Hoe kunnen veiligheidsregio’s bijdragen aan digitale weerbaarheid?
DDoS-aanvallen op vitale infrastructuur, ransomware op systemen van overheidsinstanties, digitale fraude bij mkb’ers en inwoners; dat digitale risico’s groeien is inmiddels een bekend fenomeen. Die risico’s kunnen gevolgen hebben voor de openbare orde en veiligheid van de maatschappij. Veiligheidsregio’s zien de risico’s ook, maar lijken te worstelen met de vraag of en hoe ze kunnen bijdragen aan digitale veiligheid. Jan-Peter Soenveld, adviseur veiligheid en aanjager digitale weerbaarheid bij Scherp, onderzocht dat vraagstuk voor zijn scriptie en kwam tot meerdere aanbevelingen.
Breng partijen bij elkaar en risico's in kaart
Het onderzoek had als doel om helderheid te verkrijgen over wat een veiligheidsregio kan bijdragen aan digitale veiligheid, en veiligheidsregio’s handvatten te geven over hoe ze dit onderwerp kunnen aanvliegen. Voor het onderzoek interviewde Jan-Peter vijftien experts, onder wie een burgemeester, een directeur van een veiligheidsregio, meerdere cyberexperts, en een docent/onderzoeker. Ook deed hij literatuuronderzoek en las hij de regionale risicoprofielen en beleidsstukken van de 25 veiligheidsregio’s door als deskresearch.
Veiligheidsregio’s zijn zoekende
Cyber: wat moeten we er nu mee als veiligheidsregio? Een overkoepelende conclusie van het onderzoek is dat veiligheidsregio’s zoekende zijn naar hun rollen en taken. De wettelijke taken en bevoegdheden op het gebied van digitale veiligheid zijn beperkt. Wat de veiligheidsregio’s doen om de maatschappij digitaal veiliger te maken verschilt bovendien onderling, zo blijkt uit de beleidsstukken van de veiligheidsregio’s.
Cybergevolgbestrijding evident maar niet uitgekauwd
Er zijn meerdere manieren waarop veiligheidsregio’s kunnen bijdragen aan digitale veiligheid, zo blijkt uit het onderzoek. Eén rol is op het eerste gezicht evident: cybergevolgbestrijding. Daarbij richt een regionale crisisorganisatie zich op de effecten van een crisis met een cyberincident als trigger. Bijvoorbeeld: een sluis wordt gehackt en er ontstaat een overstroming. Dit is een reguliere (en zelfs wettelijke taak) voor een regionale crisisorganisatie en er is geen veiligheidsregio die dit niet doet of niet heeft opgenomen in het beleid. Als iets ingezoomd wordt, is de rol niet volledig ingevuld. Zo vroegen meerdere experts zich af of er niet meer cyberexpertise aanwezig moet zijn in de regionale crisisorganisatie.
Cybercrisismanagement: waar ligt de grens?
Een andere rol is cybercrisismanagement. Daarbij helpt een functionaris van de veiligheidsregio bij het bezweren van een intern cyberincident bij een organisatie, bijvoorbeeld in de rol van adviseur in een crisisteam. Dit is een rol die bijvoorbeeld de Veiligheidsregio Twente invulde bij de gemeente Hof van Twente, toen die gehackt werd. De meeste experts zien deze rol, maar zijn verdeeld over waar de grens ligt; helpt de veiligheidsregio ook andere (vitale) organisaties dan gemeenten? En hoe lang zou die ondersteuning dan mogen duren? Daarnaast kunnen gemeenten al bij de InformatieBeveiligingsdienst (IBD) en private partijen terecht voor dergelijke ondersteuning.
Risico’s onvoldoende in kaart
Een veiligheidsregio kan verder een rol spelen bij het in kaart brengen en analyseren van risico’s van digitale verstoringen met maatschappelijke impact. Volgens veel experts hebben veiligheidsregio’s daar nog te weinig zicht op, bijvoorbeeld in hun regionaal risicoprofiel. Een dergelijke analyse kan ook helpen bij het inzetten van de schaarse cyberexpertise in het geval van een bovenregionale of landelijke cybercrisis.
