Gemeenten en overheid willen onderzoek naar meer financiering voor cybersecurity

Nederlandse gemeentes en de Rijksoverheid hebben een convenant ondertekend waarin maatregelen staan beschreven om gemeentes beter digitaal te beveiligen. In de lijst staat welke organisatie welke verantwoordelijkheid draagt, maar er wordt nog onderhandeld over financiering.

Het convenant is afgesloten door de Vereniging Nederlandse Gemeenten, minister Dilan Yeşilgöz-Zegerius van Justitie en Veiligheid en staatssecretaris Alexandra van Huffelen van Digitalisering. Het convenant is bedoeld om zwakke punten in het cybersecuritybeleid van gemeenten in kaart te brengen en hoe er aan die punten moet worden gewerkt. Daarbij zijn drie belangrijke punten opgenomen. Het eerste punt gaat over de verantwoordelijkheden van de verschillende partijen zoals de Rijksoverheid en de gemeenten zelf. Het tweede gaat over hoe gemeenten burgers en de overheid op de hoogte moeten houden over beveiliging. In het convenant staat bijvoorbeeld opgenomen dat gemeenten straks expliciet worden opgenomen in de nieuwe Nederlandse Cybersecuritystrategie die eerder dit jaar uitkwam en dat alle cybersecurityobstakels door alle drie de partijen in kaart worden gebracht. Ook staat in het convenant opgenomen dat er een evaluatie van het proces plaatsvindt voor het eind van het volgend jaar.

Het derde en mogelijk belangrijkste punt gaat over geld. In het convenant is opgenomen dat er een nieuw onderzoek wordt gestart naar wie er moet betalen voor welk onderdeel. Daaruit komt een plan voor een 'structurele financiering' voor gemeenten om hun security op orde te krijgen.

Gemeenten blijken steeds vaker een aantrekkelijk doelwit te zijn voor cybercrime. Er zijn bij gemeentelijke instellingen vaak veel persoonsgegevens te vinden en de impact van ict-afsluiting is vaak groot. Dat maakt het afpersen via ransomware interessant voor cybercriminelen. Bovendien hebben gemeenten vaak een ondermaats budget met weinig ruimte om aan beveiliging uit te geven.

Reacties (40)

sOid 22 december 2022 16:13

Geld is niet áltijd het probleem. Het is minstens net zo belangrijk dat gemeenteraden/colleges/managers de noodzaak inzien van gedegen securitybeleid en -maatregelen. Vervolgens moet er voldoende geld en personeel worden vrijgemaakt om er daadwerkelijk mee aan de slag te gaan.

Overigens merk ik, mede door recente hacks en ranswomare-aanvallen bij gemeenten, dat hier een kantelpunt in ontstaat. Gegevensbescherming werd vaak als last(ig) gezien, maar het wordt steeds meer mensen duidelijk dat het een voorwaarde is voor de continuïteit van de bedrijfsvoering.

Naar verwachting worden audits op de Baseline Informatiebeveiliging Overheid (BIO, eerder bekend als BIG voor gemeenten) in 2024-2025 verplicht.

@TijsZonderH Lijkt me zinvol om hier naar te linken, ter verdieping: Nederlandse Cybersecuritystrategie 2022-2028 https://www.ncsc.nl/onder...2022/oktober/10/nlcs-2022

schrikbeeld @sOid • 22 december 2022 23:26

Dus straks gaan al die gemeenten-, provinciale- en rijksdiensten zich allemaal over hun systemen buigen om te kijken wat er beter moet.
Is het niet veel voordeliger om al die verschillende systemen (die in de kern maar een beperkt aantal functies dienen) op een hoop te gooien en dat dan als een groot geheel uniform beheren.
Je bent dan af van elke dienst zijn eigen IT-clubje en zijn eigen zienswijzen op inrichting, maar ook zijn eigen onkunde (pardon) en noodzakelijke inhuur.

Dus gewoon 1 baseline voor hoe je een GBA-systeem inricht, 1 baseline voor systemen voor vergunningaanvragen, enz. enz. Hiermee vermijd je het opnieuw uitvinden van het wiel in duizendvoud en vereenvoudig je de uitrol van securitymeasures, patches, enz.

