Met de razendsnelle ontwikkeling van digitalisering is digitale veiligheid een grote uitdaging. De COVID-19 crisis onderstreept nog maar eens hoe belangrijk het is dat onze digitale middelen goed functioneren en dat inwoners kunnen vertrouwen op overheidsinformatie én veilig kunnen handelen in de digitale wereld. Die veiligheid en betrouwbaarheid zijn echter verre van vanzelfsprekend. Europol constateert bijvoorbeeld dat het aantal cyberincidenten sinds de crisis is meegestegen met de brede adoptie van digitaal werken. In Nederland heeft de Fraudehelpdesk te maken met een verdubbeling van het aantal maandelijkse meldingen (van 6500 per maand in december tot 15000 in april), waarbij met name de toename in Whatsappfraude opvallend is. Ook de Belastingdienst ziet meer dan een verdubbeling van phishing-meldingen. Voorafgaand aan de huidige crisis constateerde het CBS in haar jaarlijkse Veiligheidsmonitor dat het aantal slachtoffers van cybercriminaliteit toeneemt, terwijl traditionele criminaliteit afneemt.

Slachtofferschap cybercrime. Bron: Veiligheidsmonitor 2019, Centraal Bureau voor de Statistiek.

 

Aandacht voor digitaal in crises

Van oudsher houden veiligheidsexperts zich voornamelijk bezig met de veiligheid in de fysieke ruimte. Daarvoor bestaan er allerlei voorzieningen en wettelijke regels, alsmede een uitgebreide crisisorganisatie. Deze zijn er nog niet altijd voor incidenten in de digitale ruimte. Gemeenten en hun ketenpartners zijn zoekende hoe daarop adequaat te reageren en bij incidenten de juiste aandacht te kunnen geven aan het digitale aspect. Dat is nodig, omdat digitale verstoringen steeds vaker gevolgen hebben voor het maatschappelijke leven. Om hieraan het hoofd te bieden worden diverse initiatieven ontwikkeld. De VNG heeft deze voor gemeenten gestructureerd in de Agenda Digitale Veiligheid 2020-2024.

Het is duidelijk dat het potentieel voor schade en slachtoffers verschuift naarmate de samenleving verder digitaliseert. Meer en meer zien we dat de fysieke wereld onlosmakelijk verbonden is met de digitale wereld. De openbare ruimte digitaliseert, denk bijvoorbeeld aan digitale verkeersborden, bruggen en sluizen. Maar ook de meeste diensten van gemeenten worden tegenwoordig digitaal uitgevoerd. We zien bovendien de ontwikkeling van het Internet of Things, waarbij nog veel meer apparaten en ‘dingen’ digitaal met elkaar verbonden worden – en dus ook potentieel te hacken zijn.

Urgent onderwerp voor bestuurstafel

Digitale veiligheid is hiermee een urgent onderwerp geworden dat thuis hoort op de bestuurstafel: een bestuurder kan simpelweg niet goed functioneren zonder de nodige kennis van het onderwerp. Besturen is immers ook risicomanagement – en je moet dus je risico’s kennen, ook online. De VNG en de Informatiebeveiligingsdienst (IBD) hebben diverse middelen ontwikkeld die bestuurders, CISO’s (chief information security officers) en OOV-medewerkers (openbare orde en veriligheid) daarbij faciliteren. Daarnaast is het van belang dat we de samenwerking intensiveren tussen medeoverheden, veiligheidsregio’s en relevante maatschappelijke en publieke partijen. Het belangrijkste is echter dat het onderwerp digitale veiligheid periodiek geagendeerd wordt op de bestuurlijke agenda.

Wanneer we spreken over ‘digitale veiligheid’, dan hebben we het eigenlijk dus over twee dingen. Ten eerste gaat het om de wat meer ‘klassieke’ informatieveiligheid: veilige gegevensdeling en communicatie in de digitale wereld. Ten tweede hebben we het over de relatie tussen de digitale en de fysieke wereld en de impact van die werelden op elkaar: incidenten in de digitale wereld hebben impact op de fysieke wereld en andersom. In alle gevallen kan door deze interacties de openbare orde in het geding zijn.

