Ransomware is inmiddels geen abstract risico meer voor gemeenten. Bijna iedereen kent voorbeelden, uit het nieuws of uit de praktijk. Veel gemeenten hebben daarom stappen gezet om hun eigen informatiebeveiliging te verbeteren. Er zijn risicoanalyses uitgevoerd, BIO-maatregelen geïmplementeerd en incidentresponsplannen opgesteld.
En toch zie ik in de praktijk nog steeds een grote kwetsbaarheid terugkomen: leveranciers.
Gemeenten zijn voor hun dienstverlening sterk afhankelijk van externe partijen. Zaaksystemen, DMS’en, cloudomgevingen, hosting, applicatiebeheer. Soms zijn hele primaire processen uitbesteed. Dat maakt leveranciers onmisbaar, maar ook een risico. Zeker als het gaat om ransomware.

Want wat gebeurt er als niet jij, maar je leverancier wordt geraakt?

Download hier een pdf van deze blog

De blinde vlek: niemand heeft het totaalbeeld

Wat ik bij veel gemeenten zie, is dat er geen integraal overzicht is van kritieke leveranciers. Contracten liggen verspreid door de organisatie. Bij afdelingen, bij projectleiders, bij inkoop, soms zelfs alleen in mailboxen. Contractmanagement is versnipperd of beperkt ingericht.
Het gevolg daarvan is groter dan vaak wordt gedacht. Want als niemand het totaalbeeld heeft, weet je ook niet:

• welke afspraken er met leveranciers zijn gemaakt;
• welke beveiligingseisen gelden;
• welke meldplichten zijn afgesproken;
• en of leveranciers überhaupt voldoen aan de standaarden die je als gemeente zelf hanteert.

En dat laatste is belangrijk. Als gemeente mag – en moet – je zelf randvoorwaarden stellen aan systemen en dienstverlening. Voldoet een leverancier daar niet aan, dan is dat op zichzelf niet altijd een probleem. Maar dan moet je wél weten waar de afwijkingen zitten en daar bewust een risicoafweging op maken.
Zonder overzicht is dat onmogelijk. Dan ontdek je pas bij een incident dat je eigenlijk niet weet waar je staat.

Dit gebrek aan overzicht zie ik vaker terug bij organisaties die informatiebeveiliging vooral als losse onderdelen hebben ingericht. In de blog Het belang van de Management Review binnen het ISMS beschrijf ik waarom juist samenhang en integraal overzicht essentieel zijn om grip te houden. Leveranciersrisico’s zijn daar een goed voorbeeld van: zolang ze niet structureel worden meegenomen in beleid, monitoring en evaluatie, blijven ze een blinde vlek.

Ransomware bij een leverancier raakt direct jouw organisatie

Een ransomware-incident bij een leverancier blijft zelden beperkt tot die leverancier. Systemen worden onbereikbaar. Gegevens zijn tijdelijk niet beschikbaar. Processen lopen vast. Medewerkers kunnen hun werk niet doen en inwoners merken het direct.

Ik heb een calamiteitenoefening begeleid waarbij precies dit scenario werd geoefend: een cruciale leverancier lag plat en het systeem was niet beschikbaar. De uitkomst was confronterend, maar herkenbaar. De enige concrete actie die de organisatie had, was: wachten op de leverancier.

Wachten op herstel.
Wachten op informatie.
Wachten op communicatie.

Dat lijkt misschien logisch, maar het zegt veel over de volwassenheid van de organisatie. Want op dat moment neem je een slachtofferrol aan: “Wij kunnen er ook niets aan doen.”
De belangrijkste les uit die oefening was dan ook niet technisch, maar organisatorisch. De echte vragen gingen niet over het systeem, maar over de organisatie zelf.

Een incident is meer dan een IT-probleem

Als een systeem eruit ligt, moet het gesprek niet stoppen bij de leverancier. Dan begint het gesprek juist binnen de eigen organisatie.

• Hoe richten we ons werk tijdelijk anders in?
• Welke processen kunnen wel doorgaan, en welke niet?
• Welke prioriteiten stellen we?
• Hoe informeren we medewerkers?
• Wat communiceren we richting inwoners en bestuur?