Tja, dat zal best wat weerstand opleveren want ‘eigen vrijheid en autonomiteit’ of zo maar die heb je allang ingeleverd met het inhuren van steeds weer dezelfde externen.

Auteur

TijsZonderH Nieuwscoördinator @sOid • 22 december 2022 16:49

Lijkt me zinvol om hier naar te linken, ter verdieping: Nederlandse Cybersecuritystrategie 2022-2028 https://www.ncsc.nl/onder...2022/oktober/10/nlcs-2022

Ik dacht dat ik die er in had gezet maar niet dus, alsnog gedaan!

MornixRS 22 december 2022 16:03

Zonder onderzoek: Ja je hebt daar meer geld voor nodig. Kijk wat je vrij kan maken en steek dat erin. Als bonus kun je het bedrag voor het onderzoek extra toevoegen.

Cergorach

Beveiliging en antivirus

@MornixRS • 22 december 2022 16:13

Zonder onderzoek: Ja je hebt daar meer geld voor nodig.

Ik ben eigenlijk van mening dat dit niet het issue is, meer geld tegen IT aangooien is niet per definitie beter, vaak is dat juist slechter (teveel overhead). Je kan een schip laten zinken door het vol te laden met goud of er een gaatje in te boren. Meer geld voelt aan als het schip overbelasten met goud.

Er gaat al genoeg geld om in de IT van de overheid, de vraag is waaraan wordt het uitgegeven en hoe? En dat is niet alleen een issue bij de overheid, dat soort issues spelen ook gewoon bij de grote multinationals. Je wil X doen, maar je komt pas bij X als je A t/m W hebt gehad. Veel IT issues hebben een organisatorische en interne politieke oorzaak, waardoor zaken veel langer duren en daarmee veel en veel meer geld kosten dan eigenlijk nodig... Wil je X kunnen doen, zal je moeten beginnen bij A, dat kan je pas doen als je je organisatorische issues hebt opgelost en de interne politiek overboord heb gezet...

WillySis @Cergorach • 22 december 2022 16:31

Meer geld is zeker niet per definitie beter, maar in dit geval zal er zeker meer geld nodig zijn.
Dat men nu eindelijk eens op schrift gezet heeft wie waarvoor verantwoordelijk is, is al een heel belangrijke stap. Er zijn zaken die wat beveiliging een beetje tussen wal en schip vielen. Gemeenten wijzen gemakkelijk de verantwoordelijkheid af op een leverancier en andersom.

kodak

Beveiliging en antivirus
Nederland

@WillySis • 22 december 2022 17:41

Er is niet zomaar meer geld nodig. Geld is een mogelijk middel om een doel te bereiken, maar dat hangt van de omstandigheden af. Er valt waarschijnlijk zelfs geld te besparen door meer aan beveiliging te doen. Bijvoorbeeld door leveranciers verplicht met elkaar te laten concurreren op producten die veilig genoeg moeten zijn of anders niet gekocht worden. En nee ik zeg niet dat er daarmee geen geld extra nodig is, maar dat kan ook komen uit betere verdeling van bestaande budgetten.

WillySis @kodak • 23 december 2022 09:46

De veiligheidsrisico's bij gemeenten zit zelden in de aangeschafte software.
Vaak zijn de gemeenten zelf laks met het uitdelen en beheren van user-accounts en toegang van buitenaf. Accounts van vertrekkende medewerkers blijven soms nog maanden bestaan. Het nalopen van logs is zeker geen standaard, waardoor lekken te lang onopgemerkt kunnen blijven.

Voor de basisbeveiliging zal er dus geld bij moeten, maar aan de software kant kan er wellicht toch wel iets bezuinigd worden.

kodak

Beveiliging en antivirus
Nederland

@WillySis • 23 december 2022 11:02

Je doet een stelling over veiligheid van software waarbij dan ook een onderbouwing hoort of anders niet zomaar op gaat. Er zijn dagelijks tal van voorbeelden van beveiligingsproblemen in hardware, software en clouddiensten die net zo goed door gemeenten en andere organisaties gebruikt worden en dus duidelijk tonen dat daar echt nog heel veel te verbeteren is en eisen aan te stellen zijn, om anders geld te besparen op inkoopkosten of zelfs niet uit te geven.

