Gemeenteambtenaren weten niets van security

Gemeenten lopen achter in hun beleid rond cybersecurity. Ambtenaren gebruiken zwakke wachtwoorden en schrijven die soms op. Als er zich incidenten voordoen, weten gemeenten niet hoe te reageren.


Dat zegt Wil van Gemert, directeur van het Nationaal Cyber Security Centrum NCSC. In een toespraak naar aanleiding van de start van de 'bewustwordingscampagne' Alert Online over beveiliging zei Van Gemert dat het bij de Rijksoverheid best wel snor zit met die bewustzijn over de gevaren van het internet, maar dat bij gemeenten nog "ruimte is voor enige verbetering".

Volgens Van Gemert moet op gemeentelijk niveau meer toezicht komen op cybersecurity, zijn er meer trainingen nodig bij het personeel en moeten gemeentelijke organisaties meer inzicht krijgen hoe zij moeten handelen in het geval van beveiligingsincidenten. In het afgelopen jaar zijn er diverse veiligheidsincidenten geweest met gemeentelijke sites, die persoonsgegevens lekten van burgers. Ook bleek in veel gevallen sessies van burgers via DigiD te kapen via gemeentelijke sites.

Gemeenten negatieve uitschieter

Een ander belangrijk incident is de besmetting met de malware Dorifel, waarbij opviel dat veel gemeenten er een eigen aanpak op nahielden en er weinig co÷rdinatie was in de behandeling van het incident. Terwijl volgens Van Gemert de overheid als geheel het beter doet dan het bedrijfsleven, zijn de gemeenten daar een negatieve uitzondering op.

De directeur van het NCSC zei dat de incidenten bij gemeenten maar ook die rond DigiNotar, toen bleek dat zowel overheid als bedrijfsleven gebruik maakte van onveilige beveiligingscertificaten, duidelijk maken dat de diverse partijen, met name overheid en bedrijfsleven, beter moeten communiceren. "Een kwetsbaarheid bij de een kan grote gevolgen hebben bij de ander. Er moet betere samenwerking komen in alle sectoren."

Volgens Van Gemert heeft de Dorifeluitbraak wel laten zien dat samenwerking zijn vruchten afwerpt, "waarbij de samenwerking met de cybersecuritycommunity en journalisten het bewustzijn over beveiliging mee hielp te verhogen."

Ambtenaren kennen het beleid niet

In een onderzoek dat het ministerie van Algemene Zaken samen met de Nationaal Co÷rdinator Terrorismebestrijding en Veiligheid (NCTV) liet uitvoeren, blijkt dat gemeentelijke ambtenaren wel weten dat er beleid is op het gebied van digitale veiligheid, maar weet men niet wat dat beleid inhoudt. Ook weten ambtenaren niet hoe te handelen en nieuwe medewerkers worden niet op dat gebied ingewerkt.

"Het digitale veiligheidsbeleid is bij gemeenten het minst sterk geborgd", meldt het rapport. "Leidinggevenden zien er niet op toe dat men het veiligheidsbeleid kent. Het is geen onderdeel van functioneringsgesprekken." Van alle onderzochte sectoren voelen gemeenteambtenaren zich het minst betrokken bij digitale veiligheid. "Gelukkig zijn gemeenteambtenaren het minst geneigd het digitale veiligheidsbeleid aan hun laars te lappen", meldt het rapport verder, zonder direct de link te leggen met die andere bevinding dat ambtenaren niet op de hoogte zijn van dat beleid.

Ambtenaren bewust van onbekwaamheid

Gemeenteambtenaren geven elkaar dan ook het laagste rapportcijfer van alle werknemers in de verschillende sectoren. Ook de organisatie krijgt een laag cijfer. "Deze lagere rapportcijfers lijken terecht", zo merkt het rapport verder op, "zo hebben gemeenteambtenaren de meest onveilige wachtwoorden."

De opstellers van het rapport willen daarbij wel opmerken dat de medewerkers in deze sector "de hoogst gemiddelde leeftijd hebben" van alle sectoren, "hetgeen van invloed is op het kennisniveau." Daarom, besluit het rapport, "is in deze groep derhalve meer sprake van veel onbekwaamheid, maar is men zich ervan bewust."