De Rekenkamercommissie van de gemeenten Opmeer en Medemblik heeft Hoffmann de opdracht gegeven voor een onderzoek naar de informatiebeveiliging bij de gemeente Opmeer en Medemblik. In deze casus vertellen Jeroen van Oort, voorzitter van de Rekenkamercommissie, en Mo Ballari, senior consultant Cybersecurity & Risk management bij Hoffmann, daar meer over.
Aanleiding
Jeroen: “De directe aanleiding voor dit onderzoek, dat in het voorjaar van 2022 in gang is gezet, was een aantal hacks bij grote organisaties. We zagen in de media dat die hacks veel impact hadden en de betreffende organisaties weken hadden stilgelegen, met alle schade van dien. Daarnaast had een aantal andere rekenkamers ook al een onderzoek laten doen.”
“Informatieveiligheid zou binnen gemeenten een enorm belangrijk onderwerp moeten zijn,” vervolgt hij. “Zij verwerken, gebruiken en verstrekken veel privacygevoelige informatie. Denk maar eens aan rijbewijzen, paspoorten en gegevens over uitkeringen. Informatie die enorm belangrijk is voor het functioneren van een overheid, maar die dus ook goed beveiligd moet
worden. Bestuurlijk gezien is daar nog niet in elke gemeente voldoende aandacht voor. Ook worden er nog niet altijd voldoende financiën voor vrijgemaakt. Terwijl de financiële consequenties bij een geslaagd hack vaak vele malen groter zijn.”
Informatieveiligheid zou binnen gemeenten een enorm belangrijk onderwerp moeten zijn.”
Jeroen van Oort, Voorzitter bij de Rekenkamercommissie gemeente Opmeer en Medemblik
Mo: “Een onderzoek naar informatieveiligheid is altijd maatwerk, maar richt zich in ieder geval op de pijlers mens, techniek en organisatie. Bij de gemeenten Opmeer en Medemblik hebben wij ons binnen die pijlers enerzijds gericht op wat wij ‘opzet’ noemen: de aanwezigheid van beleidsstukken en kaders over informatiebeveiliging. Anderzijds hebben we gekeken naar ‘bestaan en werking’, waarbij we hebben onderzocht hoe de uitwerking van dat beleid in de praktijk was. Daarvoor hebben we niet alleen gekeken naar het beleid en gesprekken met stakeholders gevoerd, maar hebben we ook onze ethical hackers ingezet. En uiteraard hebben we ook inlooptests uitgevoerd, waarbij we als ‘mystery guests’ hebben getracht om fysieke lokaties binnen te dringen.”
Samenwerking
Uit het onderzoek dat Hoffmann uitvoerde, is een aantal kwetsbaarheden gekomen. “Die zijn ook gepubliceerd, dat is geen geheim,” aldus Mo. “Eigenlijk treffen we bij ieder onderzoek wel kwetsbaarheden aan. Maar wat ik zo fijn vond aan de samenwerking met deze Rekenkamer, is dat we vooraf hadden afgesproken dat we bij zwaarwegende bevindingen die om een urgente oplossing vroegen direct contact zouden leggen. En dus niet pas bij publicatie van het rapport. In de praktijk bleken die bevindingen er ook te zijn.
Jeroen van Oort & Mo Ballari
Vanuit Hoffmann hebben we de rol van de Rekenkamercommissie enorm gewaardeerd.”
Mo Ballari, Senior consultant Cybersecurity & Risk managemet bij Hoffmann
De Rekenkamercommissie is toen razendsnel bij elkaar gekomen en door ons bijgepraat, waarna ze ook direct toestemming gaf om met de CISO’s [Chief Information Security Officer; red.] van de gemeenten naar oplossingen te zoeken. Daardoor werden er nog tijdens het onderzoek grote slagen in de beveiliging gemaakt.“ “Dat klopt inderdaad,” beaamt Jeroen. “Er is razendsnel een aantal stappen gezet. Helaas heeft het bestuurlijk gezien nog best een tijdje geduurd totdat er budget werd vrijgemaakt om ook de andere stappen te zetten. Publicatie van het rapport heeft in die zin wel bijgedragen aan het gevoel van urgentie.”
Op de vraag wat Jeroen prettig vond aan de samenwerking met Hoffmann, antwoordt hij: “Met uitzondering van de CISO’s, die technisch natuurlijk wel een aardig woordje meepraten, zijn de meeste gemeentebestuurders, zoals burgemeesters, wethouders
en raadsleden, leken op het gebied van informatiebeveiliging. Terwijl ze toch er toch verantwoordelijk voor zijn. In hele heldere bewoordingen weet Hoffmann duidelijk te maken wat er technisch aan de hand is en wat daarvan de gevolgen – zowel voor de
bedrijfsvoering van de gemeenten als maatschappelijk – zouden kunnen zijn. In die vertaalslag is Hoffmann heel goed. Daarnaast is de kwaliteit van het onderzoek gewoon goed. Het is wat je van een dienstverlener verwacht, maar het is wel prettig als dat ook uitkomt.”
“Als ik daar nog iets aan mag toevoegen,” vervolgt Mo. “Vanuit Hoffmann hebben we de rol van de Rekenkamercommissie enorm gewaardeerd. Bij een dergelijk onderzoek is de Rekenkamer de opdrachtgever, de gemeente de onderzochte partij en het college van B&W verantwoordelijk. Dat kan een spanningsveld en soms ook weerstand opleveren. Maar in deze casus heeft de Rekenkamercommissie daar een goede rol in gespeeld, door een gezamenlijke startbijeenkomst te organiseren en uit te leggen wat er ging gebeuren. Daardoor zat iedereen op één lijn. Dat werkte heel plezierig.”