Hackers, ransomware? Nee, eigen medewerkers grootste cyberrisico voor gemeenten

Niet ransomware of hackers, maar juist de eigen medewerkers binnen een gemeente zijn de grootste cyberdreiging voor gemeentelijke organisaties. Zo blijkt uit het rapport: Informatie Beveiligingsdienst (IBD) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021-2022.

In het uitgebreide rapport Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 gaan analisten van VNG Realisatie specifiek in op de risico’s voor de ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers. Het belang van dit thema komt voort uit gesprekken van VNG Realisatie met gemeentesecretarissen, managers en medewerkers van gemeenten.

Wat zijn die cyberrisico's die bij de eigen medewerkers van gemeenten liggen?

De meest prominente risico’s manifesteren zich in de ambtelijke organisatie; bij de ambtenaren die iedere dag gebruikmaken van informatie- en communicatiesystemen om hun werk te doen. Die zijn grofweg onder te verdelen in: drie categorieën:

1. Risico: steeds meer thuiswerkers en bedrijfscontinuïteit in het geding

Of het nu door een technische oorzaak komt (fouten in hard- en software) of door een niet technische oorzaak (een faillissement van een dienstverlener, een pandemie, een brand, een vlooienplaag, een overstroming, enzovoort). Het kan voorkomen dat het werk niet kan doorgaan zoals dat normaal gaat. Deze risico’s vinden een oorzaak in de digitale wereld of ze manifesteren zich uiteindelijk in het feit dat een computersysteem niet werkt. Hoe garandeer je bijvoorbeeld veiligheid en privacy op afstand tijdens het thuiswerken? 

Download de Veilig Thuiswerken Gids:
"Veilig gevoelige informatie versturen vanuit huis"

2. Risico: Integriteit van gegevens is niet gewaarborgd

Gemeenten vertrouwen erop dat de persoon die inlogt in een systeem ook degene is aan wie toestemming heeft gekregen om dat te doen en dat deze persoon op dat moment ook een gegronde reden heeft om in te loggen. Om technische (een hack) en niet-technische (een medewerker met kwade bedoelingen) redenen kan het zijn dat iemand werk uitvoert dat niet de bedoeling is. 

3. Vertrouwelijke gegevens in verkeerde handen

Een e-mail aan een verkeerd mailadres, een foutje in de toegangsrechten van een gedeelde map (menselijke fouten) of een onontdekt lek in een systeem (technische fouten) of een ongedicht lek in een systeem (een combinatie van menselijke en technische fouten) kunnen ertoe leiden dat vertrouwelijke informatie onbedoeld onder ogen van ongeautoriseerde personen komt.

De gemeente werkt met legio vertrouwelijke gegevens over inwoners, maar ook over de eigen bedrijfsvoering: denk aan aanbestedingen, plannen, memo’s, salarissen.

Risico's door eigen medewerkers indammen met Zivver

De risico's zijn Geoffrey Reemer, implementatieconsultant bij Zivver, niet onbekend. “Gemeenten werken in het hart van de samenleving, met talloze processen waarbij gevoelige informatie gedeeld wordt. Gegevens uitwisselen met zorginstanties, begeleiding van inwoners met sociale problemen, behandeling van vergunningaanvragen en ga zo maar door. De grootste uitdaging is dan ook om al die informatiestromen veilig te laten verlopen, op een manier die gebruikers ondersteunt in hun werkprocessen, in plaats van hindert.”

Reemer helpt gemeenten om deze vraagstukken samen aan te gaan. “Zivver biedt gemeenten een totaaloplossing voor ad-hoc communicatie van gevoelige gegevens. Een oplossing die de niet alleen de inhoud technisch beveiligt, maar die ook gebruikers waarschuwt voor mogelijk onveilige handelingen, verifieert dat de ontvanger echt de bedoelde persoon is, en het bewustzijn van medewerkers over digitale veiligheid fors verhoogt. Bovendien helpen we bij de implementatie ook om de gemeente volledig in lijn te brengen met alle regelgeving over het delen van gevoelige informatie.”

Gemeente Lochem: "Eigen medewerkers moet je de juiste security tools geven om fouten te voorkomen"

Een mooie case die Reemer zich kan herinneren is die van de gemeente Lochem. De gemeente viel ten prooi aan een groots opgezette hackersaanval die de gemeentelijke organisatie meer dan 200.000,- kostte. Reemer: "Lochem heeft de veiligheid van de infrastructuur sindsdien behoorlijk opgeschroefd, maar ook geïnvesteerd in het voorkomen van menselijke fouten."

Remko Gelmers I&A Coördinator bij de Gelderse gemeente, vertelt hoe de gemeentelijke organisatie Zivver Veilig Mailen en Zivver File Transfer inzet: "Zivver staat bij de gemeente Lochem automatisch aan en scant de inhoud van een e-mail terwijl deze wordt geschreven. Op bepaalde mogelijk gevoelige informatie slaat Zivver aan en geeft hierover meldingen. Door deze zogenaamde slimme Error Prevention Technologie wordt de kans op een datalek bij de gemeente aanzienlijk verminderd. Zivvers waarschuwingen zorgen voor steeds meer bewustwording bij medewerkers. Er worden ook steeds meer berichten beveiligd met Zivver verstuurd."

En juist die medewerkers, die staan centraal als groot risico in het onderzoek van VNG Realisatie. "Medewerkers van de gemeentelijke organisatie in Lochem voelen zich steeds zelfverzekerder over het versturen van privacygevoelige data, en doen dat op een veilige manier. Bijkomend voordeel: zo verdigitaliseert de Achterhoekse gemeente steeds verder: een win-winsituatie!" 

Lees het volledige rapport hier.

Geschreven door

Kevin Lamers

Gepubliceerd op september 30, 2020

Laatst gewijzigd op september 30, 2020