Een opiniestuk over het rapport “Informatieveiligheid Gemeente Medemblik” door Hart voor Medemblik raadslid Niels de Waal.
Afgelopen week is het rapport van onze Rekenkamercommissie in samenwerking met Hoffmann Bedrijfsrecherche over de informatieveiligheid binnen onze gemeente deels gepubliceerd. Het gehele rapport is met de gemeenteraad gedeeld. Na de door het college van burgemeester en wethouders “zorgelijk” genoemde bevindingen en conclusies in dat rapport zijn er inmiddels maatregelen genomen die de risico’s op onder meer hacks zouden moeten beperken; na(!) de bevindingen van de onderzoekers dus.
Bewustzijn onder medewerkers
Een belangrijke tekortkoming die in het rapport wordt genoemd is het gebrek aan persoonlijk bewustzijn onder medewerkers als het gaat om de omgang met (informatie)veiligheidsrisico’s. Er is een tekort aan degelijke veiligheidsprocedures en van het permanent up to date houden van die procedures en de controle op de naleving daarvan door medewerkers is al helemaal nauwelijks sprake. De factor “mens” is ook volgens Hoffmann Bedrijfsrecherche misschien wel de zwakste schakel.
Terugkijken is noodzakelijk
Natuurlijk heeft het oplossen van de problemen en daarmee het wegnemen van de onnodig hoge risico’s de hoogste prioriteit. Hoewel de schuldvraag dus ondergeschikt is moet de gemeente in al haar geledingen lering trekken uit deze zaak. Je ontkomt er dan niet aan om terug te kijken om uiteindelijk vast te kunnen stellen waar en waarom dingen zijn misgelopen.
Zijn de mensen op de werkvloer in onze gemeentelijke organisatie dan de schuldigen? Hoewel iedereen persoonlijk zijn of haar bijdrage kan en moet leveren aan het bewaken van uw en mijn persoonlijke gegevens, is mijn antwoord hierop “nee”. Wat je niet aangereikt krijgt, weet je niet en waar geen procedures of controles zijn, verwateren zaken. De afdelingshoofden dan? Natuurlijk dragen zij een grotere verantwoordelijkheid dan de medewerkers. Als het gaat om de bewustwording rond het onderwerp “informatieveiligheid” hebben zij een belangrijke rol.
Het goed kunnen vervullen van die rol hoeft behalve “uren” niet heel veel extra te kosten, maar informatieveiligheid heeft ook alles met fysieke middelen te maken: toegangspoortjes, beveiligingscamera’s en met up to date hard- en software bijvoorbeeld. Daar is geld voor nodig; geld dat door de werkgever moet worden vrijgespeeld. En die werkgever is in dit geval de gemeenteraad.
Politiek onbewust of gebrek aan overtuiging?
En dan komen we weer bij het in het rapport genoemde gebrek aan bewustzijn. Om in de politiek tot verstandige (budgettaire) keuzes te komen is het overtuigd zijn en het bewust zijn van, in dit geval, grote veiligheidsrisico’s essentieel. Kennelijk was die overtuiging er niet, want dat politici die al langer meedraaien zich niet bewust zouden zijn geweest van bijvoorbeeld de verouderde systemen en wat daarvan de gevolgen zouden kunnen zijn, is naar mijn mening onmogelijk.
Ook zonder het Rapport Informatieveiligheid wist de politiek van de te hoge risico’s die onze gemeente liep op het gebied van informatieveiligheid of op zijn minst had zij dit moeten weten. Zo weet iedereen die ooit een computer heeft gehad dat je hardware en software tijdig moet updaten en vervangen om niet alleen goed, maar vooral ook veilig te kunnen werken.
Als een leidinggevende van een afdeling tijdens een inwerk-presentatie aan de huidige, nieuwe raad zegt dat hij moet werken met een systeem dat qua ouderdom te vergelijken is met MSDOS dan kun je niet verbaasd zijn over de uitkomsten van het rapport.
Dat Hoffmann Bedrijfsrecherche zo maar het gemeentehuis kon betreden en aan de wandel kon gaan kan geen verrassing zijn als je in al die jaren zelf vaak genoeg hebt kunnen constateren hoe gemakkelijk dat is?
