cyberaanvallen gemeenten slecht voorbereid weinig oefening
Geen draaiboeken

'Gemeenten oefenen nauwelijks op cyberaanvallen'

27 mei 2021 om 09:17
Laatste update: 27 mei 2021 om 09:18

Gemeenten hebben onvoldoende aandacht voor cyberaanvallen. Bijna de helft van de gemeenten oefent niet met zulke aanvallen en een groot deel heeft geen draaiboek.

Dat blijkt uit onderzoek van Binnenlands Bestuur en AG Connect onder 27 gemeenten. Zes van die gemeenten oefenen nog helemaal niet met gesimuleerde cyberaanvallen. Nog eens elf gemeentes doen zulke oefeningen gedeeltelijk, of hebben die nog in voorbereiding.

De rondgang onder gemeenten volgt na de cyberaanval op de gemeente Hof van Twente begin december 2020. Hackers kregen toegang tot de systemen van de gemeente, verwijderde veel bestanden en eiste 750.000 euro losgeld om die bestanden terug te geven.

De hack had voorkomen kunnen worden als de gemeente een moeilijker wachtwoord had gebruikt dan 'Welkom2020'. Dat geld werd niet betaald, maar de schade voor de gemeente liep toch in de miljoenen.

'Erg teleurstellend'

Gebrek aan oefening is vijf maanden na die hack 'erg teleurstellend', aldus ict-deskundige Brenno de Winter. "Dit past bij het beeld dat in plaats van een echte test voorkeur wordt gegeven aan vrijblijvende bijeenkomsten waar iemand een toespraakje houdt", zegt de Winter.

Verder zou relevante kennis missen in de rekenkamers die onderzoek doen naar gemeentebeleid. Zonder die kennis kan een rekenkamer niet aan de bel trekken, en missen gemeenten de eerste alarmbel. Verder heeft bijna één op de vijf gemeenten geen draaiboek voor het geval van een cyberaanval. Dat zou vooral bij kleinere gemeenten het geval zijn, die ook geen externe tests doen.

Reactie gemeenten

De Informatiebeveiligingsdienst (IBD) van gemeenten zegt in een reactie hard te werken aan informatiebeveiliging. "De voorbeelden in dit artikel zijn herkenbaar, maar het is een beetje selectief winkelen", aldus de IBD. "Dit artikel wekt de schijn dat het bij gemeenten in het bijzonder slecht is gesteld, terwijl de maatschappij als geheel een been zou moeten bijtrekken. Gemeenten zijn transparant over hun incidenten en bestuurders zijn zich bewust van hun verantwoordelijkheden rondom digitale veiligheid."

De dienst stelt dat er wordt gewerkt aan verbetering, maar dat niet alles tegelijk kan. "Oefenen op incidenten is essentieel en daarom ontwikkelde de Vereniging van Nederlandse Gemeenten een Cyberoefenpakket", aldus de IBD.