Veel Nederlandse gemeenten zijn niet goed voorbereid op een cyberaanval. Het ontbreekt vooral aan een noodplan en aan onderlinge samenwerking tijdens een crisis.
Dat blijkt uit een onderzoek van de NHL Stenden Hogeschool en De Haagse Hogeschool. De onderzoekers spraken in de periode van 1 juli tot 1 december 2020 met ambtenaren van 18 verschillende gemeenten verspreid over Nederland. Aanleiding voor het onderzoek zijn enkele recente aanvallen op gemeenten, waaronder die in december op de gemeente Hof van Twente.
Omdat gemeenten meer en meer gebruik maken van digitale systemen om de dienstverlening voor hun burgers te organiseren, zijn ze steeds kwetsbaarder geworden voor aanvallen op, of de uitval van deze systemen; een zogenoemde cybercrisis.
Opvallende uitkomst is dat dat zowel bij grote als kleine gemeenten de samenwerking tussen de traditionele crisisafdeling Openbare Orde en Veiligheid en de IT-afdelingen moeilijk op gang komt. Het merendeel van de respondenten was werkzaam als Chief Information Security Officer (CISO) of als adviseur bij de afdeling Openbare orde en Veiligheid. “Wat ons als eerste opviel was dat deze twee collega’s elkaar – in vrijwel alle gemeenten – nauwelijks kenden”, vertelt Sander Ebbers, docent-onderzoeker bij de onderzoeksgroep Cybersafety van NHL Stenden Hogeschool.
“De deelnemende gemeenten gaven aan dat ze in zeer beperkte mate ervaring hebben met cybercrises”, vertelt Joyce Koch, onderzoeker bij het lectoraat Riskmanagement en Cybersecurity bij De Haagse Hogeschool. “Hoewel ze er zelf nog niet direct mee te maken hebben gekregen, zijn alle deelnemende gemeenten zich wel bewust van het feit dat een cybercrisis een reëel gevaar is. Kortom: het bewustzijn is er, maar desondanks heeft het overgrote deel geen draaiboek in de kast liggen mocht het ooit zover komen. Het onderwerp staat wél hoog op de agenda, maar níet op papier.”