Dealen met digitale dreiging gemeentehuis | Berenschot blog

De keerzijde van deze verbondenheid zijn de nieuwe veiligheidsrisico’s voor burgers, bestuurders en bedrijven. Zo is het aantal Nederlanders dat slachtoffer werd van online criminaliteit het afgelopen jaar wederom toegenomen (Veiligheidsmonitor CBS, 2021). Veelvoorkomend zijn online oplichting, hacking en online bedreiging en intimidatie. Ook overheden en instellingen ondervinden serieuze problemen als gevolg van cybercriminaliteit. Zo kwam de dienstverlening van gemeente Hof van Twente plat te liggen na een hack in 2020, bleken in 2021 vijf zorginstellingen geraakt door een ransomware-aanval en legde het Medisch Centrum Leeuwarden na een cyberaanval het dataverkeer met de buitenwereld stil, waardoor patiënten niet bij hun elektronisch patiëntendossier konden. Verder zien we dat online triggers in toenemende mate een (escalerende) rol spelen bij verstoring van de openbare orde. Denk aan de stadsrellen in Rotterdam eind 2021 waar online oproepen diverse groepen mobiliseerden tot verstorend en extreem gewelddadig gedrag. Ook kan de openbare orde en (fysieke) veiligheid zwaar worden aangetast door een digitale crisis, waarbij vitale infrastructuur zoals de stedelijke elektriciteitsvoorziening uitvalt. De lijst met dreigingen, risico’s en daadwerkelijke digitale ongevallen met gevolgen voor gemeenten, burgers en ondernemers blijft onverminderd groeien.

Hoewel je bij digitale dreigingen misschien niet direct denkt aan gemeenten en burgemeesters, komen ze wel degelijk snel in beeld. Geredeneerd vanuit de gemeentelijke kerntaken heeft de lokale overheid, met de burgemeester voorop, een verantwoordelijkheid voor de handhaving van de openbare orde en veiligheid, alsook voor de dienstverlening vanuit het gemeentehuis. Bij dat laatste wordt veelal privacygevoelige informatie verwerkt en zijn vertrouwelijkheid en integriteit van digitale data en systemen tegenwoordig essentieel. Door de toegenomen vermenging van de offline en online leefwereld, is de gemeentelijke verantwoordelijkheid voor veiligheid en dienstverlening niet langer vrij van digitale dreiging en risico’s. Sterker nog, de samenleving is volledig afhankelijk geworden van de digitale infrastructuur, waardoor digitale veiligheid inmiddels tot de kern van het maatschappelijk belang behoort. De vraag is dan ook: wat is de rol van gemeenten en burgemeesters bij digitale dreigingen, en zijn ze daartoe voldoende geëquipeerd?

Allereerst schetsen we een eenduidig beeld van digitale dreigingen, kwetsbaarheden en risico’s in en rond het gemeentehuis. Digitale dreiging typeren we op basis van de herkomst van het gevaar. We onderscheiden grofweg twee categorieën, namelijk safety- en securitydreigingen (Van den Berg, Prins en Kuipers, 2021). Safetydreigingen kennen een accidentele, niet-moedwillige aanleiding. Hierbinnen vallen zowel natuurlijke dreigingen (bijvoorbeeld overstromingen), technische dreigingen (zoals een configuratiefout in een ICT-systeem) alsook onbedoelde dreiging als gevolg van menselijk handelen (bijvoorbeeld uitval van elektriciteit door een onbewuste menselijke fout). Securitydreigingen daarentegen ontstaan door intentioneel, moedwillig handelen. Het gaat dan om bedoelde dreigingen door kwaadwillenden, zoals criminele groepen die DDoS- of ransomware-aanvallen uitvoeren of personen die doelbewust online aansporen tot geweld tegen overheidsfunctionarissen.

Digitale dreiging, van welke aard dan ook, doet niet per definitie afbreuk aan de digitale veiligheid in en rond het gemeentehuis. Daarvan is pas sprake wanneer die digitale dreiging raakt aan een zogenoemde kwetsbaarheid. Zo’n kwetsbaarheid kan allerlei vormen aannemen: van een technische zwakte in een gemeentelijk ICT-systeem tot een tekort aan handhavingscapaciteit bij de politie of een gebrek aan juridische basis voor de burgemeester om op te treden bij online opruiing. Wanneer een dreiging en een kwetsbaarheid samenkomen, ontstaat er een veiligheidsrisico, waarbij mogelijke schade optreedt. Die schade kan betrekking hebben op de openbare orde op straat, de digitale en fysieke veiligheid van burgers en ondernemers of de continuïteit van de dienstverlening van de gemeentelijke organisatie zelf. Samengevat spelen digitale veiligheidsrisico’s zich dus af in de publieke sfeer (openbare orde en veiligheid, rond inwoners, op straat) en de organisatiesfeer (binnen instellingen en organisaties). In beide gevallen is actie vereist, maar ook een ander handelingsperspectief voor lokale overheden en samenwerkingspartners.

