Foto ANP Foto
Sjoerd Potters is burgemeester van gemeente De Bilt en portefeuillehouder cyberveiligheid binnen het College van Burgemeesters en Wethouders. Zelf is hij van huis uit jurist en geen cyberexpert, maar dat ziet hij niet als een reden om zich niet met het thema bezig te houden. Sterker nog, digitalisering en cyberweerbaarheid raken zoveel andere domeinen dat ze de aandacht van de burgemeester verdienen. Dat we langs de digitale weg kwetsbaar zijn voor ontwrichting, is voor Potters evident. Maar dat we dit niet altijd overal scherp genoeg op het netvlies hebben ook. Hoe kunnen we daar iets aan doen? Welke rol ziet hij weggelegd voor zichzelf als burgemeester en voor gemeenten in het algemeen? Daarover gaan we met hem in gesprek.
Cyberweerbaarheid is in De Bilt onderdeel van de portefeuille van de burgemeester en dat is niet voor niets aldus Potters: “Als je technische mensen spreekt, blijkt het effect van een cyberincident veel groter is dan je als leek zou verwachten. En een incident is ook niet zomaar opgelost. Het is niet een kwestie van de server uitzetten en weer verder. Bewustwording daarvan buiten de technische wereld is belangrijk. Maar de wereld van cyberweerbaarheid heeft de neiging erg geïsoleerd te blijven. Cyberspecialisten richten zich vooral op hun eigen vakgebied en mensen die erbuiten staan doen het al snel af als “ingewikkeld” en “iets voor specialisten”. Terwijl het digitale domein en het fysieke domein afgelopen jaren steeds meer verweven zijn geraakt en de impact van een cyberincident op de maatschappij groot kan zijn. Dan verdient het de aandacht van de burgemeester. Ik zie het als mijn taak om de verbinding tussen die domeinen te versterken.”
“Een cyberincident heeft steeds vaker en steeds grotere gevolgen in de ‘echte’ wereld. Als de digitale wereld afgesloten wordt zijn bewoners, veel meer dan tien jaar geleden, de dupe. Paspoorten kunnen niet worden uitgegeven, stoplichten en bruggen werken niet of uitkeringen worden niet uitbetaald met alle gevolgen van dien. Een ransomware- of een DDoS-aanval klinkt voor veel mensen abstract. Maar als daardoor een server vastloopt die verkeerslichten regelt, heb je een fysiek effect. Het grappige is dat de ernst van situatie dan groter wordt beleefd en mensen in een andere actiemodus gaan.”
Rampenoefeningen
“Als een incident het fysieke domein raakt, hebben we een crisisstructuur die goed werkt. Maar bij cyberdreiging krijgen we met nieuwe scenario’s te maken. Met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties hebben we vorig jaar een simulatie gedaan van een digitaal incident met impact in het fysieke domein. Daaruit bleek dat we het in het fysieke domein inderdaad goed geregeld hebben. Met name in de overgang van het digitale naar het fysieke domein was ruimte voor verbetering.”
“Als het om digitale zaken gaat, zijn we gewend om binnenshuis te opereren met de Chief Information Security Officer (ofwel CISO) en eventueel met een externe expertise partij, terwijl het juist belangrijk is om ook naar buiten te treden. We moeten eerder hulplijnen inschakelen die we binnen het fysieke domein al hebben opgezet. Daarom gaan we toekomstige trainingen op rampen en incidenten beginnen met een digitale component in plaats van bijvoorbeeld een LPG-tank die dreigt te ontploffen. Waarbij we natuurlijk wel een overloop inbouwen naar de fysieke wereld. Hoe gaat die overgang van digitaal naar fysiek? Hebben we op tijd door wat de gevolgen kunnen zijn? En hebben we de crisisrespons dan op orde? Zo proberen we de twee werelden beter te verbinden. Dat gebeurt voor zover ik weet nog niet bij veel gemeenten.”
Borging binnen de organisatie
“De Baseline Informatieveiligheid Overheid wordt bij ons toegepast en uitgevoerd. Alle gemeenten hanteren die als ondergrens. Het is een fijn middel, want je hoeft niet zelf op zoek naar hoe het moet. Als burgemeester sta ik in nauw contact met de Chief Information Security Officer (CISO). We hebben bijna elke week contact. Ik ben dan wel portefeuillehouder cyberweerbaarheid, maar het is niet alleen iets van mij. Het moet binnen het gemeentelijk bestuur breder gedragen worden.”
In het college bespreekt Potters het thema op vaste momenten in de planning-en-control cyclus. "Ik merk dat het soms ook moeilijk is om de leden mee te krijgen. Ook zij hebben al snel het idee het heel technisch is en hebben de risico’s onvoldoende op netvlies. Daarom doen we binnenkort een cybertraining met het hele college. Om de discussies over cyberweerbaarheid en investeringen ook in de raad goed te kunnen voeren, hebben we twee raadsrapporteurs, die we in aparte sessies samen met de CISO bijpraten. Zij hebben deskundigheid op digitalisering en cyberweerbaarheid en vinden het leuk om de raad daarin mee te nemen.”
