Column: Morgen wordt Schagen gehackt

Morgen wordt Schagen gehackt. Of overmorgen of volgende week. Niemand weet wanneer de gemeente Schagen aan de beurt is, behalve de hackers zelf natuurlijk. Boeven zijn het. Ransomware is inmiddels zo’n groot probleem geworden dat de nationale veiligheid in gevaar is, waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs. Belangrijke onderdelen van de infrastructuur zouden kunnen uitvallen, als ze door ransomware-aanvallers worden gekraakt.

Vorig jaar december werd de gemeente Hof van Twente (35 duizend inwoners) geveld door een cyberaanval, met vreselijke gevolgen. Een menselijk foutje en hup de criminelen zitten in je systeem. Hof van Twente, mooie naam voor een gemeente, maar de lui die op een zolderkamertje besloten hadden deze gemeente in de ellende te storten en op kosten te jagen, kun je weinig hoffelijk noemen.

Opeens waren alle servers ontoegankelijk gemaakt en was een grote hoeveelheid informatie van haar inwoners buit gemaakt. De cybercriminelen konden zonder hindernis in de systemen komen door het gemakkelijk te raden wachtwoord Welkom2020 te gebruiken. Ook de firewall stond open voor al het verkeer van internet.

Gemeenten leren het nooit want in maart 2017 werden drie gemeenten in ’t Gooi overvallen door cybercriminelen. Dit zal Schagen nooit gebeuren, zegt men op het gemeentehuis. Maar als het gebeurt, kan Schagen de aanval adequaat pareren en de schade beperkt houden, klinkt het overtuigend.

Maar geen enkele (gemeentelijke) organisatie is100% beveiligd tegen hacks c.q.  cyberaanvallen, antwoordt de gemeente. “Informatiebeveiliging is een kwestie van risicoafweging. Aan de hand van de risico’s worden passende maatregelen genomen om deze risico’s zo klein mogelijk te houden.”

Dit antwoord roept de vraag op of Schagen hetzelfde zou kunnen meemaken als Hof van Twente. Iets wat je geen enkele gemeente wil toewensen. Het antwoord is duidelijk: wat bij Hof van Twente is gebeurd, zal bij de gemeente Schagen niet kunnen gebeuren. Echt niet?

Hackers zijn zeer creatief en kunnen het ook proberen zonder falend personeel in te schakelen, zeg ik. Daarom is een 100 procent garantie niet te geven, zegt nu ook de woordvoerder van de gemeente Schagen. De gemeente doet er alles aan om de veiligheid zo groot mogelijk te laten zijn. Hier de opsomming:  firewalls, nieuwe generatie antivirus en antimalware, twee-factor authenticatie, toegangsbeveiliging, compartimenteren van netwerksegmenten, beveiligde backups, monitoring van systemen enz.

Ik vroeg ook of de gemeente draaiboeken klaar heeft liggen als het misgaat? Er is een incidentresponse plan en er zijn bewustwordingscampagnes onder medewerkers. Doet zich een incident of calamiteit voor, dan kan er effectief worden opgetreden. Hackers zijn slim. Je moet continue oefenen op cyberaanvallen. Geen moment verslappen.

Het is interessant om een externe partij te laten kijken naar de beveiliging. Is het onderwerp al eens besproken door de Rekenkamer, die vaak onderzoeken doet naar de slagkracht van de gemeente op verschillende gebieden? Dit is niet gebeurd. Het is geen gek idee om de Rekenkamer ook naar de ICT- kant van de gemeentelijke organisatie te laten kijken. De Kamer kan een extern deskundig bureau inschakelen met gedegen kennis over ICT-beveiliging.

Toch stellen Internationale deskundigen dat elke organisatie, klein of groot, gehackt kan worden, hoe goed je je systemen ook op orde hebt. Hackers zijn zelfs de grootste bedrijven vaak twee stappen vóór, omdat zij altijd op zoek zijn naar nieuwe manieren om ongeautoriseerd toegang te krijgen. Beveiligen is een continue proces. Voortdurend waakzaam zijn op pottenkijkers in je systemen. De cyberaanval kost Hof van Twente zeker 3,5 miljoen euro.

Eugeen Hoekstra