Bij de ‘klassieke’ informatieveiligheid onderscheiden we drie lagen: mensen, processen en technologie om de dagelijkse taken zo veilig mogelijk uit te voeren. Specifiek voor gemeenten geldt dat zij ‘binnen de muren van het gemeentehuis’ in hun bedrijfsvoering veel persoonsgegevens gebruiken en beheren. Deze informatie moet beschermd zijn, zodat de privacy van inwoners gewaarborgd wordt.

Informatieveiligheid

Op dit terrein is de afgelopen jaren veel bereikt, maar het is en blijft van belang om alert te blijven. De IBD ondersteunt gemeenten met het programma Verhogen Digitale Weerbaarheid. Dit programma helpt bij het nemen van cruciale maatregelen die de gemeente beschermen tegen digitale criminaliteit. De IBD is aangewezen als Computer Emergency Response Team (CERT) en zo verbonden met het Nationaal Cyber Security Center (NCSC). Die aanwijzing maakt het mogelijk om permanent dreigingsinformatie te ontvangen én te delen met gemeenten. De VNG GGI-Veilig producten en diensten maken het mogelijk om ook gemeentelijk netwerkverkeer te monitoren en vormt voor de toekomst een belangrijke gemeentelijke bron om snel dreigingen te signaleren. De manier waarop in Nederland is omgegaan met een recente kwetsbaarheid in Citrix laat goed zien dat een goed ingerichte ‘digitale’ crisisorganisatie van groot belang is om schade te voorkomen. De IBD-publicatie ‘Kwetsbaarheden in Citrix’ tekent deze lessen op.

 

---

Cyberaanval op gemeente Lochem

Bij een cyberaanval op de gemeente Lochem begin juni 2019 is misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het incident in Lochem is via brute force-aanvallen op de RDPH-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Ook werd ransomware ingezet waardoor een aantal bestanden werd versleuteld. Na de aanval is besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, registeren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200 duizend euro.

Bron: Cybersecuritybeeld Nederland 2020

---

 

Openbare orde

Project X in de gemeente Haren (ook wel bekend als het Facebookfeest) is een bekend voorbeeld van de tweede vorm van digitale veiligheid, de interactie tussen de digitale wereld en de fysieke wereld.. De uitnodiging voor een feest werd per ongeluk openbaar in plaats van besloten geplaatst en de digitale wereld veroorzaakte snel een stevig, fysiek veiligheidsprobleem. Een recenter voorbeeld is de ‘hack’ op een containerterminal in de Rotterdamse haven, waarbij de Deense rederij Maersk werd getroffen door een grootschalige ransomware-campagne. Hierdoor werd het containertransport in de Rotterdamse haven flink ontregeld. Ook dit voorbeeld leidde tot niet voorziene effecten in de openbare ruimte. Nog recenter is de ransomware-aanval op de Universiteit Maastricht. Deze aanval en de hack op de gemeente Lochem (zie kader), waarbij publieke organen zijn geraakt, maken duidelijk dat digitale veiligheid niet alleen een ‘technisch’ en procesmatig vraagstuk is. Bestuurlijke betrokkenheid is hierbij onmisbaar.

Weerbaarheid: twee aspecten

Kort gezegd draait digitale veiligheid dus om het verhogen van de weerbaarheid, zowel ‘binnen de muren van het gemeentehuis’, als in de wereld daar omheen. De term ‘weerbaarheid’ definiëren we daarbij, in lijn met de definitie van NCTV, als ‘het vermogen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.’ Zo kent weerbaarheid dus twee aspecten: preventie (van incidenten) en reactie (op incidenten).

Europa

Informatieveiligheid

Een groot deel van beleid en wetgeving op digitaal gebied wordt door de Europese Unie vastgesteld. Denk bijvoorbeeld aan vrij verkeer van data tussen EU-landen, sterke, eenduidige privacywetgeving, het auteursrecht, gezamenlijke onderzoeksprogramma’s, en een gezamenlijke aanpak op het gebied van cybersecurity en platforms.