Openheid zorgt voor bewustwording
Potters heeft gemeenten eerder opgeroepen onderling meer informatie over cyberincidenten te delen: “Wat betreft informatiedeling zijn we binnen gemeenten de schaamte gelukkig wel een beetje voorbij. We delen onderling meer als er iets gebeurt. Het incident bij gemeente Hollandse Kroon heeft daaraan heeft bijgedragen. Zij zijn toen heel open geweest. Ik vind dat van kracht getuigen. Voor ons was het een belangrijk leermoment en we hebben het er in college uitgebreid over gehad: hoe zijn wij voorbereid? Het heeft voor meer bewustwording gezorgd.”
“Gemeente De Bilt is onderdeel van een samenwerkingsverband van zes of zeven gemeenten”, vervolgt Potters. “De gemeentelijke CISO’s zitten in een poule. Ze wisselen daarbinnen veel kennis en informatie uit en vervangen elkaar indien nodig. Om het hek zo stevig mogelijk te houden, doen we samen regelmatig testen om kwetsbaarheden op te sporen. Daar komt vaak zinvolle informatie uit waar me mee aan de slag gaan. Laatst bleek bijvoorbeeld dat wij onze zaken goed op orde hadden, maar dat een buitenstaander via een kwetsbaarheid bij een andere gemeente binnen twee stappen in onze systemen kon komen. Daar schrokken we van en hebben we natuurlijk ook meteen iets aan gedaan. We hebben ook een crisisteam ingericht voor als er een incident is. Het is helder wie waar verantwoordelijk voor is en wie we moeten inschakelen als we meer expertise nodig hebben. Onze technische mensen staan via de Informatiebeveiligingsdienst voor gemeenten in goed contact met het Nationaal Cyber Security Centrum ofwel NCSC. Vrijwel alle gemeenten hebben dat soort afspraken gemaakt. Goed contact tussen CISO, bestuurders en de NCSC is van groot belang. Je moet weten hoe de lijnen lopen en de lijnen moeten kort zijn.”
Volgens Potters ben je voor cyberweerbaarheid sterk afhankelijk van andere partijen in je netwerk. “Niet alleen van andere gemeenten, maar ook van uitvoerende organisaties en dienstverlenende bedrijven. Zo was er een datalek in het snelheidscamerasysteem in een van de dorpen. Het bleek makkelijk kentekengegevens uit te lezen. We hadden het op papier helemaal goed geregeld met die partij in een verwerkersovereenkomst. Maar met het sluiten van overeenkomsten ben je er niet, je moet toezicht houden door de juiste te vragen stellen. Een landelijk keurmerk voor digitale dienstverleners zou ons daar wel bij kunnen helpen. We hebben ook een Voedsel- en Warenautoriteit. Die checkt op zaken die niet iedereen zomaar kan doorgronden maar wel gecontroleerd moeten worden in het algemeen belang. Veilige digitale dienstverlening is ook van groot algemeen belang.”
Nationale cyberweerbaarheidsstrategie
Potters ziet dat cyberdreiging van verschillende kanten komt en toeneemt: “Daar moeten we ons als samenleving veel meer samen en integraal op voorbereiden. Welke rol we als gemeente spelen, is afhankelijk van waar dreiging vandaan komt. Als die bijvoorbeeld interstatelijk is, zal de centrale overheid coördinerend moeten optreden om de crisis te bezweren, maar wij moeten als gemeente in staat zijn om de maatschappelijke effecten te beperken. Lokaal moeten gemeenten hun zaken op orde hebben, binnen de veiligheidsregio oefenen en afspraken maken. We moeten een cyberincident aanvliegen als een klassieke ramp. Bij fysieke incidenten zijn gemeenten in de lead, maar een cyberincident is natuurlijk minder afgebakend. Dan is de vraag wat wordt er verwacht van veiligheidsregio’s en gemeenten. Daar goede afspraken over maken is essentieel. Voor zover ik weet zijn die er nog niet. Nu is het wachten tot er een keer iets gebeurt en dat is zonde. Wij leren overigens lessen van de COVID-crisis over afspraken tussen het Rijk, de veiligheidsregio’s en gemeenten. Daar speelt ook regelmatig de vraag: wie is waar verantwoordelijk voor? Ik hoop en verwacht dat die lessen hun weg vinden naar het cybersecurity-domein. Bij de Vereniging van Nederlandse Gemeenten ziet Potters dat cyberweerbaarheid een belangrijk aandachtspunt is en daar ziet hij zeker een belangrijke rol voor gemeenten weggelegd. "Maar ik denk ook dat digitalisering en cyberweerbaarheid zo belangrijk zijn, dat een ministerie met dat als specifiek taakveld op zijn plaats zou zijn. Daarmee straal je als overheid het belang van het thema uit en geef je het een gezicht in het publieke debat. Dat kan ook helpen bij het bevorderen van de bewustwording.”