WillySis @kodak • 23 december 2022 21:43

Mijn oordeel is gebaseerd op de bevindingen van een vriend van mij die regelmatig audits bij gemeentes gemeentes doet. Hij merkt dat de beveiliging binnen de gemeente gewoon in veel gevallen niet genoeg aandacht krijgt. Er is onvoldoende capaciteit op de ICT om account van vertrekkende mensen uit te schakelen en van nieuwe accounts de instellingen vaak uit tijdgebrek en gemakzucht te ruim instellen. Ook in thuiswerken is het beleid niet altijd zo opgezet dat de veiligheid gegarandeerd kan worden.
De software is grotendeels gewoon standaard en wordt bij veel bedrijven gebruikt. Een deel van de software is wel voor gemeenten geschreven, maar die zijn wel van een redelijk tot goed onderhoudscontract voorzien.

kodak

Beveiliging en antivirus
Nederland

@WillySis • 24 december 2022 21:50

Dat beveiliging niet genoeg aandacht krijgt wil niet zeggen dat de beveiligingsproblemen zelden in software, hardware of clouddiensten zitten. Vervelender nog, als er weinig aandacht voor beveiliging is, dan is die er ook niet zomaar voor aankoop en zorgen dat de aankoop aan voldoende veiligheidseisen voldoet of die eisen zelfs voldoende zijn.
Dat software standaard is wil ook niet zeggen dat het standaard voldoende is. Bijna geen aanbieder toont hoe hun producten veilig genoeg zijn, door bijvoobeeld processen of audits te tonen. Als je als gemeente jezelf audits oplegt dan mag dat dus ook verwacht worden bij leveranciers en makers van software. Anders is het scheef vergelijken.

WillySis @kodak • 26 december 2022 11:44

Ik zeg niet dat de software de veiligheid 100% op orde heeft. Die veiligheid is gelijk aan die van veel bedrijven.
Ik beweer dat de problemen die zich voordoen meestal terug te voeren zijn op een gebrekkige uitvoering van de ICT beleid en netwerkbeheer. Dat blijkt ook uit de audits. Die audits zijn overigens niet gericht op ICT, maar op het algemeen functioneren van een gemeente en de efficiëntie van interne processen.

kodak

Beveiliging en antivirus
Nederland

@WillySis • 26 december 2022 15:20

Als die audits dus niet over de software gaan, hoe onderbouw je dan je bewering dat beveiligingsproblemen zelden in software zitten? Want op basis van 'het is gelijk aan bij anderen' kun je dat niet stellen. Dat het gelijk zou zijn wil daarbij ook niet zeggen dat het dus maar in orde is en daar geen grote verbeteringen en kostenbesparing valt te halen.

Het kan dus prima beiden: ga als gemeenten en andere organisaties nu eens eisen stellen over bewijs van veilig ontwikkelen en onderhoud, kan je bij de audits van eigen functioneren tonen dat je niet zomaar inkoopt op basis van vage beloftes of gebrek aan afspraken over de beveiliging van software/hardware/clouddiensten. Kan je daarbij dus besparen op de inkoop en dat geld wat niet uitgegeven hoefde te worden investeren in verbeteren van andere beveiligingseisen.

WillySis @kodak • 28 december 2022 12:28

De audits gaan over efficiënt werken. Daar zit ook bij hoe met ICT omgegaan wordt. Vaak genoeg blijkt helaas dat het minimum aan systeembeheer niet eens gehaald wordt. Veiligheidsupdates worden vaak niet of heel laat gedaan, virusscanners worden niet up to date gehouden en oude accounts worden niet uitgeschakeld. Standaard bekijken van de logs is zeer zeldzaam. Ook in de software zullen best fouten zitten die een veiligheidsrisico in kunnen houden. De omgang met ICT maakt dat het netwerk van gemeenten soms gewoon zo lek is als een mandje.