In Europa is cybersecurity steviger op de kaart gezet met het NIS directive (Directive on security of network and information systems), dat in juli 2016 werd aangenomen in het Europees Parlement. Het NIS directive vroeg om:

• De oprichting van een coördinatiegroep met lidstaten;
• Een cybersecuritystrategie in elke lidstaat;
• Een CSIRT (computer security incident response team) in elke lidstaat; en
• Een cultuur van veiligheid in vitale sectoren.

In juni 2019 is vervolgens de Cybersecurity Act aangenomen. Deze borduurt voort op het NIS directive. De Cybersecurity Act versterkt in de eerste plaats ENISA (European Network and Information Systems Agency) met meer dan een verdubbeling van het budget, van 11 naar 23 miljoen in vier jaar tijd. Daarnaast vormt de Cybersecurity Act het certificatiekader voor cybersecurity. Met andere woorden: de wet legt de governance en regels vast voor EU-brede certificatie van ICT-producten, processen en diensten. Vertaald naar gemeenten betekent dit enerzijds dat hun informatieveiligheid aan bepaalde standaarden moet voldoen en dat producten die ze afnemen voldoen aan vastgestelde kwaliteitsstandaarden.

Digitale soevereiniteit en afhankelijkheid

Een belangrijk vraagstuk in Europees verband is het beheer van de digitale infrastructuur. Meer en meer wordt duidelijk dat er negatieve kanten zitten aan de Europese afhankelijkheid van niet-Europese techbedrijven. In haar ‘political guidelines’ sprak Europese Commissie-voorzitter Ursula von der Leyen al van ‘technologische soevereiniteit’. Ook rond de COVID-19 contacttraceringapps zien we dat Europese landen hun aanpak moeten aanpassen aan de oplossingen die worden geboden door techbedrijven uit de VS. Deze afhankelijkheid heeft betekenis voor Europese strategische belangen in het huidige en toekomstige geopolitieke speelveld, waarin de mogelijkheden van digitale oorlogsvoering een factor van belang zijn. Onderzoeksjournalist Huib Modderkolk illustreert dit in zijn boek Het is oorlog maar niemand die het ziet op een verontrustende manier. GAIA-X, een voorstel voor een federale Europese data-infrastructuur, is daarnaast een voorbeeld van een ambitieus initiatief dat de EU momenteel neemt om te komen tot vernieuwing, waarbij Europa wint aan soevereiniteit.

 

Rijk

Ook de Rijksoverheid hecht grote waarde aan digitale veiligheid. In 2018 publiceerde het ministerie van Justitie en Veiligheid de overkoepelende Nederlandse Cybersecurity Agenda (NCSA). Daarin zijn grote investeringen op het gebied van digitale veiligheid aangekondigd, net als de instelling van het Landelijk Dekkend Stelsel (LDS) van samenwerkingsverbanden op het gebied van cybersecurity. Namens gemeenten is de IBD onderdeel van het LDS.

Preventie

De meeste aandacht in de NCSA gaat uit naar preventie. Voor gemeenten is daarin de meest relevante ontwikkeling het van kracht worden van de Baseline Informatiebeveiliging (BIO) vanaf 1 januari 2019. De BIO vervangt de bestaande baselines informatieveiligheid voor Rijk, Gemeenten, Waterschappen en Provincies. Hiermee is één gezamenlijk normenkader ontstaan voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normenkader (International Organization for Standardization).

De VNG heeft de BIO en bijbehorende bestuurlijke principes tot gemeentelijke standaard verklaard. Gemeenten willen de BIO implementeren en hebben dit daarom opgenomen binnen de kaders van de Gezamenlijke Gemeentelijke Uitvoering. Zij worden daarin ondersteund door de IBD en VNG-team ENSIA (Eenduidige Normatiek Single Information Audit). De gedachte is dat één gezamenlijke baseline voor alle overheidsorganisaties vele voordelen biedt. Het vergroot de informatieveiligheid en vertrouwen, zorgt voor eenduidigheid en leidt bovendien tot kostenbesparing. 

Reactie

Naast preventiemaatregelen is de ongemakkelijke waarheid dat volledige digitale veiligheid niet bestaat. Of het nu binnen of buiten het digitale domein is, incidenten zullen zich altijd voordoen. Ze kunnen niet in alle gevallen voorkomen worden en dat kan wel degelijk ontwrichtende consequenties hebben. Reactie op zulke ontwrichtingen kreeg tot nu toe aanmerkelijk minder aandacht dan preventie.