Om openbare orde en veiligheid in de publieke sfeer te waarborgen, hebben burgemeesters uiteenlopende bevoegdheden (Prins, 2016). Denk aan het aanwijzen van een specifiek gebied waar politie preventief mag fouilleren, het sluiten van een drugspand of het instellen van een meldplicht voor voetbalhooligans. Deze bevoegdheden hebben betrekking op tastbare objecten en personen, of zijn gericht op de fysieke omgeving binnen gemeentegrenzen, waardoor ze niet zomaar toepasbaar zijn in het digitale domein (Bantema et al. 2018). Het probleem met digitale dreigingen is dat ze niet tastbaar zijn en alle mogelijke fysieke en geografische grenzen negeren. We zien burgemeesters hiermee worstelen. Recentelijk spraken enkelen van hen zich publiekelijk uit over de wens om nieuwe bevoegdheden te krijgen, om te kunnen ingrijpen in de online wereld. Tegelijkertijd stellen de meeste burgemeesters dat hun offline instrumentarium voldoende is en kijken ze ook naar het Openbaar Ministerie en de landelijke overheid voor de aanpak van cybercrime en digitale veiligheid (Bantema en Westers, 2020).

Voor lokale overheden lijkt een tweesporenkoers het meest kansrijk om digitale dreigingen nu en in de nabije toekomst het hoofd te bieden. Enerzijds dwingen nieuwe digitale dreigingen tot experimenten op het snijvlak waar online triggers offline effect genereren op orde en veiligheid in de publieke sfeer. Kunnen burgemeesters online aangewakkerde verstoring van de lokale orde en veiligheid afhandelen zodra deze fysieke effecten (dreigen te) veroorzaken, met inzet van de huidige set aan bevoegdheden en instrumenten? Of is een vlucht naar voren in het digitale domein nodig? In dat laatste geval hebben we fundamentele vragen te beantwoorden: wanneer rechtvaardigen digitale dreigingen preventief handelen door de lokale overheid? Hoe positioneren en equiperen we burgemeesters in cyberspace? Hoe borgen we daarbij de privacy en vrijheid van meningsuiting?

Anderzijds moeten gemeenten gedurende deze noodzakelijke, experimentele zoektocht een tweede spoor bewandelen. Namelijk door digitale dreigingen op te nemen in gemeentelijk beleid, gericht op fenomenen die de veiligheid in de publieke sfeer binnen de gemeentegrenzen direct raken. Zowel in de gemeentelijke integrale veiligheidsplannen als in fenomeenaanpakken rond bijvoorbeeld jeugdcriminaliteit, ondermijnende criminaliteit, drugsproblematiek en crisisbeheersing. Hierbij is anno 2022 een digitale component niet meer te negeren. Signaleer en anticipeer daarom bij beleid en aanpak van reeds gekende veiligheidsproblematiek waarvoor gemeente en partners aan de lat staan, structureel op digitale triggers, modi operandi en mogelijk zelfs digitale aangrijpingspunten voor interventies.

Naast de openbare orde en veiligheid in de publieke sfeer hebben gemeenten, net als andere organisaties en instellingen, ook een eigen verantwoordelijkheid om de digitale gegevens van burgers en ondernemers veilig te bewaren. Dat brengt ons bij de omgang met digitale dreiging in de organisatiesfeer. Inwoners verwachten van hun gemeente immers doorlopend beschikbaarheid van de digitale dienstverlening en gaan er bovendien van uit dat de data correct zijn en dat hun gegevens in veilige handen zijn. Schiet een gemeente tekort op deze punten, dan kan dat tot financiële, imago- en/of maatschappelijke schade leiden.

Dreigingen op het gebied van informatieveiligheid nemen alsmaar toe en de eisen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid worden bovendien steeds strenger. Dat stelt gemeenten voor een aantal complexe uitdagingen: op welke wijze voldoen zij aan de geldende normen, zoals de Baseline Informatiebeveiliging Overheid (BIO)? Hoe organiseren ze bewustwording en betrokkenheid in alle lagen van de organisatie? En hoe bereiden gemeenten zich voor op een cyberaanval of systeemuitval? De afhankelijkheid van gedigitaliseerde processen en systemen kan tot verstoringen, uitval of maatschappijontwrichtende effecten leiden, zoals de gemeenten Lochem en Hof van Twente hebben ervaren.

