De gemeentelijke informatievoorziening is kwetsbaar. Dat concludeert de Informatiebeveiligingsdienst (IBD) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022, dat op 25 september jl. is verschenen. De belangrijkste bedreiging vormen menselijke vergissingen.
Incidentrapportages
De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy en is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten verschijnt om het jaar. Het is opgesteld op basis van een analyse van incidentrapportages van gemeenten, meldingen aan de IBD en interviews.
In het Dreigingsbeeld 2021/2022 signaleert de IBD dat bureaucratie ‘uit’ is en ondernemerschap 'in'. Het werk moet snel en efficiënt en dat brengt risico's met zich mee. 'De kortste weg naar het resultaat is er vaak één met valkuilen,' schrijft de IBD. Het kan ertoe leiden dat emails met gevoelige informatie naar de verkeerde worden verstuurd, USB-sticks worden verloren en bestanden per ongeluk gewist.
Bulkaanvallen
Hackers die doelgericht de gemeente aanvallen halen het nieuws, maar het grootste deel van de incidenten met dreiging van buitenaf komt voort uit geautomatiseerde bulkaanvallen. Honderdduizenden mensen ontvangen hetzelfde phishingbericht. Als één ervan toevallig een ambtenaar is en het bericht aanklikt, krijgt de gemeente mogelijk zomaar een aanval van gijzelsoftware voor de kiezen.
Openbare bronnen
De IBD krijgt ook meldingen van doelgerichte inlogpogingen op systemen of gerichte phishingmails, maar dat zijn er minder. Mogelijk komt dat omdat ze moeilijk te ontdekken zijn. Informatie voor een dergelijke gerichte aanval halen hackers vaak gewoon van openbare bronnen, zoals LinkedIn. Ook circuleren er lijsten met eerder gestolen gebruikersnamen en wachtwoorden.
Interne kwaadwillende
De meest riskante dreiging is tevens het moeilijkst te ontdekken, schrijft de IBD. Dat is de interne, moedwillige saboteur. Vooral medewerkers die verhoogde toegang hebben tot de systemen, zoals ICT-beheerders en management, kunnen grote schade aanrichten zonder dat er meteen belletjes gaan rinkelen.
Melden
Tot slot benadrukt de IBD dat hoewel er weinig incidenten in gemeenten lijken te zijn, dat niet betekent dat er weinig misgaat op het gebied van security. Al te vaak gaat het bij incidenten meteen om de schuldvraag: wie heeft er op die malafide link geklikt of die usb-stick in de trein achtergelaten? Dat kan medewerkers ervan weerhouden om incidenten te melden, aldus de IBD.
Bron: BinnenlandsBestuur Digitaal