Digitale verstoringen tasten vitale processen in de samenleving aan. Dit betekent dat zulke gebeurtenissen essentiële voorzieningen in gevaar kunnen brengen, zoals paspoortuitgifte, betalingsverkeer en andere digitale taken binnen een overheid en brengen dus maatschappelijke en economische kosten met zich mee. Naarmate de samenleving verder digitaliseert zal de schade en het aantal slachtoffers groeien. Dat betekent dat we niet alleen moeten inzetten op preventieve maatregelen, maar ons ook moeten bekwamen in de omgang met digitale crisissituaties op lokaal, regionaal én landelijk niveau. Voor gemeenten zijn daartoe enkele oefenscenario’s ontwikkeld. Op regionaal niveau ontwikkelen de veiligheidsregio’s oefeningen en ook op landelijk niveau worden scenario’s ontwikkeld. In de reguliere fysieke crisisbestrijding geldt oefenen als een ‘no brainer’, een inkoppertje. In de digitale werkelijkheid is dit echter nog een ontwikkelpunt. De inmiddels jaarlijkse interbestuurlijke cyberoefening van het ministerie van BZK is een aansprekend, positief voorbeeld.

Vergelijken

Als we de Europese en nationale strategieën vergelijken, dan zien we een aantal overeenkomsten:

• Cybersecurity wordt gezien als randvoorwaarde en fundament voor het benutten van de maatschappelijke kansen van digitalisering.
• Flinke investeringen vinden plaats. De EU verdubbelt het budget en maakt het structureel. De Rijksoverheid investeert structureel 95 miljoen onder de NCSA.
• Digitale veiligheid willen we publiek-privaat vormgeven, er ligt nadruk op samenwerking.
• De borging van publieke waarden staat in de strategieën centraal, waarbij met name privacy van belang is.
• Ten slotte is kennisdeling cruciaal in beide strategieën.

 

Aandachtspunten bij de reactie op digitale ontwrichting

In het algemeen kunnen we stellen dat de kansen van de informatiesamenleving ook gepaard gaan met verschuivende risico’s, nieuwe kwetsbaarheden en niet altijd even voorspelbare onderlinge afhankelijkheden. Die risico’s blijven niet beperkt tot de eigen organisatie, maar verspreiden zich gemakkelijk door ketens en netwerken – ook internationaal. De verantwoordelijkheid voor de digitale veiligheid binnen zulke ketens als geheel is nog onontgonnen terrein. Dat is risicovol omdat bij een digitale ontwrichting de maatschappelijke effecten groot kunnen zijn. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) onderschrijft dit in haar rapport Voorbereiden op digitale ontwrichting.

Met ‘digitale ontwrichting’ doelt de WRR op ernstige verstoringen (bedoeld én onbedoeld) van het maatschappelijke leven, met zowel digitale als fysieke dimensies. Denk bijvoorbeeld aan de gevolgen van de ransomware aanval op een Oekraïens boekhoudsysteem die in 2017 ook rederij Maersk en zodoende de Rotterdamse haven trof of de landelijke uitval van het noodnummer 112 als gevolg van een KPN-storing in 2019.

Naast deze algemene observaties zien we in de verschillende rapporten en publicaties op het gebied van digitale veiligheid drie belangrijke aandachtspunten:

De rol van de bestuurder

Voor de omgang met incidenten in de fysieke wereld bestaan een uitgebreide crisisorganisatie en allerlei voorzieningen, communicatiestrategieën, oefenboeken en wettelijke regels. Dit ontbreekt grotendeels voor incidenten in de digitale wereld. Een betere voorbereiding op digitale ontwrichting stelt Nederland in staat om bij verstoringen effectiever op te treden en sneller de draad op te pakken na een ernstig incident. Bovendien zijn de bevoegdheden van burgemeesters in dit type incidenten nog onvoldoende eenduidig en te veel vanuit een offline perspectief geformuleerd.