Partijen bij elkaar brengen
Een rol die veiligheidsregio’s verder (kunnen) oppakken is die van een platform, bijvoorbeeld om kennis en partners bij elkaar te brengen. Meerdere veiligheidsregio’s doen dat al in de koude fase, maar sommige experts zien ook in de warme fase van een (intern) cyberincident meerwaarde; een veiligheidsregio kan getroffen partners in contact brengen met organisaties die hen kunnen helpen.
Opleiden, trainen en oefenen
Verder kunnen veiligheidsregio’s bijdragen aan het Opleiden, Trainen en Oefenen binnen digitale weerbaarheid. Zo kunnen veiligheidsregio’s cybercrisisoefeningen (laten) organiseren, en crisisfunctionarissen cyberkennis bijbrengen. Maar ook het bijspijkeren van CISO’s over bijvoorbeeld de GRIP-structuur werd genoemd.
Geen digitale brandweer. Wel deelname in NRN
Het onderbrengen van een ‘digitale brandweer’ bij veiligheidsregio’s, die technische incident response doet, werd bijna unaniem afgewezen door de experts. Dat is momenteel prima geregeld via de private sector. Een optie die wel voorbijkwam is deelname aan het Nationaal Response Netwerk (NRN), zodra de veiligheidsregio’s een eigen Computer Emergency Response Team (CER) hebben.
Veiligheidsregio's moeten bestuurlijke ambities op het gebied van digitale veiligheid bepalen en kritisch afwegen tegen andere ambities.
De beperkte rol van de Veiligheidsregio
Voorlichting? Afhankelijk van doelgroep
Ten aanzien van voorlichting over cyberrisico’s waren experts verdeeld. Sommigen vonden dat een veiligheidsregio een rol moet spelen bij het agenderen van risico’s bij bijvoorbeeld partners. Maar preventietips geven aan inwoners vonden de meeste experts geen goed idee; kort gezegd staat de veiligheidsregio daarvoor te ver af van de inwoner. Uit de literatuur blijkt dat veiligheidsregio’s dit soms wel doen, bijvoorbeeld via hun website of door te participeren in bijvoorbeeld een Risk Factory.
Wie ontfermt zich over vergunningen?
Veel experts zien verder de meerwaarde van het meenemen van digitale veiligheid bij vergunningen, bijvoorbeeld voor evenementen. Het is alleen de vraag of veiligheidsregio’s daarin een rol moeten spelen, of dat dit bij bijvoorbeeld gemeenten of een uitvoeringsdienst moet worden neergelegd.
Andere rollen die naar voren kwamen waren die van een meldpunt (voor cyberincidenten zonder grote spoed, of voor responsible disclosure), en het evalueren van cybercrises.
Of juist een beperkte rol?
Maar moet een veiligheidsregio zich eigenlijk wel bemoeien met cyber? Uit de literatuur, deskresearch en interviews komt ook een ander geluid naar voren: de rol van een veiligheidsregio binnen digitale veiligheid dient beperkt te zijn. De veiligheidsregio moet zich aan de wettelijke taken en huidige expertise houden, oftewel bij zijn leest blijven. Bovendien zijn de ‘cybertaken’ volgens sommigen momenteel al goed opgepakt door andere organisaties, en is het dus de vraag of er een hiaat is waar de veiligheidsregio in moet springen.
Bepaal bestuurlijke ambities
Een overkoepelende aanbeveling is mede daarom dat een veiligheidsregio zijn bestuurlijke ambities op het gebied van digitale veiligheid moet bepalen, en die kritisch moet afwegen tegen andere ambities. Daarbij kan een veiligheidsregio bij de periodieke beleidsontwikkeling nagaan wat de cyberontwikkelingen zijn, wat de risico’s zijn, of andere organisaties al een dergelijke taak vervullen, en of er lacunes zijn waar de veiligheidsregio in kan springen. De bovengenoemde rollen kunnen daarbij als inspiratie dienen.