Cybercriminelen slaan steeds vaker toe bij overheidsinstellingen, die in groeiende mate afhankelijk zijn van digitale systemen. Eind 2020 werd de gemeente Hof van Twente volledig platgelegd door cybercriminelen. Tijdens deze hack-aanval versleutelden cybercriminelen de gegevens op veel gemeentelijke servers.
Om gemeenten te ondersteunen en te adviseren bij deze groeiende bedreiging, brachten NHL Stenden Hogeschool en de Haagse Hogeschool in kaart in welke mate Nederlandse gemeenten zich voorbereiden op zo’n cybercrisis. “Het onderwerp staat hoog op de agenda, maar níet op papier.”
Online een identiteitsbewijs aanvragen. Digitaal je rijbewijs verlengen. Of met één klik op de knop een uittreksel uit het bevolkingsregister opvragen. Onze wereld digitaliseert in rap tempo. Ook gemeenten leunen meer en meer op digitale systemen om de dienstverlening voor hun burgers te organiseren. Gevolg is dat ze steeds kwetsbaarder worden voor aanvallen op, of de uitval van, deze systemen; een zogenoemde cybercrisis. Recente hack-aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid in 2019 maakten eens en te meer duidelijk dat cyberincidenten grote impact kunnen hebben. Aanleiding voor NHL Stenden Hogeschool en de Haagse Hogeschool om de handen ineen te slaan voor een verkennend onderzoek naar hoe gemeenten zich voorebreiden.
In de periode van 1 juli tot 1 december 2020 spraken onderzoekers van beide hogescholen met ambtenaren van 18 verschillende gemeenten verspreid over Nederland. Het merendeel van de respondenten was werkzaam als Chief Information Security Officer (CISO) of als adviseur bij de afdeling Openbare orde en Veiligheid. “Wat ons als eerste opviel was dat deze twee collega’s elkaar – in vrijwel alle gemeenten – nauwelijks kenden”, vertelt Sander Ebbers, docent-onderzoeker bij de onderzoeksgroep Cybersafety van NHL Stenden Hogeschool. “Zowel bij grote als kleine gemeenten komt de samenwerking tussen de traditionele crisisafdeling Openbare Orde en Veiligheid en de IT-afdelingen moeilijk op gang. Tussen de fysieke wereld en de digitale wereld zit binnen gemeenten vaak nog een wereld van verschil. Verontrustend, omdat een cybercrisis ook potentieel invloed kan hebben op de fysieke omgeving.”
Als voorbeeld noemt Ebbers de cyberaanval op containergigant Maersk in de Rotterdamse haven in 2017. “Tijdens een aanval vernietigden cybercriminelen data van de servers van Maersk. Het gevolg was een logistieke puinhoop. Schepen konden hun containers niet laden en lossen en vrachtwagens stonden tot kilometers ver in de omgeving te wachten tot ze de haven in konden. Deze hack-aanval zorgde voor lange files op omliggende (snel)wegen. Vandaar dat ook de gemeente Rotterdam in actie moest komen. Dit voorbeeld bewijst dat een cybercrisis ook direct fysieke gevolgen kan hebben voor de burgers, waar je als gemeente rekening mee moet houden.”
Oefenen met cybercrisissituaties
Dat een aanval van cybercriminelen nog vele malen heviger kan uitpakken voor gemeenten en burgers, weet ook Joyce Koch, onderzoeker bij het lectoraat Riskmanagement en Cybersecurity bij de Haagse Hogeschool. “We spreken wel eens over de worst case scenario’s, waarbij criminelen het water- of stroomnet weten te hacken. Of wat dacht je van het platleggen van onze financiële transacties of het hacken van onze sluizen en gemalen. Gemeenten moeten zich dus niet alleen voorbereiden op een cybercrisis waarbij zij zelf het slachtoffer zijn. Ze kunnen tegelijkertijd ook geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie of bedrijf – gevestigd in de gemeente – wordt getroffen door een cyberaanval.”