Vernetwerking

Diverse maatschappelijke ontwikkelingen, met name digitalisering, maken onze samenleving kwetsbaar voor verstoringen. Door de toenemende verwevenheid en complexiteit van kritieke systemen kunnen kleine digitale verstoringen grote effecten hebben op verschillende sectoren tegelijkertijd. Verschillende soorten crises kunnen ontstaan, die van tevoren niet te voorspellen zijn. Als gevolg kunnen onze cruciale infrastructuren in de problemen komen, waardoor vitale processen plat komen te liggen. Dit maakt alle overheidslagen bezorgd over het ontstaan van zulke ‘ongekende crises’.

De ongekende crisis laat zich niet voorspellen, maar de mogelijke gevolgen kunnen we wel onderzoeken en beheersen. Door intensiever samen te werken en actief kennis te delen kan de ongekende crisis in beeld gebracht worden (monitoring) en kan er aan goede voorbereidingen en oplossingen worden gewerkt. Om succesvol te zijn, moet die samenwerking zich afspelen op verschillende niveaus, van veiligheidsregio’s tot en met Europese lidstaten, en ook in de publiek-private sfeer. Zo is de netwerksamenleving ook de oplossing voor vernetwerking.

Afhankelijkheid

Toonaangevende instituten constateren dat Nederland afhankelijkheden heeft van buitenlandse partijen als het gaat om digitale veiligheid. Vaak komt dit doordat deze partijen grote delen van onze digitale infrastructuur beheren. De WRR pleit in Voorbereiden op digitale ontwrichting daarom voor het instellen van een cyberafhankelijkheidsbeeld, naast het reguliere cybersecuritybeeld, om meer inzicht in deze afhankelijkheidsrisico’s te krijgen. Ook het Rathenau Instituut stelt dat eindgebruikers voor het goed functioneren van digitale producten en diensten steeds afhankelijker worden van buitenlandse technologiebedrijven. Haar advies luidt om de digitale autonomie te versterken, bijvoorbeeld door strengere eisen te stellen in inkoopvoorwaarden of door meer eigen IT-bedrijvigheid in Nederland en Europa te creëren. Ten slotte schrijft ook de Adviesraad Internationale Vraagstukken in een recent advies dat er op het gebied van de regulering van online content een herijking nodig is van het Nederlandse internetbeleid. De adviezen hebben met elkaar gemeen dat de overheid volgens deze instituten een grotere rol moet spelen in de digitale samenleving om de digitale veiligheid te waarborgen.

 

---

Actueel: afhankelijkheid bij grootschalig Twitter-hack

Op 15 juli 2020 vond een grootschalig hack plaats, waarbij de Twitteraccounts van prominente Twitter-gebruikers als Elon Musk, Bill Gates en Barack Obama werden overgenomen. In dit geval was dat om geld te verdienen via Bitcoin, wat resulteerde in een diefstal van 120 duizend dollar.

Het is denkbaar dat zulke hacks in de toekomst wederom plaatsvinden. Daarin ligt een gevaar voor onze (digitale) veiligheid. Immers, politici en bestuurders maken veelvuldig gebruik van Twitter als officieel communicatiekanaal. Tech-expert Marietje Schaake zegt hierover: ‘Stel je voor dat er met verkiezingsinformatie wordt gerommeld of zelfs oorlogsverklaringen geveinsd of grensconflicten uitgelokt worden door bijvoorbeeld te tweeten over posities van tanks of troepen.’

Overheden zijn afhankelijk van Twitter om deze problemen op te lossen en de (digitale) veiligheid te waarborgen. Het is de vraag of dit wenselijk is, omdat de commerciële belangen van een techbedrijf niet per definitie overeenkomen met de publieke waarden van een samenleving.

Bron: NOS / Nieuwsuur.