Wie een dergelijke cybercrisis wil voorkomen, doet er goed aan de digitale weerbaarheid van de eigen organisatie te vergroten. Zeker voor gemeenten die passende (digitale) dienstverlening richting de burgers willen garanderen, is het cruciaal om digitaal weerbaar te zijn tegen aanvallen van buitenaf en te weten hoe te handelen bij verstoringen. Digitaal weerbare gemeenten hebben voldoende maatregelen getroffen om potentiële incidenten vroegtijdig te signaleren en de gevolgen ervan te beperken. Voor lokale overheden is ook hier een tweesporenkoers het meest kansrijk om digitale dreigingen het hoofd te bieden.

Enerzijds moeten gemeenten structureel investeren in de juiste basismaatregelen om het eigen huis op orde te brengen en te houden. Bijvoorbeeld multi-factor authenticatie, netwerksegmentering of goede back-up en restore. Helaas ontbreekt het bij veel gemeenten aan deze basismaatregelen en zien we bij recente digitale incidenten dat instellingen en organisaties daardoor kwetsbaar zijn.

Anderzijds moeten gemeenten zich voorbereiden op een cyberincident, want iedere organisatie kan slachtoffer worden van een cyberaanval. Voorkomen is natuurlijk altijd beter, maar de praktijk leert dat de digitale dreiging dermate groot en gevarieerd is dat gemeenten op alle mogelijke scenario’s voorbereid dienen te zijn. Stel daarom naast technische aspecten de juiste incident- en crisisplannen en -procedures op, en formeer de juiste incident- en crisisteams. Het is essentieel dat het team voldoende opgeleid en getraind is, én dat de interne afdelingen elkaar bij incidenten en crises goed weten te vinden.

Digitale dreigingen, hoe abstract en uiteenlopend ook, manifesteren zich juist op zeer concrete wijze in en rond het gemeentehuis. Het lokaal bestuur is daarmee op uitdagend en deels onontgonnen terrein beland. Als er één rode draad te signaleren is, is het wel dat anno 2022 de grenzen tussen digitale en fysieke veiligheidsrisico’s zijn vervaagd en dat digitale dreigingen een net zo alomvattend antwoord van gemeenten vragen. Hoe begin je als (adviseur van een) lokale bestuurder? Het antwoord is even simpel als complex.

1. Start het gesprek met zowel je interne collega’s vanuit de afdeling veiligheid en crisis, afdeling economie en de interne beveiligingsorganisatie als sleutelpartners uit de driehoek, het maatschappelijk middenveld en lokaal bedrijfsleven.
2. Met inzicht ontstaat overzicht. Leer elkaars belangen kennen en verken de verschillende digitale safety- en securitydreigingen in en rond het gemeentehuis.
3. Richt je vervolgens in gezamenlijkheid op de digitale weerbaarheid in zowel de publieke en organisatiesfeer. Met een gewogen combinatie van investeren in diepgaande kennis van de complexe technische wereld en (experimenterend) bestuurlijk optreden krijg je daadwerkelijk grip op veiligheidsvraagstukken op het snijvlak van de online en offline leefwereld.

Kortom, start de route richting met een integrale, multidisciplinaire aanpak van digitale dreiging anno nu.

Bantema, W., Twickler, S.M.A., Munneke, S.A.J., Duchateau, M. & Stol, W.Ph. (2018). Burgemeesters in cyberspace: Handhaving van de openbare orde door bestuurlijke maatregelen in een digitale wereld. Den Haag: Sdu (reeks Politie en Wetenschap).

Bantema, W., Westers, S. & Munneke, S.A.J. (2020). Niet bevoegd, wel verantwoordelijk? Handhavingsmogelijkheden bij online aangejaagde bestellingverstoringen. Den Haag: Boom Bestuurskunde.

Berg B. van den, Prins, R.S. & Kuipers, S.L. (2021). ‘Assessing contemporary crises: aligning safety science and security studies’. In: Oxford Research Encyclopedia of Politics.

Prins R.S. (2016). Safety first. How local processes of securitization have affected the position and role of Dutch mayors. Eleven International Publishing.

https://www.cbs.nl/nl-nl/publicatie/2022/09/veiligheidsmonitor-2021

https://www.rijksoverheid.nl/documenten/kamerstukken/2022/03/08/antwoorden-op-kamervragen-over-het-bericht-ziekenhuizen-kwetsbaar-voor-cyberaanval-wachten-totdat-het-misgaat