“De deelnemende gemeenten gaven aan dat ze in zeer beperkte mate ervaring hebben met cybercrises”, vertelt Koch. “Ondanks dat ze er zelf nog niet direct mee te maken hebben gekregen, zijn alle deelnemende gemeenten zich wel bewust van het feit dat een cybercrisis een reëel gevaar is. Kortom: het bewustzijn is er, maar desondanks heeft het overgrote deel geen draaiboek in de kast liggen mocht het ooit zover komen. Het onderwerp staat wél hoog op de agenda, maar níet op papier.”
Een opvallende derde uitkomst van het onderzoek is dat bij gemeenten die aangaven wel een (cyber)crisisplan op de plank te hebben liggen, dit plan meestal ook echt op de plank blijft liggen. “In slechts zeer beperkte mate oefenen gemeenten met deze crisisscenario’s”, concludeert Jurjen Jansen, senior onderzoeker bij de onderzoeksgroep Cybersafety van NHL Stenden Hogeschool. “De betreffende gemeenten lijken dus in zekere zin goed voorbereid, maar weten eigenlijk niet of de draaiboeken en crisisplannen wel werken tijdens een cybercrisis. Als reden om niet te oefenen, werd veelal tijdsgebrek genoemd. Voor het efficiënt oefenen van zo’n crisissituatie zijn geavanceerde crisisgames ontwikkeld. Het is tevens de vraag of formaliseren van protocollen en plannen daadwerkelijk zorgt voor een betere afhandeling bij een werkelijke cybercrisis. Ook daar ligt voor ons een taak.”
Dit verkennende onderzoek is dan zeer zeker ook geen gesloten boek, als het aan de onderzoekers ligt. “Dit onderzoek heeft ons een beter inzicht gegeven in de kennishiaten en de dilemma’s die er binnen gemeenten spelen”, knikt Jansen. “In een vervolgonderzoek willen we gemeenten nog gerichter gaan adviseren en concrete ondersteuning aanbieden bij het opstellen van zo’n cybercrisisplan. Wat ons betreft liggen er genoeg actiepunten die de moeite waard zijn om verder te onderzoeken.”
Foto door Sora Shimazaki op Pexels.com
Acorn Computers: Acorn System 1 Acorn System 2 Acorn System 3 Acorn System 4 Acorn Atom BBC Micro Acorn Electron BBC Master Acorn Archimedes Amstrad: Amstrad CPC 464, 664, 6128 (incl. de Plu-modellen) Amstrad PCW 8256, 8512, 9512 en opvolgers Amstrad Notepad NC reeks Amstrad PenPad 600 APF: Imagination Machine Apple Computer: Apple I Apple II-familie Apple IIe Apple IIc Apple IIc Plus Apple IIGS Aster Computers: Aster CT-80 (TRS-80 compatibel) Atari: Atari 400, 800, XL, and XE Atari XL Atari ST B BBC: zie Acorn Bit Corporation: Bit-60 Bit-90 C Camputers: Lynx Canon: MSX1- en MSX2-standaard computers V-20 Casio: MSX1-standaard computers MX-10 Coleco: Coleco Adam Commodore: Commodore PET VIC-20 MAX Machine Commodore 64 Commodore 16 and 116 Commodore Plus/4 Commodore 128 Amiga Compukit: UK101 Cromemco: C3 C10 CS-1H Maximizer SCC System Zero System One System Two System Three System Four System Five D Daewoo: CPC-300 Data Applications International: DAI Personal Computer Dick Smith VZ200 (later omgedoopt