De gemeentelijke verantwoordelijkheden voor veiligheid en dienstverlening zijn anno nu niet langer vrij van digitale dreiging, constateren Ruth Prins, Luuk Stadhouders en Lisa Verweij. Digitale dreigingen, hoe abstract dan ook, manifesteren zich juist op zeer concrete wijze in en rond het gemeentehuis. Het lokaal bestuur is daarmee op uitdagend en deels onontgonnen terrein beland. In dit artikel verkennen de drie auteurs met welk type digitale dreigingen de lokale gemeenschap wordt geconfronteerd en op welke manier gemeenten en burgemeesters daarmee om kunnen gaan.
Onze offline en online leefwereld zijn onlosmakelijk verbonden. We werken, recreëren, socializen en regelen zaken massaal online. De keerzijde hiervan is de komst van nieuwe veiligheidsrisico’s. Zo is het aantal Nederlanders dat slachtoffer werd van online criminaliteit het afgelopen jaar wederom toegenomen (Veiligheidsmonitor CBS, 2021). Ook lokale overheden komen in serieuze problemen als gevolg van cybercriminaliteit. De dienstverlening van gemeente Hof van Twente kwam plat te liggen na een hack in 2020. Bovendien zien we dat online triggers in toenemende mate een (escalerende) rol spelen bij verstoring van de openbare orde. Zoals bij de stadsrellen in Rotterdam eind 2021, waar online oproepen diverse groepen mobiliseerden tot verstorend en gewelddadig gedrag. Hoewel je bij digitale dreigingen misschien niet direct denkt aan gemeenten en burgemeesters, komen ze wel degelijk snel in beeld. Geredeneerd vanuit de gemeentelijke kerntaken heeft de lokale overheid, met de burgemeester voorop, een verantwoordelijkheid voor de handhaving van de openbare orde en veiligheid, alsook voor de dienstverlening vanuit het gemeentehuis. Bij dat laatste wordt veelal privacygevoelige informatie verwerkt en zijn vertrouwelijkheid en integriteit van digitale data en systemen tegenwoordig essentieel.
Digitale dreigingen, kwetsbaarheden en veiligheidsrisico’s
We onderscheiden grofweg twee type digitale dreigingen in en rond het gemeentehuis, namelijk safety– en securitydreigingen (Van den Berg, Prins en Kuipers, 2021). Safety-dreigingen kennen een accidentele, niet-moedwillige aanleiding. Het gaat dan om natuurlijke dreigingen (overstromingen), technische dreigingen (configuratiefout in ICT-systeem) en onbedoeld menselijk falen (uitval elektriciteit door menselijke fout). Securitydreigingen daarentegen ontstaan door intentioneel, moedwillig handelen. Het zijn bedoelde dreigingen door kwaadwillenden, zoals criminele groepen die DDoS- of ransomware-aanvallen uitvoeren of personen die doelbewust online aansporen tot geweld tegen overheidsfunctionarissen.
‘Bevoegdheden van de burgemeester zijn niet zomaar toepasbaar in het digitale domein’
Digitale dreiging verwordt tot een daadwerkelijk veiligheidsrisico wanneer het in contact komt met een kwetsbaarheid. Bijvoorbeeld een technische zwakte in een gemeentelijk ICT-systeem of een Wanneer dreiging en kwetsbaarheid elkaar ontmoeten, kan schade optreden in zowel de publieke sfeer (openbare orde en veiligheid, rond inwoners, op straat) als in de organisatiesfeer (binnen de gemeentelijke organisatie). Beide typen digitale dreiging vragen om actie, maar om een verschillend handelingsperspectief voor lokale overheden en samenwerkingspartners.
Dealen met digitale dreiging in de publieke sfeer
Om openbare orde en veiligheid in de publieke sfeer te waarborgen, hebben burgemeesters uiteenlopende bevoegdheden (Prins, 2016). Het probleem is echter dat deze bevoegdheden betrekking hebben op tastbare objecten en personen, of zijn gericht op de fysieke omgeving binnen gemeentegrenzen, waardoor ze niet zomaar toepasbaar zijn in het digitale domein (Bantema et al 2018). Digitale dreigingen zijn niet tastbaar en negeren alle mogelijke fysieke en geografische grenzen. Voor lokale overheden lijkt een tweesporenkoers het meest kansrijk om digitale dreigingen nu en in de nabije toekomst het hoofd te bieden.
