Beter bewapenen tegen online ordeverstoring
Digitale ontwrichting moet voor overheden dagelijkse kost worden
Tekst Jelle van der Meulen Beeld ANP Foto
Digitale ontwrichting staat op de agenda van bestuurders, maar verdient nog meer aandacht. Dat zegt Gerhard van den Top, burgemeester van Hilversum en portefeuillehouder digitale ontwrichting bij het Veiligheidsberaad. ‘De digitale wereld ontwikkelt zich razendsnel. Nederland is niet in de positie om rustig te gaan slapen op dit onderwerp.’
Gerhard van den Top: 'De digitale wereld ontwikkelt zich razendsnel en is niet gebonden aan protocollen, wetgeving en systemen'
Eind 2020 wisten hackers de systemen van de gemeente Hof van Twente plat te leggen. De gemeente kon niet meer bij (vaak privacygevoelige) gegevens en veel informatie werd uiteindelijk vernietigd. Zo’n 2 jaar later vielen hackers een softwareleverancier van vijf Zuid-Limburgse gemeenten aan, met als gevolg dat systemen dagenlang niet te gebruiken waren en sommige dienstverlening niet kon plaatsvinden. Begin april van dit jaar lekte een Noord-Amerikaanse militair staatsgeheimen van het Pentagon in een online chatgroep, waarmee hij volgens deskundigen militairen en inlichtingenmedewerkers in gevaar bracht.
‘Digitale ontwrichting voelt voor bestuurders nog te vaak als corvee’
Corvee
De drie kwesties zijn alle vormen van digitale ontwrichting, die een grote bedreiging kan vormen voor de samenleving. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) definieert digitale ontwrichting als verstoringen van het maatschappelijk leven die samenhangen met een ernstige verstoring of uitval van digitale processen, als gevolg van de groeiende verwevenheid van de digitale met de fysieke wereld. Het kan daarbij gaan om cybercrime (zoals in Twente), maar ook om verstoringen die niet crimineel van aard zijn, zoals een falend systeem dat de bagagebanden van een vliegveld stillegt.
Sinds 2018 is digitale ontwrichting een van de strategische onderwerpen van het Veiligheidsberaad, het overlegorgaan van de voorzitters van de 25 veiligheidsregio’s. Het thema wint snel aan actualiteit en bewustzijn, meent Van den Top. ‘Toch voelt het voor bestuurders nog te vaak als corvee. Als een bedrijfsvoeringsonderwerp, dat ze liever aan de technici over laten. Maar juist de gemeenteraden, de staten en misschien ook de Tweede Kamer zouden moeten ontdekken welke belangen samenhangen met digitale veiligheid. Zij moeten verantwoordelijkheid nemen. Dat groeit, maar moet nog beter.’
Bestuurlijk routeboek Het Veiligheidsberaad publiceerde een aantal jaar geleden een ‘bestuurlijk routeboek’, dat het bewustzijn van bestuurders over digitale ontwrichting moet vergroten. Momenteel wordt vooral hard gewerkt aan de ‘koude fase’, legt Van den Top uit. ‘Dat is het bewust maken van partners in de regio, zorgen dat het gesprek over digitale ontwrichting plaatsvindt en dat er middelen zijn om er iets aan te doen.’
Daarnaast onderzoekt het Veiligheidsberaad met het ministerie van Justitie en Veiligheid welke processen vitaal moeten worden verklaard, zodat in tijden van crisis de veiligheidsregio’s hun werk kunnen blijven doen. Van den Top: ‘Dat is voor ons vooral een kwestie van het beveiligingsniveau. Je kunt kastelen beveiligen, maar je moet ook tussen de verschillende kastelen kunnen bewegen en informatie veilig uitwisselen. Zo kun je de vitale processen in stand houden, ook als het land qua cyberveiligheid in de fik staat.’ Het Veiligheidsberaad heeft inmiddels een versnellingsplan in gang gezet om te zorgen dat de beveiligingsstatus van veiligheidsregio’s op het hoogst mogelijke niveau komt.
Over bevoegdheden en verantwoordelijkheden over digitale ontwrichting is momenteel nog wel discussie, legt Van den Top uit: ‘Veiligheidsregio’s zijn verantwoordelijk voor de gevolgbestrijding van een digitale crisis. Maar voor het oplossen van de cybercrisis zelf is het de vraag of de burgemeester daar de aangewezen persoon voor is. We moeten nog ontdekken hoe je verantwoordelijkheden belegt wanneer een crisis zich voordoet. Helpt het dan om bevoegdheden lokaal of juist landelijk te beleggen, bijvoorbeeld bij de NCTV, waar veel kennis is? Daar is het laatste woord nog niet over gesproken.’