tot VTech Laser 200) VZ300 (omgedoopt tot VTech Laser 310) Dragon Data: Dragon 32 Dragon 64 Dragon MSX (MSX-prototype) E EACA: Colour Genie eMachines Elektronika: BK-0010 Enterprise 64: Enterprise 64 Enterprise 128 Exidy: Exidy Sorcerer F Franklin Computer Corporation: Franklin ACE series (Apple II compatibel) Fujitsu FM-7 FM Towns G General: MSX1-standaard computers GoldStar: MSX1-standaard computers FC-200 Gradiente: MSX1-standaard computers Grundy Business Systems, Ltd: Grundy NewBrain Galaksija, een zelfbouw homecomputer H Hitachi: MSX1-standaard computers Hitachi MB-H1 Hitachi MB-H2 Hitachi MB-H3 I IBM: PCjr PS/1 PS/2 PS/ValuePoint PC Series Aptiva NetVista ThinkCentre Interton Interton VC 4000 J Jupiter Cantab: Jupiter Ace JVC: MSX2-standaard computers JVC HC-7GB K Kaypro L Luxor: ABC80 Laser: See Laser M Mattel: Aquarius Matra: Matra Alice Music print Computer Product (MCP): see Aster Computers Memotech: Memotech MTX500 Memotech MTX512 Memotech RS128 Microbee Systems, Australia: Micro Bee Miles Gordon Technology: SAM Coupé (opvolger van de ZX Spectrum) Mitsubishi: MSX1- en MSX2-standaard computers N Nascom: Nascom 1 Nascom 2 National: MSX1- en MSX2-standaard computers Newbear: Newbear 77/68 NEC PC-8801 NorthStar Computers Horizon Advantage Dimension O Olivetti Oric Int’l/Tangerine: Oric 1 Oric Atmos Oric Telestrat P Packard Bell Panasonic: MSX1-, MSX2- en MSX2+-standaard computers CF-2700 FS-A1 Philips: P2000 MSX1- and MSX2-standaard computers NMS-8250 NMS-8255 VG-8020 VG-8235 Pioneer Corporation: MSX1-standaard computers R RadioShack: TRS-80 Model I, II, III, … TRS-80 Color Computer (CoCo), Coco 2, Coco 3 TRS-80 MC-10 Tandy 1000 Research Machines: 380Z Link 480Z Nimbus PC-186 S Salora Fellow (later omgedoopt tot VTech Laser 200) Sanyo: MSX1-, MSX2- en MSX2+-standaard computers PHC-28 Sega SC-3000 Sharp: MSX1-standaard computers MZ-serie Sharp MZ-40K Sharp MZ-80K Sharp MZ-80C Sharp MZ-80B Sharp MZ-80A Sharp MZ-1200 Sharp MZ-2000 Sharp MZ-700 Sharp MZ-3500 Sharp MZ-2200 Sharp MZ-5500 Sharp MZ-800 Sharp MZ-1500 Sharp MZ-5600 Sharp MZ-6500 Sharp MZ-2500 Sharp MZ-8000 Sharp MZ-2800 X-serie X1 X68000 Sinclair Research: ZX80 ZX81 ZX Spectrum Sinclair QL Sony: MSX1-, MSX2- en MSX2+-standaard computers HB-75 HB-F9 HB-F900 Sony SMC-70 Sony SMC-70G Sony SMC-777 Sord: Sord IS-11 Sord M5 Sord M23 Sord M68 Spectravideo: SV-318 SVI-318MKII SV-328 SVI-328MKII MSX1- en MSX2-standaard computers, waaronder: SVI-728 SVI-738 SVI-838 (PC/MSX2-hybride) T Tatung: Tatung Einstein Texas Instruments: TI-99/4 TI-99/4A Texet: Texet TX8000 (later omgedoopt tot VTech Laser 200) Thomson: TO7 TO7-70 MO5 TO9 TO8 MO6 TO9+ TO8D Tiki Data: Tiki 100 Toshiba: MSX1-standaard computers V Video Technology (AKA VTech): 100 110 200 210 310 Y Yamaha: MSX1-standaard computers CX5M Yashica-Kyocera: MSX1-standaard computers Yeno: MSX1-standaard computers
Dossier Mastenbroek 
Geef een reactie