Als je daar vooraf niet over hebt nagedacht, ontstaat er stilstand. En stilstand leidt tot frustratie, onrust en reputatieschade. Niet omdat het incident er is, maar omdat de organisatie geen handelingsperspectief heeft.
Voorbereiding op ransomware bij een leverancier gaat dus niet alleen over techniek of contracten. Het gaat over organisatievolwassenheid.

Dit raakt ook direct aan de rolverdeling binnen de organisatie tijdens een incident. Wie neemt besluiten, wie bewaakt het overzicht en wie zorgt voor bestuurlijke afstemming? In een eerdere blog over de rol van de CISO tijdens calamiteiten ben ik hier al dieper op ingegaan. Een ransomware-incident bij een leverancier laat vaak extra scherp zien of die rolverdeling in de praktijk ook echt werkt, of dat iedereen alsnog naar elkaar kijkt zodra de druk oploopt.

Duidelijke afspraken zijn geen luxe

Juist bij leveranciers is het cruciaal dat afspraken over informatiebeveiliging en incidenten niet vaag zijn. In veel contracten staan algemene bepalingen, maar bij een ransomware-incident blijkt pas of ze ook werkbaar zijn. Denk aan vragen als:

• Binnen welke termijn moet een leverancier een incident melden?
• Welke informatie moet daarbij worden aangeleverd?
• Hoe verloopt de samenwerking tijdens herstel?
• Wie communiceert wanneer, en met wie?

Dit zijn geen juridische details voor “als het misgaat”. Dit zijn praktische randvoorwaarden om regie te houden. En die regie kun je alleen voeren als je weet wat er is afgesproken en waar verantwoordelijkheden liggen.

Even eerlijk: hoe staat jouw organisatie ervoor?

Om te voorkomen dat dit verhaal abstract blijft, stel ik gemeenten vaak een paar eenvoudige vragen. Geen audit, geen toetsing, maar een reality check. Beantwoord ze eens eerlijk voor je eigen organisatie:

1. Hebben we een actueel en integraal overzicht van onze kritieke leveranciers?
2. Weten we welke beveiligingseisen wij als gemeente stellen en of leveranciers daaraan voldoen?
3. Hebben we inzicht in waar leveranciers afwijken en is daar een risicoanalyse op gedaan?
4. Zijn leveranciersscenario’s expliciet opgenomen en geoefend in ons incident- of calamiteitenplan?
5. Hebben we nagedacht over hoe de organisatie zelf blijft functioneren als een systeem langdurig uitvalt?

Als je op meer dan drie vragen “nee” moet antwoorden, dan is de kans groot dat je organisatie bij een incident vooral reactief zal zijn. Niet omdat mensen hun werk niet goed doen, maar omdat het proces nog niet volwassen genoeg is ingericht.

Contractmanagement als basis voor weerbaarheid

Wat hier onder ligt, is vaak geen gebrek aan inzet, maar een gebrek aan structuur. Contractmanagement wordt nog te vaak gezien als iets administratiefs. Terwijl het in werkelijkheid een fundament is voor informatiebeveiliging, continuïteit en risicobeheersing. Zonder goed ingericht contractmanagement kun je leveranciers niet sturen, niet toetsen en niet aanspreken. En zonder dat blijf je afhankelijk, juist op het moment dat je sterk zou moeten staan. Zie ook de blog Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Tot slot: voorbereiding is geen doemdenken

Voorbereiden op ransomware bij een leverancier is geen teken van wantrouwen en ook geen doemdenken. Het is erkennen hoe afhankelijk gemeenten zijn geworden van digitale dienstverlening en externe partijen. Gemeenten die vooraf inzicht hebben in hun leveranciers, bewuste keuzes maken in afspraken en hebben nagedacht over hun eigen handelingsperspectief, staan sterker. Niet omdat ze incidenten voorkomen, maar omdat ze niet verlamd raken als het gebeurt. En dat maakt uiteindelijk het verschil tussen wachten en sturen.

Sparren of inzicht krijgen?

Wil je eens sparren over hoe dit binnen jouw gemeente is ingericht? Of wil je inzicht krijgen in de volwassenheid van jullie contractmanagement en leveranciersbeheersing, inclusief concrete aanbevelingen en een realistisch routeplan?

IB&P helpt gemeenten regelmatig met een nulmeting op dit onderwerp, juist om overzicht en grip te creëren voordat het misgaat. Neem gerust contact op als je hierover verder wilt praten.