Gemeenten zijn onvoldoende voorbereid op een cybercrisis. Terwijl cybercriminelen steeds meer toeslaan bij overheidsinstellingen, vaak met grote impact.

Dat blijkt uit een verkennend onderzoek door NHL Stenden Hogeschool en De Haagse Hogeschool. ,,Cybercrime staat bij gemeenten wel op de agenda, maar heeft geen prioriteit’’, zegt Jurjen Jansen, senior onderzoeker bij NHL Stenden Hogeschool in Leeuwarden.

De wereld digitaliseert in rap tempo. Ook gemeenten leunen meer en meer op digitale systemen voor dienstverlening aan hun inwoners: online een identiteitsbewijs, verlenging rijbewijs of uittreksel uit het bevolkingsregister regelen.

Gemeenten steeds kwetsbaarder in digitale wereld

Jansen: ,,Gemeenten worden daardoor steeds kwetsbaarder voor uitval van systemen of aanvallen daarop.’’ Hij wijst op recente hack-aanvallen op de gemeenten Lochem (2019) en Hof van Twente (2020). De laatste werd eind vorig jaar volledig platgelegd nadat cybercriminelen de gegevens op servers versleutelden.

Ook aanvallen op bedrijven kunnen actie van de gemeente vragen. Zoals de aanval die cybercriminelen in 2017 deden op containergigant Maersk in de Rotterdamse haven. Doordat data van servers werden vernietigd, viel het bedrijf helemaal stil. Schepen konden geen containers laden en lossen, vrachtwagens stonden stil waardoor op omliggende (snel)wegen lange files ontstonden.

Veel gemeenten realiseren zich volgens de onderzoekers onvoldoende dat een dergelijke cybercrisis heftig kan uitpakken voor gemeenten en hun inwoners. Voor het onderzoek spraken ze vorig jaar met ambtenaren van achttien gemeenten verspreid over Nederland.

Worst case scenario’s

Joyce Koch, onderzoeker bij het lectoraat Riskmanagement en Cybersecurity bij De Haagse Hogeschool: „We spreken wel eens over de worst case scenario’s, waarbij criminelen het water- of stroomnet weten te hacken. Wat dacht je van het platleggen van onze financiële transacties of het hacken van onze sluizen en gemalen.’’

De boodschap is duidelijk: Gemeenten moeten zich dus niet alleen voorbereiden op een cybercrisis waarbij zij zelf het slachtoffer zijn. Ze kunnen ook geconfronteerd worden met de fysieke gevolgen van een aanval op een organisatie of bedrijf in hun gemeente. Ze zijn zich dat vaak wel bewust, maar hebben toch geen draaiboek voor het geval dat.

Weinig oefening met crisisplannen

Bij gemeenten die wel een (cyber)crisisplan op de plank hebben liggen, blijft dit plan daar meestal ook liggen. „In slechts zeer beperkte mate oefenen gemeenten met deze crisisscenario’s”, zegt Jansen. ,,Ze weten dus niet of draaiboeken en crisisplannen wel werken tijdens een cybercrisis.’’

De kennisinstellingen willen hun vooronderzoek verbreden om gemeenten te kunnen helpen bij het opstellen van een cybercrisisplan. ,,We willen hen handvatten geven om zich sneller en beter te kunnen herstellen na een hack-aanval.’’

Je kunt deze onderwerpen volgen
Groningen