Onlangs vond de eerste serie sectorsessies plaats van dit jaar. Dit is het tweede en tevens laatste verslag van de derde sessie: Cyber & Gemeenten
De deelnemers:
- David de Kramer: Gemeente Utrecht. Afdeling Openbare orde en veiligheid. Is actief aan de gang met dossier digitale veiligheid en de oprichting van Cybernetwerk Utrecht;
- Ro van Doesburg: Wethouder gemeente Gorinchem. Portefeuille interne bedrijfsvoering, waaronder IT. Achtergrond bij politie (Openbare Orde en Veiligheid) en onderwijs.
- Tom de Haan: CISO bij Drechtsteden, collectief van diverse gemeentes. Geeft ook regelmatig les binnen het onderwijs.
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee verzorgde de techniek.
De eerste praktische tips
Eerder in april hadden we een event met Peter Lahousse die veel, bijna angstaanjagende, voorbeelden gaf van cybercrimepraktijken. Wat daar opviel was dat hij voor zichzelf een “Ik bel terug procedure” had gemaakt. Peter gaf ook aan, dat als je een mail stuurt je daarin beter een verwijzing kunt maken naar waar de informatie staat dan dat je die meestuurt. En plaats geen links in mail. Kort samengevat: zoek de oplossing niet in systemen zelf maar in de manier waarop je met die systemen omgaat. Zijn dit zaken die jullie ook zien?
Ro: “Ik herken dit wel uit de recherchepraktijk. Criminele organisaties stuurden bijvoorbeeld geen mail, maar lieten die in concept staan en gaven daar toegang toe zodat er geen inhoudelijk mailverkeer plaatsvond. Je gaat er dan vanuit dat je van iedereen soort hygiënische werkwijze verlangt maar dan is het wel belangrijk dat iedereen goed geoutilleerd wordt. Je dient dan wel allemaal over devices te beschikken waarmee je netjes binnen de procedure je dingen kunt doen. En ik moet kunnen verwijzen naar een centraal beschikbare bron, toegankelijk voor relevante ontvangers”.
David: “Alles valt en staat met bewustzijn. Kan me voorstellen dat dat er bij een politieorganisatie altijd is. Is er vaak niet bij gemeente omdat dit een hele brede organisatie is, met heel veel verschillende afdelingen. Vaak worden collega’s van Orde en Veiligheid dan als lastig ervaren met een beetje verwrongen wereldbeeld omdat die in hun ogen alles gevaarlijk en eng vinden. In dit soort brede organisaties is het geen gemakkelijke opgave om bewustwording te creëren”.
Ro: “Bij protocolbenadering ben je afhankelijk van mensen, met hun eigen eigenaardigheden. Zo’n protocol moet voor iedereen werkbaar zijn. Wie is dan iedereen, oftewel wie is de modelburger?”
Tom: “Wij investeren veel in workshops m.b.t bewustwording op verschillende niveaus. Volgens mij zijn processen vaak afdwingbaar vanuit IT. Je kunt ook zeggen, ik ga ervan uit dat het sowieso mis kan gaan en ik ga monitoren. De kunst is de balans te vinden tussen mens, proces en techniek vinden. Vanuit je risicoanalyse”.
Voorbeelden van cybercrime uit de recente praktijk
Vervolgens gaat het gesprek in op een tweetal voorbeelden uit de recente praktijk: de publicaties rondom de Universiteit van Maastricht en Hof van Twente. In beide gevallen geldt dat het ging om een complex aan probleemdomeinen en niet een enkele simpele te benoemen oorzaak. En ook het onderwerp wachtwoordlengte en –samenstelling komt aan de orde. Zodra je data uit verschillende bronnen gaat samenvoegen dan wordt in zichzelf onschuldige data plotseling gevaarlijk. Vanuit die optiek zijn gemeenten partijen waar heel veel data te halen valt, die hebben zo’n beetje de rijkste data die je kunt bedenken.
