Hoe vinden gemeenten de balans tussen informatieveiligheid en werkbaarheid
Bij informatiebeveiliging zoeken gemeenten continu naar een goede balans tussen techniek en organisatie. Vanuit IT-veiligheid wil je het liefst alles dichttimmeren, maar wat blijft er dan nog over aan gebruiksvriendelijkheid? Hoe kunnen gemeenten veiligheidsincidenten voorkomen en tegelijk hun processen werkbaar houden en hun dienstverlening verder digitaliseren? Met aan de ene kant een complex en verSaaStĀ
IT-ecosysteem, niet altijd zeer IT-minded medewerkers en besluitvorming die soms politiek gemotiveerd is, en aan de andere kant steeds geavanceerdere cyberaanvallen. Hoe vind je die balans?
Bij de online Ronde Tafel Gemeenten van Solvinity en Quarant, op woensdag 9 maart 2022, lag dat vraagstuk centraal op tafel. Onder de titel āInformatiebeveiliging: breng je organisatie en techniek in balansā gingen I&A-verantwoordelijken van gemeenten en experts met elkaar in gesprek. Dit was de tweede keer dat deze Ronde Tafel werd gehouden. De eerste editie in oktober 2021 was een succes, met een grote opkomst en een gemiddelde waardering van 8,8.
Ook deze editie werd druk bezocht. Het blijkt een urgent en zeer relevant onderwerp voor gemeenten, die aangeven behoefte te hebben aan advies en (praktijk)kennis. De urgentie van het onderwerp werd nog extra geĆÆllustreerd door de case van gemeente Hof van Twente. Jaap de Jonge, beleidsmedewerker informatievoorziening van die gemeente, gaf een fascinerend kijkje achter de schermen bij de hack en het herstel van de IT-systemen van Hof van Twente.
Weinig aandacht voor het fundament
Op 1 december 2020 werd gemeente Hof van Twente getroffen door een ransomware-aanval. Alle lokale systemen bleken niet meer benaderbaar, de cloudsystemen nog wel. De enige back-up was versleuteld. De aanval had een enorme impact op de gemeente. De kosten als gevolg van de hack en het herstel liggen tussen de 3 en 4 miljoen euro en nu nog ā ruim een jaar later ā zijn de gevolgen merkbaar.
Een van de oorzaken dat Hof van Twente slachtoffer werd, is volgens Jaap onvoldoende risicobewustzijn. āDe aandacht van de gemeente ging uit naar de I-ambities, zoals digitalisering van dienstverlening en bedrijfsvoering en informatiegedreven werken en niet echt naar het technische fundament en de veiligheid daarvan.ā
Die strijd tussen āwat eigenlijk zou moetenā en āhoe het in de praktijk gaatā was voor veel deelnemers herkenbaar. Er worden enerzijds vaak gevechten geleverd om af te wijken van de beveiligingsprotocollen, om processen te versnellen of te vergemakkelijken. Bovendien zijn medewerkers niet altijd zorgvuldig – of deskundig – genoeg om de regels te volgen. Anderzijds is de besluitvorming niet per se inhoudelijk.
Een college van B&W kan, zeker in aanloop naar verkiezingen, soms keuzes maken die meer met de beeldvorming dan met de actuele noodzaak te maken hebben, aldus deelnemers. En het zit volgens Jaap de Jonge ook in de aard van mensen om te optimistisch te zijn. āEr heerst al snel het idee: ons overkomt dat niet. Zelfs bij ons, na wat ons is overkomen, zie ik dat de alertheid nu alweer verslapt.ā
55% heeft voldoende weerstand tegen hacks
Bij een peiling vooraf onder de deelnemers gaf iets meer dan de helft aan dat de eigen organisatie op volwassenheidsniveau 3 (van 5) zit van de Baseline informatiebeveiliging Overheid (BIO). Als het gaat om informatiebeveiliging vindt men vooral het borgen van de bedrijfscontinuĆÆteit en het monitoren, beoordelen en auditten van IT-leveranciers lastig. Op de vraag āKan jouw organisatie voldoende weerstand bieden tegen cybercriminaliteit?ā zegt 55 procent ja en 45 procent nee. De nee-zeggers willen het interne beveiligingsteam uitbreiden. De ja-zeggers denken dat de investering in de kennis van medewerkers een belangrijk wapen in de strijd tegen cybercriminaliteit is.
