Het grootste cyberrisico voor gemeenten is de medewerker

Het zijn niet ransomware en hackers, maar juist de medewerkers binnen een gemeente die de grootste cyberbedreiging vormen voor gemeentelijke organisaties. Zo stelt IBD (Informatie Beveiligingsdienst) in het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021-2022 (pdf).

Toegangsrechten

De grootste risico’s liggen bij ambtenaren die elke dag gebruikmaken van communicatie- en informatiesystemen bij het uitvoeren van hun werk. In het rapport staat dat daar risico’s aan kleven. Zo kunnen medewerkers misbruik maken van het feit dat ze door hun functie de toegang hebben tot veel systemen en gegevens. “Een kwaadwillende medewerker kan gegevens wijzigen, toevoegen of wissen, onterechte facturen goedkeuren of indienen, vergunningen verstrekken of afkeuren, uitkeringen toewijzen, de hoogte van vergoedingen bepalen, paspoorten verstrekken: dit allemaal begint met het invoeren van gegevens in een informatiesysteem.”

Vooral wanneer medewerkers verhoogde toegangsrechten hebben, kunnen zij, als ze dat willen, grote schade aanrichten. De interne medewerkers kennen interne controlemechanismen en processen en kunnen deze dan ook beter omzeilen dan iemand van buiten. Zo’n dreiging is moeilijk te ontdekken, schrijft het IBD in het rapport.

Daarnaast is de beschikbaarheid van het informatiesysteem een belangrijke factor, zoals bijvoorbeeld begin 2020 is gebleken bij het Citrix-lek en het thuiswerken door de Coronamaatregelen. “Vanwege het lek in Citrix moest het systeem, wat veel gemeenten ook gebruiken, een aantal dagen worden afgesloten van de buitenwereld. Gevolg hiervan was dat veel ambtenaren niet meer thuis konden werken, kantoren overbelast waren en werkprocessen in sommige gevallen stillagen.”

Volgens IBD dienen gemeenten een plan te hebben voor mogelijke uitval van een informatiesysteem. Risico’s met betrekking tot bedrijfscontinuïteit nemen toe. Dit omdat online processen steeds meer standaard worden en offline alternatieven verdwijnen.

Menselijke fouten

In dit nieuwbericht werd er ook al gesproken over risico's en informatiebeveiliging bij gemeenten. Niet alleen kan er misbruik worden gemaakt van toegang tot verschillende systemen, maar kan er ook door menselijke fouten een datalek ontstaan of een hacker het systeem binnendringen.

Bron: Security.nl