De gemeente Hof van Twente werd eind vorig jaar stevig met de neus op de feiten gedrukt. Hackers wisten het ICT-eenvoudig binnen te dringen en installeerden ransomware. Dit kan veel andere gemeenten ook gebeuren, concluderen Binnenlands Bestuur en AG Connect op basis van eigen onderzoek.

Gemeenten hebben volgens de onderzoekers onvoldoende aandacht voor het gevaar van cyberaanvallen. Bijna de helft van de 27 onderzochte gemeenten oefent onvoldoende met dergelijke aanvallen en een groot deel heeft geen draaiboek. Zes van de gemeenten heeft zelfs nog nooit met een gesimuleerde cyberaanval geoefend. Hof van Twente had dat ook nog nooit gedaan, want dan zou naar voren zijn gekomen dat het systeemwachtwoord Welkom2020 niet handig was geweest. De gemeente weigerde het losgeld van 750.000 euro te betalen en kwam met een schadepost van miljoenen euro’s te zitten voor herstel van de systemen.

Niets geleerd
Dat veel gemeenten niets geleerd hebben van de hack bij Hof van Twente past volgens ict-expert Brenno de Winter in het beeld dat gemeenten de voorkeur geven aan vrijblijvende bijeenkomsten boven een echte test. Controleren organen, zoals rekenkamers, ontbreekt het aan kennis, zodat die ook geen druk uitoefenen op de gemeenten.
De Informatiebeveiligingsdienst (IBD) van gemeenten zegt in een reactie hard te werken aan informatiebeveiliging. De instantie zegt dat het door het onderzoek lijkt alsof het bijzonder slecht gesteld is met de informatiebeveiliging bij gemeenten, maar dat dit mede komt doordat gemeenten hierover transparant zijn. Bestuurders zouden wel degelijk bewust zijn van hun verantwoordelijkheden rondom digitale veiligheid. Inmiddels heeft de VNG een cyberoefenpakket voor gemeenten ontwikkeld.