The Realone @Cergorach • 22 december 2022 16:18

Ergens "geld tegenaan gooien" is niet per se hetzelfde als nieuwe, dure producten kopen of diensten afnemen. Als het probleem niet direct van technische aard is (jouw voorbeeld van interne politiek en organisatorische issues) en dat dient opgelost te worden, gaat dat evengoed geld kosten.

satya @Cergorach • 22 december 2022 20:01

Meer geld, eerder een continue drang tot bezuinigen in opdracht van bovenaf zoals het ministerie, bij bv contractbeheer wordt gewoon afgedwongen dat de contractprijs met 20% naar beneden moet, of er bij afdelingen tien tot twintig procent van de mensen uit moeten.

Op papier is alles natuurlijk perfect in orde

MornixRS @Cergorach • 23 december 2022 11:49

Daar heb je helemaal gelijk in maar dat is ook niet wat ik bedoel. Belangrijker is dat al die geldverslindende onderzoeken die de overheid doet te vaak weggegooid geld zijn. Toch denk ik dat als je kijkt hoe het nu gaat op het vlak van cybersecurity dan ben ik 100% zeker dat daar geld bij moet. Elke extra actie die ze op dat vlak zullen ontplooien zal iets kosten.

dasiro @MornixRS • 22 december 2022 18:07

volgende kop: "Gemeenten en overheid willen meer financiering voor onderzoek naar cybersecurity"

als je weet dat veel overheden en gemeenten op zichzelf/naast elkaar bezig zijn, dan ga je misschien beter eens kijken hoe daar in gesaneerd kan worden en dan heb je plots middelen te over.

Orangelights23 22 december 2022 16:52

Is de BIO niet voldoende? Of is de toezicht op gemeente onvoldoende?

Ik weet al een eerste goede stap: betaal CISO’s naar hun kennis en ervaring. Ik zie vaak vacatures voorbij komen waar ze maximaal 6K aan salaris betalen. Ja, het is de overheid, maar een CISO in het bedrijfsleven krijgt minimaal het dubbele plus bonussen. Dat is helemaal niet meer in verhouding. Ik ken aardig wat CISO’s bij gemeentes en dat zijn typische ambtenaren, om het oneerbiedig op te schrijven (goed in hun vak, daar niet van). Haal experts in huis en zorg voor een goede naleving van en op de BIO en je bent zo al tien stappen verder.

satya @Orangelights23 • 22 december 2022 19:51

Die CISO in het bedrijfsleven doet niet alleen IT, maar is vaak iets wat je er bij doet en degene met beslissings bevoegdheid.

Orangelights23 @satya • 22 december 2022 19:54

Reageer je wel op de goede? Ik schrijf niets over alleen IT. Ik ben zelf CISO bij een groot bedrijf met ongeveer 2000 medewerkers en IT is slechte een onderdeel van de beveiliging van informatie.

satya @Orangelights23 • 22 december 2022 20:07

Twaalfduizend euro voor alleen een CISO lijkt mij erg veel geld.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid

22 december 2022 16:10

In het convenant is opgenomen dat er een nieuw onderzoek wordt gestart naar wie er moet betalen voor welk onderdeel. Daaruit komt een plan voor een 'structurele financiering' voor gemeenten om hun security op orde te krijgen.

Het antwoord op de vraag wie betaalt is uiteindelijk heel simpel: de burger want die betaalt voor alles wat de overheid doet. Dat is dus niet echt de vraag waar het om gaat, het gaat meer om wat je mag verwachten van een "gewoon" IT contract en wat dat mag kosten.

Als altijd draait de wereld om geld. Goede IT is haast onbetaalbaar. Slechte IT is op termijn nóg duurder.
De IT-industrie is heel goed in kosten verbergen en afschuiven en iemand zal daar mee om moeten gaan. De facto komen de gevolgen bij de klant neer terwijl die dat zelf vaak niet eens beseft.

Het gaat er dus meer om of je als overheid zeggen "het moet veilig zijn, leverancier zorg er maar voor want we betale al genoeg" of is het redelijk dat een bedrijf zegt "beste overheid, veiligheid moeten jullie zelf configureren" of "2fa kost meer" of "backups zitten niet in de prijs". In theorie zouden dat soort punten natuurlijk gewoon een onderdeel van de onderhandelingen moeten zijn maar in de praktijk heb je vaak niks te kiezen. Op veel gebieden (zeker in niches) zijn er maar één of twee leveranciers en daar kun je niet vrij mee onderhandelen als kleine organisatie. Dan is het gewoon slikken of stikken.