‘Wanneer rechtvaardigen digitale dreigingen preventief handelen door de lokale overheid?’
Enerzijds moet de vraag beslecht worden of het lokale bestuur met de huidige set aan bevoegdheden en instrumenten geëquipeerd is met digitale dreiging om te gaan. Dit daagt gemeenten uit om te experimenteren op het snijvlak waar online triggers offline effect genereren op orde en veiligheid in de publieke sfeer. Als blijkt dat specifieke bevoegdheden in het digitale domein nodig zijn, hebben we fundamentele vragen te beantwoorden: Wanneer rechtvaardigen digitale dreigingen preventief handelen door de lokale overheid? Hoe positioneren en equiperen we de burgemeester in cyberspace? Hoe borgen we daarbij de privacy en vrijheid van meningsuiting?
Anderzijds moeten gemeenten een tweede spoor bewandelen, namelijk digitale dreigingen stelselmatig op te nemen in gemeentelijk beleid. Zowel in de gemeentelijke integrale veiligheidsplannen alsook in specifiek beleid rond bijvoorbeeld jeugdcriminaliteit, ondermijnende criminaliteit, drugsproblematiek en crisisbeheersing waarbij anno 2022 een digitaal component niet meer te negeren is.
Digitale dreiging in de organisatiesfeer
Vanuit organisatieperspectief bekeken, nemen dreigingen op het gebied van informatieveiligheid alsmaar toe en worden de eisen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid steeds strenger. Gemeenten hebben een eigen verantwoordelijkheid om de digitale gegevens van burgers en ondernemers veilig te bewaren en inwoners verwachten een doorlopende beschikbaarheid van de digitale dienstverlening. Het is bovendien cruciaal om digitaal weerbaar te zijn tegen aanvallen van buitenaf en te weten hoe te handelen bij verstoringen. Voor lokale overheden is ook hier een tweesporenkoers het meest kansrijk om digitale dreigingen het hoofd te bieden.
‘Iedere organisatie kan slachtoffer worden van een cyberaanval’
Enerzijds zien we dat gemeenten structureel moeten investeren in de juiste basismaatregelen om het eigen huis op orde te brengen en te houden. Bijvoorbeeld met multifactor authenticatie, netwerksegmentering of goede back-up en restore. Anderzijds moeten gemeenten zich voorbereiden op een cyberincident, want iedere organisatie kan slachtoffer worden van een cyberaanval. Zorg ervoor dat je naast je technische aspecten de juiste incident- en crisisplannen en incidentprocedures hebt opgesteld, en de juiste incident- en crisisteams hebt geformeerd. Voor gemeenten is het essentieel dat het team voldoende opgeleid en getraind is, en dat de interne afdelingen elkaar bij incidenten en crises goed weten te vinden.
Simpel en complex
Hoe begin je als (adviseur van een) lokale bestuurder? Het antwoord is even simpel als complex. Start het gesprek met zowel je interne collega’s vanuit de afdeling veiligheid en crisis (afdeling economie) en de interne beveiligingsorganisatie als sleutelpartners uit de driehoek, het maatschappelijk middenveld en lokaal bedrijfsleven. Leer elkaars belangen kennen en verken de verschillende digitale safety– en securitydreigingen in en rond het gemeentehuis. Met inzicht ontstaat overzicht. Richt je vervolgens in gezamenlijkheid op de digitale weerbaarheid in de publieke en de organisatiesfeer. Met een gewogen combinatie van investeren in diepgaande kennis van de complexe technische wereld en (experimenterend) bestuurlijk optreden krijg je daadwerkelijk grip op veiligheidsvraagstukken op het snijvlak van de online en offline leefwereld.
Bronnen
Prins R.S. (2016), Safety first. How local processes of securitization have affected the position and role of Dutch mayors. Eleven Internationaal Publishing.
https://www.cbs.nl/nl-nl/publicatie/2022/09/veiligheidsmonitor-2021
Geef een reactie