āAls we het hebben over digitale transformatie, dan moeten we het naar mijn overtuiging ook hebben over een transformatie van de personele formatie. Nieuwe rollen ontstaan. En er moet iets aan de cultuur veranderenā, zei Wim Hoekstra, Strategisch Adviseur I&A van Quarant.
Volgens Rob van Ewijck, Business Manager bij Solvinity, moet informatiebeveiliging van iedereen zijn. Het bestuur en de directie moeten de noodzaak en urgentie actief uitdragen en security voldoende budget en prioriteit geven. De IT-organisatie zal Security by Design en Zero Trust als uitgangspunt moeten nemen en voorbereid moeten zijn op incidenten ā wat betreft business continuity en disaster recovery.
āInvesteer continu in kennis en training en schakel experts in waar actuele kennis ontbreekt. Juist bij gemeenten, met een complex multi-cloud applicatielandschap en verschillende leveranciers en dienstverleners (in 2025 is volgens onderzoek 60% van de gemeentelijke software verSaaSt), is de hulp van specialisten meestal onontbeerlijk.ā Een deelnemer noemde de ervaring van veel collegaās over gebrekkig inzicht in (de beveiliging van) de eigen IT-omgeving en de achterblijvende expertise van medewerkers met enig sarcasme āeen feest van herkenningā. Kennelijk is er bij veel gemeenten nog een hoop werk te verzetten.
Bewustzijn, bewustzijn, bewustzijn
Uiteindelijk blijft de mens toch de zwakste schakel. Ook dat is een breed gedragen constatering. Rob van Ewijck: āBij de eindgebruiker gaat het vooral om drie aspecten: bewustzijn, bewustzijn, bewustzijn. Je vindt nooit een goede balans tussen techniek en organisatie als eindgebruikers zich niet bewust zijn van het enorme risico dat een gemeente loopt en de rol die zij zelf spelen in het beperken daarvan.ā
Zelf aan de slag?
Dit zijn de belangrijkste aandachtspunten bij informatiebeveiliging:
- BestuurāÆ-āÆstelāÆdeāÆjuisteāÆenāÆvoldoendeāÆmiddelenāÆter beschikking
- IT-organisatieāÆ-āÆrichtāÆjeāÆprocessen,āÆsourcingstrategieāÆenāÆtechniekāÆin
- MedewerkersāÆ-āÆinvesteerāÆināÆnext-levelāÆkennisāÆenāÆvaardigheden
- SamenwerkingāÆ-āÆwerkāÆintensieverāÆsamenāÆmet jeāÆomgeving
- Kennis – maakāÆ(meer)āÆgebruikāÆvanāÆkennisāÆenāÆervaringāÆop deāÆmarkt
Ā
En niet in de laatste plaats: maakāÆvooral eenāÆeindeāÆaanāÆdeāÆvrijblijvendheid van dit soort maatregelen.
Wil jij er de volgende keer ook bij zijn?āÆMeld je aanāÆvoor de nieuwsbrieven van Solvinity en Quarant.
Wil je verder in gesprek over het thema informatiebeveiliging of andere IT-gerelateerde zaken? Neem contact op met Pieter Kuijer* via (06) 22 88 88 01, pieter.kuijer@solvinity.comāÆof met Wim Hoekstra via 06 21 26 06 38, wim.hoekstra@quarant.nl.
* Rob van Ewijck is per 1 april 2022 gestart met een nieuwe uitdaging. Pieter Kuijer heeft zijn rol overgenomen.
Meld je aan voor de Solvinity Nieuwsbrief
Ontvang het laatste nieuws, blogs, artikelen en events.

Lees ook
Meer
Softwareontwikkelaar: klaar voor de multi-cloud?
Cloud oplossingen leveren ISV’s flexibiliteit en snelheid op, maar tijd en moeite gaan verloren met het...
LEES MEERGrip op je digitale transformatie met i-governance voor gemeenten
De meeste gemeenten hebben flinke digitale ambities. Lees hoe i-governance je helpt meer grip op de...
LEES MEERGemeenten en outsourcing: flop of kaskraker?
Door toenemende mogelijkheden en complexiteit van IT, neigen steeds meer gemeenten naar outsourcing. Hoe zorg je...
LEES MEER