Als altijd draait de wereld om geld. Goede IT is haast onbetaalbaar. Slechte IT is op termijn nóg duurder.
De IT-industrie is heel goed in kosten verbergen en afschuiven. Op het eerste gezicht lijkt software vaak heel goedkoop tot je beseft dat je een leger aan beheerders nodig hebt om er goed mee om te gaan, een leger aan juristen om het contract te sluiten en dat je een aantal features niet mag gebruiken omdat die niet compatible zijn met jouw database of niet mogen van de GDPR of zo iets.
Volgens mij is het bedoeling van dit onderzoek om een soort basis vast te stellen van zaken die in ieder contract aanwezig moeten zijn zonder dat je daar nog eens apart over moet onderhandelen. Als achteraf blijkt dat het er niet in zit kun je dan naar de rechter om te eisen dat het wordt toegevoegd zonder extra kosten.

Triblade_8472 22 december 2022 17:28

Wat de overheid zou moeten doen, is een eigen SOC neerzetten. Vanuit het NCSC georganiseerd bijvoorbeeld.

Gewoon iedereen keuze uit 3 type firewalls, deze 3 typen elke 8 jaar opnieuw aanbesteed. En beheerd door dat SOC.

Waarom 8 jaar? Omdat je dan 2x een 4-jarig contract kan afsluiten.

satya @Triblade_8472 • 22 december 2022 19:49

Contact mag vijf jaar duren eventueel met twee jaar verlenging.

JeSc @Triblade_8472 • 24 december 2022 13:28

Er zijn al initiatieven om gezamenlijk managed diensten in te kopen. Het probleem wat dan opduikt is dat niet iedere gemeente hetzelfde volwassenheidsniveau heeft en andere dienstverlening nodig heeft.

Triblade_8472 @JeSc • 24 december 2022 21:19

Daarom een SOC. Managed als het kan. Dan hebben ze die expertise niet eens nodig.

sdziscool 22 december 2022 21:52

Cybersecurity is zo langzamerhand meer een sociale dan een technische wetenschap geworden. We weten allang hoe je theoretisch "perfecte" beveiliging kan hebben, maar dat matcht helemaal niet samen met de verwachtingen en capabiliteiten van de gemiddelde gebruiker. Ja ik zou iedereen bij de douane bijvoorbeeld een 2fa applicatie kunnen laten installeren en elk aspect van de hele douane reguleren zodat er altijd 2fa nodig is, maar als de gebruikers niet weten hoe, waarom of wat dan hoeft er maar een iemand te zijn die hem aan een bad actor die zich als collega voordoet vertelt ofzo doorgeeft en dan maakt het niet uit hoe cyber secure alles is.

Hoe zorg je ervoor dat een gemiddelde leek je systeem in kan maar iemand die zich voordoet als die leek niet? Hoe moeilijker je het maakt, hoe makkelijker mensen zich niet aan de regels (kunnen) houden.

Als je manager voor elk ding moet gaan approven dat jij het was, dan gaan je dat systeem juist ontduiken want dat is voor niemand leuk...

NLKornolio 22 december 2022 15:49

Altijd fijn dat de overheid luistert naar de burgers. Hopen dat het onderzoek wat sneller is afgerond dan de 10 jaar die ze met dit standpunt achterlopen.

Hopen dat ze het voor de hele IT doen ipv van alleen security.

hamsteg @NLKornolio • 22 december 2022 16:30

Huh, huh? Cyber security kan allang op en hoog niveau gebracht worden zonder veel meer geld. Wat er beschikbaar is is voor het overgrote deel ruim voldoende. Het grootste probleem zit hem in de mens. Bedrijfpolicies voor het hele bedrijf maar niet voor CEO want die vindt het zo lastig (juist CEOs zijn interessant voor hacking). IT afdelingen die hun update strategie niet bijhouden en opzij schuiven omdat management andere dingen belangrijk vindt.

Cyber Security is in hoofdzaak een kwestie van beleid, prioriteit en gedrag!