Dit zijn slechts 3 voorbeelden waaruit blijkt dat vooral politici (op een enkele uitzondering na) dit onderwerp hebben laten versloffen, maar een alleszeggend voorbeeld van de toenmalige politieke mindset ervaarde ik als inwoner.
De ontsteltenis van een inwoner in 2021
Ik zat nog niet in de gemeenteraad toen ik in 2021 misschien wel het duidelijkste en schrijnendste voorbeeld zag van het gebrek aan politieke bewustzijn/overtuiging als het gaat om onze informatieveiligheid. Ik neem u mee naar begin juni 2021. Om die periode in perspectief te plaatsen: Om coronasteun te kunnen aanvragen droegen veel ondernemers hun hele hebben en houden (digitaal) aan de gemeente over en moesten zij bovendien regelmatig updates van die informatie aan de gemeente toesturen. “Je moet er toch niet aan denken dat er een datalek bij de gemeente plaatsvindt,” zo werd al gedacht.
Nu het voorbeeld zelf. In de Lentenota 2021 (DOC-21-395989) wordt op de 1e pagina gesproken over de zogenaamde Baseline Informatiebeveiliging Overheid (BIO = een soort door het Rijk aan gemeenten verplicht gestelde ISO-certificering) en een bedrag van 25.000 euro dat ten behoeve daarvan moest worden vrijgemaakt:
“Implementatie BIO – nadeel: € 25.000,- (incidenteel) Vanaf 2019 is de Baseline Informatiebeveiliging Overheid (BIO) verplicht. Daarmee wordt voor de hele overheid een standaard gehanteerd voor informatiebeveiliging. De implementatie van de BIO bestaat uit technische en organisatorische werkzaamheden. Voor het doorvoeren van organisatorische veranderingen is de bestaande capaciteit te beperkt. We boeken niet de voortgang op de implementatie van de BIO die we moeten boeken. Door inhuur van capaciteit kunnen we hier wel stappen in zetten.”
Behalve dat hier andermaal duidelijk wordt dat onze gemeente hier al achterliep en daarvan op de hoogte was is de opmerkelijke onderbouwing voor het alsnog vrijspelen van dat geld veelzeggend over het gebrek aan bewustzijn en/of overtuiging van de veiligheidsrisico’s die de gemeente liep:
- “Indien er een situatie optreedt waarbij sprake is van hacking en we voldoen niet aan de norm, dan zal de boete aanzienlijk zijn.
- Daarnaast ontstaat een risico als we niet voldoen aan de norm, en er geen adequate invulling wordt gegeven aan het spoedig invullen van deze norm, waarbij de bestuurders van de organisatie gemeente op persoonlijke titel verantwoordelijk zijn.”
Tot mijn ontsteltenis las ik toen dat hier dus niet de veiligheid van uw en onze gegevens wordt benadrukt, maar dat vooral de gemeentelijke angst voor een hoge boete en de persoonlijke verantwoordelijkheid van onze toenmalige bestuurders het duwtje in de juiste richting moest geven. Hart voor Medemblik heeft zich toen ook al uitgesproken over deze bijzondere motivatie.
Hoe gaan we het herstel van onze informatieveiligheid betalen?
Dat is nog onbekend. Over de kosten van het wegwerken van dit achterstallig onderhoud is niets opgenomen in het nieuwe coalitieakkoord van CDA, Gemeentebelangen, D66 en MORGEN!, hoewel de uitkomsten van het onderzoek naar de gemeentelijke informatieveiligheid naar verluidt in maart/april van dit jaar al bekend was bij het toenmalige en uit grotendeels dezelfde partijen als nu bestaande college.
Het is niet te hopen dat de OZB door deze coalitie nog verder zal worden opgehoogd dan de door hen wel in het coalitieakkoord opgenomen 30% om daarmee de aanzienlijke bedragen die nodig zijn om onze informatieveiligheid alsnog te borgen bij u op te halen.
Zijn we gerustgesteld?
Hart voor Medemblik is blij met het rapport. Problemen zijn blootgelegd en gedefinieerd en de eerste stappen zijn gezet om die te herstellen.
Gerustgesteld zijn we nog niet. Onlangs troffen wij in een niet afgesloten la in de door ons na de verkiezingen betrokken fractiekamer tot personen herleidbare informatie aan uit 2013(!), die door ons aan de griffier zijn overgedragen. Er is nog veel te doen.