Nederlandse gemeenten krijgen steeds vaker met cyberaanvallen te maken en hebben ook meer securitykwetsbaarheden. Dit constateert de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) in zijn tweejaarlijkse onderzoek naar cyberincidenten bij gemeenten. Gemeenten moeten snel maatregelen nemen.

Volgens het onderzoek Dreigingsbeeld 2023-2024 van de IBD, waarin de IBD het dreigingslandschap voor gemeenten in de komende jaren schetst, heeft de beveiligingsorganisatie vorig jaar 300 verzoeken tot bijstand bij cyberincidenten gekregen van gemeenten. Dit is een verdubbeling ten opzichte van 2020.

Ransomware en kwetsbaarheden

Belangrijke aanvallen waarmee gemeenten te maken krijgen zijn vooral ransomware. De IBD ontving de in de afgelopen twee jaar steeds meer meldingen van situaties waar gemeentelijke processen langdurig(er) verstoord zijn als gevolg van destructieve gijzelsoftware.

Een ander probleem waarmee gemeenten op securityterrein veel te maken hebben, zijn aanvallen door kwetsbaarheden in gebruikte software. Vorig jaar constateerde de dienst van de VNG in totaal 1.841 kwetsbaarheden in de diverse ICT-software van Nederlandse gemeenten. Hiervan waren er 90 kritiek. Ten opzichte van 2020 was dat ook een verdubbeling. In 2019 werden nog maar 24 kritieke kwetsbaarheden in software ontdekt.

Keten niet in de gaten

Verder beschikken gemeenten over weinig inzicht in de gevaren die zich binnen de keten kunnen voordoen. Iedere gemeente neemt, volgens het onderzoek, deel aan gemiddeld 30 samenwerkingsverbanden en heeft daarnaast contracten met diverse derde partijen, zoals softwareleveranciers.

Bij uitbesteding wordt vaak gestuurd op de kwaliteit van de dienstverlening, terwijl privacy en security slechts als bijkomende operationele details worden gezien. Binnen de contracten en samenwerkingsovereenkomsten wordt aan deze twee terreinen weinig aandacht besteed. Security wordt ook, vaak vanuit politiek oogpunt, als een kostenpost gezien. Daarnaast wordt geconstateerd dat wanneer privacy en security wel op de agenda staan, hieraan weinig controle op de naleving hiervan wordt gedaan.

Aanbevelingen

In het rapport komt de IBD met een aantal aanbevelingen waarmee gemeenten hun privacy- en securitymaatregelen naar een hoger plan kunnen trekken. Deze maatregelen omvatten zes succesfactoren; Financiën, Techniek, ownership van het management, de mens, de samenwerkingsverbanden en de organisatie van het geheel. Wanneer gemeenten alle adviezen voor deze succesfactoren implementeren, zijn zij veel weerbaarder dan nu het geval is, zo geeft de VNG aan.

Volgens de IBD moeten gemeenten serieus snel een goed securitybeleid gaan implementeren. Dit gaat al een moeilijke taak worden, aangezien het aantal dreigingen zo snel toeneemt dat het gat nauwelijks meer is te dichten. Lukt het gemeenten niet snel een beleid door te voeren, dan zal het aantal incidenten blijven toenemen, zo waarschuwt de IBD van de VNG.