Bericht

Bij een gemeente valt voor hackers niets te halen; toch?

De angst voor gevaar neemt evenredig af met de duur van de dreiging. Met andere woorden, hoe langer het niet fout gaat, hoe sterker het gevoel van gevaar afneemt en dus hoe gemakzuchtiger mensen zich gaan gedragen.

Veel overheidsmedewerkers staan er niet bij stil dat hun provincie, stad of gemeente interessant is voor mensen die het niet zo nauw nemen met de wet. De uitgebreide berichtgeving op de website van de gemeente Buren (een voorbeeld voor velen!) over de ellende die een hack heeft veroorzaakt zou voor iedereen verplichte kost moeten zijn. Maar toch lijken de bijna dagelijkse berichten over alweer een nieuwe hack en de daaropvolgende encryptie of diefstal van persoonsgegevens voor losgeld veel overheidsmedewerkers niet te raken. Het bewustzijn van iedereen die met ICT systemen werkt moet veranderen en daar moeten we serieus mee aan de slag.

Maar misschien helpt een voorbeeld: Iedereen die dagelijks via dezelfde route van- en naar kantoor reist weet dat er soms hele stukken van de route niet bewust doordringen tot het brein. Maar toch is er vaak gestopt voor rode stoplichten en bij gevaarlijke kruispunten, men is uitgeweken voor tegenliggers en de ruitenwissers zijn aangezet toen het ging regenen. Onbewust herkennen we de gevaren en (half) onbewust nemen we maatregelen om te voorkomen dat onze levens in gevaar komen.

Als mensen weten dat dit soort acties op de meest ongelegen momenten kunnen gebeuren, dan zijn ze veel alerter.

Zo’n zelfde soort bewustzijn moeten de mensen die met ICT-oplossingen werken ook gaan ontwikkelen. En daarin spelen werkgevers een belangrijke rol. Op regelmatige basis communiceren over de schade die ransomware zou kunnen aanrichten. Mensen bewust maken van het feit dat gegevens die zij muteren door criminelen gebruikt kunnen worden om burgers duizenden euro’s afhandig te maken. Een mail sturen, net na Sinterklaas, uit naam van één van de wethouders met als titel “leuke foto van Sint en jouw kinderen” met een linkje waar maar beter niet op geklikt wordt. Misschien het netwerk eens uitzetten tot 15 minuten na openingstijd zodat iedereen weet dat beschikbaarheid niet altijd gegarandeerd is.

Als mensen weten dat dit soort acties op de meest ongelegen momenten kunnen gebeuren, dan zijn ze veel alerter. Net zolang tot ze een routine hebben ontwikkeld waarbij ze bijna automatisch reageren als er iets afwijkends gebeurt. Want een leuk animatie filmpje waarbij bovenstaande voorbeelden op ludieke wijze nagespeeld wordt en waar je bij 7 goede antwoorden “slaagt” haalt het niet bij het leermoment dat je hebt als je op een url klikt en een vuurrood scherm ziet met “Hebbes!”.

Maar alles kost tijd en moeite en de middelen zijn beperkt. Daarom zoeken veel overheidsinstellingen naar manieren om specialistisch werk over te laten aan derden waar al een goede relatie mee is (friend-shoring). Want juist met de ruimte die gecreëerd wordt door selectieve “stukjes” IT aan anderen over te laten krijgt u de ruimte om de zwakste schakel (mensen) beter te instrueren en te trainen.