Het recente datalek bij de GGD laat zien dat de veiligheid en vertrouwelijkheid van persoonsgegevens bij onze overheden nog steeds niet gewaarborgd is. Kern van het probleem was hier dat te veel GGD-medewerkers toegang hadden tot bijna alle gegevens, waardoor ongeautoriseerde personen gevoelige data konden stelen. De vraag is nu of dit ook geldt voor de gerelateerde gemeenten en of deze wel weten wat te doen in het geval van een cybercrisis veroorzaakt door een datalek.
Volgens een recent verkennend onderzoek van Hogeschool Den Haag en NHL Stenden hogeschool zijn de grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken:
- Tijdens de warme fase (de fase waarin de crises daadwerkelijk gaande is) verwacht men van de Chief Information Security Officer (CISO) soms een leidinggevende rol in plaats van de dagelijkse adviserende rol.
- Informatie over dreigingen en/of incidenten gaat veelal sneller via informele kanalen dan via de formele kanalen. Gevolg is dat CISO’s soms besluiten nemen op basis van niet-geverifieerde informatie.
- CISO’s gebruiken de crisiskennis van adviseurs openbare orde en veiligheid onvoldoende.
- Voorbereiding op cybercrisis is nog te veel een IT-aangelegenheid.
- Oefenen is belangrijk maar gebeurt nog te weinig. Negen van de achttien gemeenten geven aan op dit moment niet te oefenen met cybercrisisscenario’s. De gemeenten die hebben geoefend of van plan zijn om te gaan oefenen doen dit (nog) niet op structurele basis.
- Kleine gemeenten hebben geen draaiboeken of crisisplannen, grote gemeenten wel. Grotere gemeenten zijn meestal een fase verder in de voorbereiding op cybercrisis dan kleinere.
Positieve noot uit het rapport: De gemeenten die mee hebben gewerkt geven aan dat het thema cyberveiligheid binnen de meeste gemeenteraden en colleges van Burgemeester & Wethouders hoog op gemeentelijke agenda staat. Er wordt hier dan voornamelijk gesproken over informatiebeveiliging, niet over cybercrises. Zij ervaren dat vanuit de gemeente middelen en tijd worden vrijgemaakt.
Dit lijkt echter niet te stroken met de verhalen dat de GGD al maandenlang bleek te worden gewaarschuwd door eigen medewerkers over de kwetsbaarheden rondom de coronasystemen en waar geen opvolging aan werd gegeven.
In het najaar van 2020 zijn naar aanleiding van berichten in de media vragen aan de GGD gesteld door de Autoriteit Persoonsgegevens (AP) over de beveiliging van de applicatie CoronIT en de verwerking van persoonsgegevens. Deze vragen heeft de GGD netjes beantwoord, waarna de AP geen aanvullende vragen had.
Achter de schermen werd het voor alle verantwoordelijken al wel duidelijk dat er iets niet klopte. Het ministerie van Volksgezondheid en de GGD wisten half december dat de beveiliging van de ICT-systemen voor het bron- en contactonderzoek en testen niet op orde waren. Dat blijkt uit stukken die vorige week naar de Tweede Kamer zijn verstuurd. Minister De Jonge die na de onthullingen dus meldde dat de GGD al het mogelijke had gedaan om diefstal te voorkomen, dat klopt dus niet. De Jonge beweerde diverse malen dat er ‘volcontinu’ en ‘volautomatisch’ wordt gecontroleerd op het gebruik van de GGD-systemen waaruit gegevens zijn gestolen. De GGD zegt daarentegen dat er ‘steekproefsgewijze controles’ worden gehouden.
De Jonge benoemde tevens afgelopen december nog in een Kamerbrief ‘enkele kwetsbaarheden’ die na een risicoanalyse aan het licht kwamen. De Minister noemde specifiek het risico op datalekken. Om dit te minimaliseren moet een beter passend toegangsbeheer worden ingericht. ‘Hierdoor wordt het voor onbevoegde gebruikers onmogelijk gemaakt toegang te krijgen tot bepaalde gegevens’. Laat dat nu net de oorzaak voor het lek zijn geweest.
GGD stelt nu naar eigen zeggen dat zij allerlei beheermaatregelen nemen om de veiligheid en vertrouwelijkheid beter te kunnen waarborgen. Zo gaan bepaalde functionaliteiten in het softwaresysteem nu ‘op slot’ voor de meeste gebruikers en is de printfunctie uitgeschakeld. Ook hoopt de GGD zo snel mogelijk over te stappen naar ander veiliger softwaresysteem voor bron- en contactonderzoek (waar de GGD al maanden aan werkt) zodat er niet meer met het achterhaalde systeem gewerkt hoeft te worden. De organisatie verwacht eind maart systemen te hebben die automatisch en continu zullen controleren op misbruik.
Het zou de GGD en de Minister sieren als hij hier eind maart nog eens op terug zal komen en ons kan garanderen dat deze keer het niet bij goede intenties blijft.