Gemeenten hebben IT-beveiliging slecht op orde

Afbeelding: open to possibilities van darwin Bell | Licentie: CC BY-NC 2.0

Uit onderzoek van de NCTV blijken gemeenten vaak de IT-beveiliging op basale punten al niet op orde te hebben. 

De onderzoekers schrijven in Cyber Security Awareness over gemeenten:

Cyber security wordt door gemeenteambtenaren als een gedeelde verantwoordelijkheid gezien, waarbij twee derde van de medewerkers zich (mede) verantwoordelijk voelt. De helft van de gemeenteambtenaren geeft aan dat er beleid is met betrekking tot digitale veiligheid, maar men is relatief slecht op de hoogte van de inhoud van dit beleid. Men weet niet precies hoe te handelen en nieuwe medewerkers worden op dit gebied niet ingewerkt. Ook weet men vaak niet of er specifiek beleid is, bijvoorbeeld ten aanzien van het noteren van wachtwoorden en de omgang met USB-sticks, of men denkt dat hiervoor geen beleid is. Positieve uitschieter is kennis over het melden van incidenten rondom digitale veiligheid.

Het digitale veiligheidsbeleid is bij gemeenten het minst sterk geborgd. Het is geen onderdeel van functioneringsgesprekken en leidinggevenden zien er ook niet op toe dat men het veiligheidsbeleid kent. Van alle sectoren voelen gemeenteambtenaren zich het minst betrokken en zijn zij ook het minst geneigd collega’s op hun cyber security gedrag aan te spreken. Gelukkig zijn gemeenteambtenaren het minst geneigd digitaal veiligheidsbeleid aan hun laars te lappen.

Het schetst dan ook geen verbazing dat gemeenteambtenaren de laagste rapportcijfers geven voor cyber security, zowel aan de organisatie, aan collega’s als aan zichzelf. Deze lagere rapportcijfers lijken terecht; zo hebben gemeenteambtenaren de meest onveilige wachtwoorden. Opgemerkt dient te worden dat medewerkers in deze sector de hoogste gemiddelde leeftijd hebben van alle sectoren, hetgeen van invloed is op hun kennisniveau. In deze groep is derhalve meer sprake van veel onbekwaamheid, maar men is zich er van bewust.

Als aanbeveling geven de onderzoekers mee:

De organisaties bij de gemeentelijke overheden blijven op alle punten, behalve het bewustzijn van het belang van veiligheid, achter bij de andere sectoren. Voor de gemeenten gelden derhalve alle aanbevelingen die voor de andere sectoren ook gelden:

  • Medewerkers moeten beter en vaker geïnformeerd worden over welk gedrag nu precies veilig en onveilig is.
  • Ook is verankering van beleid in organisaties een belangrijk aandachtspunt. Training, inwerkprotocollen en toezicht op de naleving van beleid verdient structurele verbetering.
  • Gezien de lage praktijkkennis en de lage inschatting die gemeenteambtenaren hebben van hun eigen cyber security gedrag is ook hier het concretiseren van gedragsvoorbeelden aan te bevelen.