‘Het is een wedstrijd om de snelle ontwikkelingen bij te houden’
Regie Decentraal is het nodige gaande, maar Van den Top dringt ook bij het rijk aan om haar deel te doen en meer de regie te nemen. ‘Het heeft geen zin als de 25 veiligheidsregio’s 25 keer gaan uitzoeken wat de beste manier is om digitale ontwrichting het hoofd te bieden. We komen nu twee keer per jaar samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) om te horen wat de dreigingen zijn. Dat draagt bij om het onderwerp tot ons dagelijks brood te maken. Waar we nog een stap te zetten hebben, is wat we doen wanneer een crisis zich voordoet. Wie voert dan de regie, hoe werken we dan samen?’
In de notitie De rol van veiligheidsregio’s bij digitale ontwrichting schreef het Veiligheidsberaad in 2018 nog dat bestuurlijk handelingsperspectief voor de Veiligheidsregio’s ontbrak. Hierbij was het ‘tekenend dat het geld dat het kabinet Rutte-III heeft gereserveerd in het regeerakkoord “versnipperd” is en verdeeld over zes departementen, waarbij er geen duidelijk leidend departement is waar mee gesproken kan worden.’
Van den Top is echter positief over de samenwerking die nu vorm begint te krijgen. ‘We werken met heel veel partijen samen: de G40, burgemeesters, ministeries, de Vereniging van Nederlandse Gemeenten (VNG). Ik vind het alleen maar goed dat al die partijen zich betrokken voelen. We zijn bezig met het opzetten van een kennisknooppunt om regio’s en het rijk met elkaar te verbinden en tot een systeem te komen om in crisistijd op een goede manier informatie met elkaar te delen. Toevallig heb ik straks een lunchafspraak om dat met enkele partijen te bespreken.’
‘Nauwe Europese samenwerking komt onze veiligheid ten goede’
Samenwerking
Hoe we het in Nederland georganiseerd hebben, kan niet overal op begrip rekenen. Tijdens een werkbezoek zei de directeur van een waterbedrijf in Singapore tegen toenmalig dijkgraaf Van den Top dat hij al die Nederlandse overheden maar ingewikkeld vond. ‘In Singapore is het centraler geregeld, maar zo zit ons landje niet in elkaar,’ weet Van den Top. ‘Het is goed dat allerlei gremia zich bij dit onderwerp hebben aangesloten. We moeten alleen een vorm vinden om alle partijen slimmer te laten samenwerken.’
Aangezien digitale dreigingen niet gebonden zijn door landsgrenzen, lijkt het logisch om ook internationaal samenwerking te zoeken. Het Veiligheidsberaad richt zich op het eigen werkgebied, maar Van den Top ziet momenteel bredere samenwerkingen ontstaan. ‘De NCTV is voornemens voor het eerst een landelijke dreigingsanalyse te delen met het Veiligheidsberaad. Daarin maken we de link met internationale dreigingen. Nauwe samenwerking in Europees verband kan onze veiligheid alleen maar ten goede komen.’
Toenemende dreiging Uit het jaarlijkse Cybersecuritybeeld Nederland van de NCTV van vorig jaar kwam naar voren dat er scheefgroei is tussen de weerbaarheid en de toenemende dreiging van digitale ontwrichting. Het zou niet zozeer de vraag zijn of bedrijven en overheden worden aangevallen, maar wanneer. ‘Ik ben de laatste om te zeggen dat Nederland rustig kan gaan slapen op dit onderwerp,’ erkent Van den Top. ‘De digitale wereld ontwikkelt zich razendsnel en is niet gebonden aan protocollen, wetgeving en systemen, zoals wij dat wel zijn. Het is echt een wedstrijd om de snelle ontwikkelingen bij te houden.’
Van den Top vervolgt: ‘Informatieveiligheid is van new kid on the block echt een centraal thema geworden. Overheden moeten nog wel een stapje harder lopen. En nogmaals: dat moet zich niet beperken tot de bestuurders of ambtenaren die er al veel vanaf weten. We moeten ook raden en volksvertegenwoordigers doordringen van de ernst en de snelheid van de ontwikkelingen. Voor ons allemaal is er werk aan de winkel. Digitale ontwrichting moet niet langer voer voor specialisten zijn, maar dagelijkse kost voor iedereen.’ ◼
Deel dit artikel