopelijk, grootschalige incidenten zoals bij de BEL-gemeenten voorkomen.