SunnieNL

@NLKornolio • 22 december 2022 16:02

Hopen dat ze het voor de hele IT doen ipv van alleen security.

wil je het rapport nou zo snel mogelijk of pas over 10 jaar?

Zou het niet gewoon goed zijn als gemeenten en overheden nou eens zouden beginnen met een SOC2 type 2 rapport dat elke 2 jaar (bij voorkeur elk jaar) wordt geupdate en opvraagbaar is via een verzoek en een SOC3 rapport voor publiek die op de internetsite van de gemeente/overheid kan worden geplaatst?

FrostyPeet 22 december 2022 16:39

Zolang the-powers-that-be consequentieloos door kunnen gaan vrees ik dat de enigen die hier aan verdienen de uurtje-factuurtje consultants zijn, die oude wijsheden recyclen naar hippe company-speak.

Orangelights23 @FrostyPeet • 22 december 2022 16:54

Aan jouw comment te zien ben je zo’n uurtje-factuurtje consultant

Ik ook hoor.

Maar het klopt wel, ze huren vaak tijdelijk mensen in die hun trucje doen en daarna weer vertrekken. Alles wat ze hebben gedaan valt bijna als een kaartenhuis in elkaar, zonder concrete borging van taken en verantwoordelijkheden na hun vertrek.

Transportman @Orangelights23 • 22 december 2022 17:02

Maar dat ligt vaak ook aan de organisatie, er was een reden dat ze een externe in hadden gehuurd, omdat in de eigen organisatie niet de resources waren om de taak in te vullen. De externe doet zijn kunstje, maar bij vertrek valt dan weer het gat aan resources in de organisatie, waardoor de boel uiteindelijk in elkaar stort en er weer een externe nodig is om het op te lossen.

Voor internen geldt dit trouwens net zo goed, vaak zit heel veel kennis en vaardigheden bij een kleine groep gecentreerd, als zo iemand weg valt zit er organisatie ook in de problemen met onvoldoende anderen met de benodigde kennis en vaardigheden.

cariolive23 @FrostyPeet • 22 december 2022 17:22

Wanneer een organisatie dit niveau in huis wil halen, ja, dan krijgen ze dat niveau. Kwestie van Vraag & Aanbod. Naar mijn niet al te bescheiden mening ligt de oorzaak van dat probleem toch echt aan de vragende kant, en niet bij de leverancier van het volgende onzin-rapportje.

onno oliver 22 december 2022 18:17

345 Nederlandse gemeenten op 1 januari 2022 volgens Centraal Bureau voor de Statistiek.
Het kabinet-Rutte twaalf ministeries: ,Ministerie van Algemene Zaken, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ministerie van Buitenlandse Zaken, Ministerie van Defensie, Ministerie van Economische Zaken en Klimaat, Ministerie van Financiën, Ministerie van Infrastructuur en Waterstaat,
Ministerie van Landbouw, Natuur en Voedselkwaliteit, Ministerie van Justitie en Veiligheid, Ministerie van Onderwijs, Cultuur en Wetenschap, Ministerie van Sociale Zaken en Werkgelegenheid,Ministerie van Volksgezondheid, Welzijn en Sport, Basis- en Voortgezet Onderwijs en Media (onder OCW), Buitenlandse Handel en Ontwikkelingssamenwerking (onder BZ) ,Medische Zorg (onder VWS), Rechtsbescherming (onder J&V) ,Milieu en Wonen (onder I&W)

Even een lijstje gemaakt die allemaal in dezelfde IT vijver vissen.
Het is eigenlijk belachelijk dat er zoveel ministeries en gemeentes zijn waar iedereen mag bepalen wat wat hij of zij belangrijk vind misschien eens tijd om wat te halveren, samen voegen?

satya @onno oliver • 22 december 2022 19:48

Vele gemeenten hebben idd hun eigen beleid, maar alle ministeries gaan over op een nieuw systeem wat mandatory is voor alle ministeries. Kosten van 254 miljoen voor een aantal jaren inclusief beheer en transitie.

Verwijderd 23 december 2022 09:31

Is dit geen ‘mosterd na de maaltijd’, dit is is toch al jaren bekend?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (40)

Sorteer op:

Weergave: