‘We hadden in Hof van Twente schijnzekerheid’

Hackers eisten eind vorig jaar 750.000 euro van het door een cyberaanval getroffen Hof van Twente. Burgemeester Ellen Nauta blikt terug. ‘We waren te goed van vertrouwen.’

Doelwit

Onvoldoende bestuurders realiseren zich dat zij doelwit van de cybermaffia zijn, vindt Nauta. ‘En dat gold ook voor mij. Gek eigenlijk: de laptop ligt naast je bed, maar de internetwereld is zo vér van je bed. Je leest erover in de krant en in boeken, je ziet het op televisie, maar je realiseert je niet dat dit als gemeentebestuurder ook jouw werkelijkheid is. Thuis verzin je de gekste wachtwoorden, en bij de gemeente zou je dat dan niet doen?’

Fantasiewereld

Door deze affaire werd Hof van Twente in één klap met onze neus op de feiten gedrukt. ‘We leefden kennelijk in een fantasiewereld. Bij de gemeentelijke financiën is alles geregeld. Een accountant, een auditor, noem maar op. Controle op controle. Voor ict hebben we veel minder, in elk geval niets betrouwbaars. We hebben tweefactorauthenticatie ingevoerd op sommige systemen en we werkten met beveiligde mail. We hebben een penetratietest laten uitvoeren, ik heb audits laten houden, maar er waren geen signalen.

Voorkomen
Volgens Nauta had de penetratietest de kwetsbaarheden die hebben geleid tot deze tragedie niet aan het licht gebracht. ‘Nu hadden we de indruk dat er geen problemen op de loer lagen. Schijn bedroog. Deze ramp had voorkomen kunnen worden.’ Dat wil niet zeggen dat Hof van Twente niets te verwijten valt, weet Nauta. ‘We hebben een fout gemaakt met ons te simpele wachtwoord Welkom2020, maar de lT-beheerder heeft een fout gemaakt door ons daarvoor niet te waarschuwen.’

Opeenstapeling

De vorige week verschenen rapporten laten volgens haar zien dat de hack is ontstaan door een opeenstapeling van factoren. ‘Eigen fouten, maar ook fouten bij de inrichting van systemen, het toezicht, de back-ups en audits. Je vertrouwt op die audits en penetratietests. Maar zij gaven schijnzekerheid. We waren te goed van vertrouwen. Die les moeten we met z’n allen uit deze cyberaanval trekken.’

Juiste vragen
Daarover praat ze nu ook met collega’s. ‘Hoe zorgen we er samen met de veiligheidsregio’s voor dat we niet in slaap worden gesust? Het is niet erg om voor je ict bewust afhankelijk te zijn, maar je moet wél de juiste vragen kunnen stellen om niet op het verkeerde been te worden gezet.’

Samenwerken

Gemeenten en veiligheidsregio’s zouden daarom veel intensiever met elkaar moeten samenwerken, vindt burgemeester Nauta. ‘Als gemeenten gezamenlijk kunnen we veel meer dan we denken. Grote gemeenten zouden kleine gemeenten kunnen helpen. Ik heb drie fte’s voor systeembeheer, maar ict is wel onze core business, hè? We zitten op een bulk data waar je beroerd van wordt. Daar móet iets tegenover staan. Dat is digitale veiligheid.’

Knappe koppen

Daarover is Nauta nu in gesprek met Enschede. ‘We hebben tot nu een ict-leverancier gehad, maar moeten we dat niet onderling gaan regelen? Er zit zoveel kennis bij de overheid. Via de Informatiebeveiligingsdienst zijn hier een paar knappe koppen van de gemeente Rotterdam geweest. Het grote Enschede weet meer dan wij, maar het nog grotere Rotterdam weer meer dan Enschede.’

Open kaart

Nauta: ‘Er is geen plaats voor misplaatste schaamte, want dan is straks de volgende gemeente aan de beurt. Hoewel Hof van Twente met al haar tekortkomingen in de schijnwerpers staat, ben ik blij dat we open kaart spelen. Met de kritische rapporten over ons kunnen alle overheden hun voordeel doen.’