David: “Ja, op persoonsniveau sowieso. Je ziet dat persoonsdata eerder voor € 60 per persoon verkocht is. Als je dan een beetje database hebt is dat niet onverdienstelijk. Terugkomend op een onderwerp waar we het eerder over hadden. Een mooi voorbeeld van protocolleren en afdwingen is het verbieden van roken. Dat heeft uiteindelijk geleid tot een complete cultuuromslag”
Tom: ”Protocolleren is prima. Maar de complexiteit van cyberweerbaarheid en het aanvalsoppervlak zijn zo groot dat het onmogelijk is alles via protocol uit te sluiten, zeker als je dit niet afdwingt”.
David: “Waterdicht krijgen gaat nooit lukken met mensen”.
Tom: “Veel organisaties weten niet eens hoe hun netwerk eruitziet en wat ze aan applicaties hebben draaien. It stimuleert shadow IT, de IT-regie rol verdwijnt. Het aanvalsoppervlak is ontzettend groot. Bewustwording is niet alleen nodig bij users, maar ook bij beheerders en bestuurders”.
Spanning tussen hebben en delen van data
Er is een zekere spanning tussen hebben en delen van data. Hoe ziet de gemeente dat? Combineren maakt data waardevol. Hoe ga je daar slim mee om?
Ro: ”De Nederlander wordt steeds informatiebewuster. Er komen steeds vaker WOB-verzoeken. Lijkt erop dat mensen kritischer worden t.a.v. hun persoonsgegevens en tegelijk verwacht men meer transparantie bij de overheid. Dat kan dus niet. Je hebt een bepaald gebrek aan transparantie nodig om te kunnen functioneren als overheid, dat kan niet anders”.
David: “Actueel voorbeeld. Wij gebruiken camera’s voor handhaving van de milieuzone. Daarnaast hebben we camerasystemen voor de openbare orde. Dat zijn toch echt twee verschillende dingen en die wil je niet door elkaar heen gebruiken. Maar dingen zijn soms minder zwart-wit dan ze lijken. Wat als er een moord wordt gepleegd voor een milieuzonecamera? Ga je die informatie dan gebruiken? Het blijft arbitrair. Ander voorbeeld: private camera’s die deels opnamen maken van publiek terrein. Dat wordt oogluikend toegestaan. En uiteindelijk hebben dat soort opnames toch ook al eens geholpen bij het oplossen van een zaak. Dan ben je als politie juist weer blij met die info”.
Tom: “De afweging tussen veiligheid en privacy blijft onderwerp van discussie de komende jaren. Regelgeving volgt altijd de ontwikkelingen”.
David: “Regelgeving loopt per definitie altijd achter op ontwikkelingen. En het zijn ook business cases. Zolang iets verboden is, kun je eraan verdienen”.
Wico: “We moeten terug naar kleiner. Zaken hebben inmiddels zo’n omvang aangenomen dat ze niet meer zijn weg te automatiseren. De risico’s worden te groot. Je moet niet willen dat je bijvoorbeeld één Facebook hebt die over zo onnoemelijk veel data beschikt. Zoveel data wordt volstrekt onhandelbaar. En de impact is simpelweg te groot. Je kunt het nog zo goed regelen, de risico’s zijn te groot bij die schaalgrootte”.
Ro: ”De decentralisatie van de Zorg heeft hier bijvoorbeeld ook mee te maken. Om terug te komen op het Facebookvoorbeeld, dan zullen overheden zoals de VS ook moeten meewerken aan het opsplitsen van partijen als Google en dat soort bedrijven”.
Welke tip wil je uit je eigen ervaring delen?
Ro: “Ik neem de tip mee om meer grip te proberen te krijgen op het procesdeel”.
Tom: “Doe aan risicomanagement en breng daarin de basis op orde. 2-factor authenticatie vangt al best wel een hele hoop af. Investeer over de 3 assen heen (mens/proces/techniek) en kijk wat haalbaar is”.
David: ”Blijf techniek en mensen verbinden en vertrouw niet te veel op de losse delen (óf techniek óf de mens)”.
We komen gezamenlijk tot de conclusie dat het soms wel een beetje deprimerend is om altijd maar over nadelen, bedreigingen en gevaren te praten maar dat het toch eigenlijk ook wel een heel interessant vakgebied is en dat ook deze derde sessie, evenals de voorgaande twee, veel nieuwe interessante inzichten heeft opgeleverd.