Onlangs vond de eerste serie sectorsessies plaats van dit jaar. Dit is het eerste verslag van de derde sessie: Cyber & Gemeenten
De deelnemers:
- David de Kramer: Gemeente Utrecht. Afdeling Openbare orde en veiligheid. Is actief aan de gang met dossier digitale veiligheid en de oprichting van Cybernetwerk Utrecht;
- Ro van Doesburg: Wethouder gemeente Gorinchem. Portefeuille interne bedrijfsvoering, waaronder IT. Achtergrond bij politie (Openbare Orde en Veiligheid) en onderwijs.
- Tom de Haan: CISO bij Drechtsteden, collectief van diverse gemeentes. Geeft ook regelmatig les binnen het onderwijs.
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee verzorgde de techniek.
De aftrap
We starten het gesprek met een actueel onderwerp, namelijk het nieuwsbericht van diezelfde dag over het lek in de beveiliging bij de gemeente Utrecht dat bleek uit een test.
David: “Wat wel bijzonder is, is dat ze de test fysiek hebben aangevlogen en vervolgens toch bij digitaal zijn uitgekomen. Digitaal zijn we behoorlijk weerbaar, maar ze zijn met mystery guests gewoon het pand binnengelopen, kregen een dagpas en konden zo verder het gebouw binnenlopen. Vervolgens is er een laptop meegenomen waarop een “geeltje” zat met het wachtwoord van een collega. En ze hebben wat usb-sticks bewust laten rondslingeren die vervolgens toch in pc’s zijn gestoken. Kortom: we hebben wat te doen. Maar we moeten het wel in de juiste context plaatsen. We hebben hier te maken met een gebouw waar 4.000 mensen in rondlopen.”
Ro: ”Je wilt als gemeentehuis natuurlijk ook open en toegankelijk kunnen zijn. Daar stoeien wij ook mee”.
Balans tussen toegankelijkheid, gebruiksvriendelijkheid en veiligheid.
Ro: “Er is een risico dat je daarin doorslaat. In mijn tijd bij de politie hadden we misschien wel 20 of 30 applicaties die we moesten gebruiken op diverse platformen. En voor iedere applicatie moest je iedere maand een nieuw password verzinnen. Uiteindelijk resulteerde dat erin dat vrijwel iedereen een boekje op zijn bureau had liggen met al zijn wachtwoorden. Dat effect ontstaat dan”.
David: “Er valt dus nog wel wat te doen rondom bewustzijn van collega’s. Een laptop met een geeltje daaronder is natuurlijk wel een beetje treurig. Aan de andere kant, wij zijn hier dagelijks mee bezig, de meeste collega’s natuurlijk niet”.
Dit zie je toch nog wel vaker, zelfs bij gecertificeerde partijen.
Tom: “Ik herken deze discussie heel erg vanuit mijn rol. Er is altijd spanning tussen het openzetten van omgevingen en veiligheid. Bewustwording is een belangrijk aspect. Maar hoeveel bewustwording mag je van een gebruiker verwachten? Er zijn voorbeelden waarbij een gebruiker op een phishing link klikt, maar dat vervolgens na onderzoek blijkt dat sommige patches al jaren niet zijn uitgevoerd. Ligt het dan aan de gebruiker of aan de IT? Het is een beetje modeverschijnsel om alles op bewustwording te gooien, maar de gebruiker moet kunnen verwachten dat de It ook op orde is. Die balans is belangrijk”.
Hoe krijgen we bewustwording nu op een goede manier onder de aandacht?
Ro: “Het onderwerp is gewoon niet sexy. De visie ontbreekt vaak. Het is vaak een sluitpost. Tegelijkertijd zit niet iedereen te wachten op investeringen. En je bent vaak met zoveel zaken tegelijk bezig, dat je hier niet in eerste instantie aan denkt”.
Als IT’ er ben je vaak een beetje de boeman. Dan heb je het al snel over plannen, investeringen, strategieën enz. Kortom allemaal zaken die geld kosten. Maar er spelen natuurlijk veel meer zaken in een organisatie die ook tijd, aandacht en geld vragen. Hoe kijken jullie ernaar. Hoe urgent is het?
Ro: “Data is zo gevoelig dat iedereen wel weet dat er iets moet gebeuren. VNG stelt normen en kaders. Om volwassenheidsniveau 3 te halen heeft de gemeente Gorinchem ongeveer 3 jaar nodig. En dat is eigenlijk minimaal. Dus daar zetten we op in. Maar wanneer doe je genoeg?”
David: “Vaak zit de gevoeligheid in sociale hygiëne. Je ziet toch vaak dat er wordt “geknipt-en-geplakt” uit systemen en informatie wordt doorgemaild. En een mailtje is snel verkeerd gestuurd. Je kunt dingen technisch gezien vrijwel waterdicht maken, maar het meeste risico lopen we eigenlijk door stommiteiten”.
Vaak gaan dingen mis door snelheid van werken, werkdruk. Dan is een fout klikje zomaar gedaan.
Tom: “De IT-sector moet veilige producten gaan leveren. Wij wilden door externe partij zaken laten toetsen. Komt de betreffende consultant met de suggestie om een phishing test te doen. Ik dacht, die maakt een grap. Bij een phishing test weet je dat het misgaat. Minimaal 30% trapt erin. Wat weet je dan? Hoe wordt er binnen een organisatie naar IT gekeken. Is dat een middel, of een strategische asset? Te vaak wordt IT als bedrijfsvoering gezien: IT levert computers en andere technische middelen zoals de facilitaire afdeling gebouwen en ruimtes regelt. Dat idee is volgens mij allang achterhaald. Je investeert niet om computers aan de gang te houden, je investeert in digitale dienstverlening”.
Ro: “Die insteek is inderdaad nodig nog om bijvoorbeeld data gestuurd werken in te voeren. Wij zijn een kleine gemeente met alle beperkingen van dien. Wij kunnen op dit soort vraagstukken geen volledige teams zetten en krijgen zaken dus vaak wat minder goed georganiseerd. Wij werken met heel veel bronnen en die zijn voor de medewerkers niet zo eenvoudig te ontsluiten. Systemen zijn vaak niet gebruiksvriendelijk genoeg om de gewenste data boven water te halen. Applicatielandschap is complex. Soms lijkt het of je voor iedere medewerker een applicatie hebt”.
Het gesprek komt op de situatie dat veel mensen hun eigen apparaten, maar ook hun eigen applicaties gebruiken omdat ze daar mee om kunnen gaan en daaraan gewend zijn. Dat maakt het lastig om zaken voor derden toegankelijk te maken, wanneer je bijvoorbeeld data wilt delen of combineren.
David: “Dat is natuurlijk heel herkenbaar in de thuiswerksituaties waarin veel mensen nu zitten”.
(vervolg in het tweede verslag)