---

 

Gemeenten en digitale veiligheid

Het is van belang om de veilige omgang met informatie en systemen in het DNA van de gemeente én de samenleving te krijgen. Als we informatie beschouwen als de belangrijkste grondstof waarmee de gemeente haar productie uitvoert, dan verdient informatiebeveiliging een zelfde plaats in de organisatie als financiën. De Chief Information Security Officer (CISO) en Functionaris voor de Gegevensbescherming (FG) zijn in dit construct de accountant en controller ten behoeve van de omgang met (informatie)systemen en (persoons)gegevens. Gemeenten groeien in volwassenheid van een aanpak die reactief en incidentgedreven is langzaam maar zeker naar een preventieve en risicogebaseerde cyclische aanpak. De grote uitdaging is om ook digitale awareness en risicobesef te creëren bij de gemeentelijke ‘reguliere’ veiligheidsfunctie. De IT-wereld kan op het gebied van crisismanagement nog veel leren van de reguliere veiligheidswereld. Andersom kan de gemeentelijke veiligheidspoot vanuit de CISO-rol veel leren rond het inzichtelijk en beheersbaar maken van digitale risico’s.

De activiteiten van gemeenten en de VNG sluiten goed aan bij de aandachtspunten die we zien in de verschillende studies en rapporten over digitale veiligheid. Zo neemt de bestuurlijke aandacht voor het onderwerp zichtbaar toe: de Informatiesamenleving is als één van de vijf kernthema’s benoemd in de VNG-verenigingsvisie ‘Gemeenten 2024’. Ook in de Digitale Agenda Gemeenten 2024 en de bijbehorende speerpunten is digitale veiligheid een van de prioriteiten. De Agenda Digitale Veiligheid werkt dit verder uit en zet de bestuurlijke beleidslijnen uit die zich richten op ‘het eigen huis op orde’, de omgang met ‘digitale verstoringen’ en ‘digitale criminaliteit’.

Tegelijk is duidelijk dat er – urgent – werk aan de winkel is: zo zijn gemeenten, net als veel andere sectoren, rond de jaarwisseling ook op de proef gesteld met de kwetsbaarheden in thuiswerkvoorziening Citrix. De IBD constateerde dat niet alle gemeenten het risicomanagement op orde hebben.

Huib Modderkolk, Het is oorlog maar niemand die het ziet (2019)

Er zit een indringer in mijn huis. Hij zit in de hoek van de kamer naast het witte tv-meubel. Een ongenode gast die mijn etagewoning in Amsterdam-West is binnengekomen. Hij houdt me in de gaten.

Die indringer is de technologie die nu een onlosmakelijk onderdeel is van ons leven.

Het boek van Modderkolk beschrijft hoe kwetsbaar onze samenleving is, doordat we steeds meer op technologie vertrouwen in ons dagelijkse leven. Veel mensen in Nederland worden afgeluisterd zonder dit te weten. De valkuil daarbij is de gedachte dat je leven niet interessant is voor autoriteiten. Volgens de schrijver leven we in een Big Brother-samenleving die persoonlijke informatie verzamelt die wij vaak vrijwillig op internet plaatsen. Het doel van het boek is om de lezers te informeren over hoe snel onze wereld verandert en dat we niet altijd de gevolgen van onze keuzes kunnen overzien.

Trends: digitale veiligheid; razendsnelle veranderingen in de samenleving; het onderschatten van de rol van technologie in het leven.

 

Wetenschappelijke Raad voor het Regeringsbeleid –
Voorbereiding op digitale ontwrichting (september 2019)

Dit WRR-rapport stelt dat de fysieke en de digitale wereld meer en meer verweven raken, wat kan leiden tot verstoring van voor de maatschappij vitale processen. Digitale ontwrichting kan – naast financiële schade –  het vertrouwen in de overheid beschadigen. Het rapport richt zich met name op het rijksbeleid. De WRR constateert dat dit tot nu toe vooral focust op preventie en nog te weinig op reactie op- en herstel na digitale ontwrichting. Het aanbrengen van meer focus op reactie en herstel kan via vier lijnen:

• Paraatheid (terugvalopties, isoleren, oefenen, communiceren);
• Signalering (NCSC centraal, snellere informatie-uitwisseling);
• Bestrijding (verhelderen bevoegdheden overheid, samenwerking in ketens, prioriteiten stellen);
• Herstel en wederopbouw (evalueren en leren, compenseren).

VNG en IBD

• Vereniging van Nederlandse Gemeenten. Agenda Digitale Veiligheid 2020-2024: Een veilige (digitale) gemeente, 2020.
• VNG Cyberoefening
• VNG Cybergame
• VNG Bestuurlijke mindmaps informatieveiligheid
• Informatiebeveiligingsdienst. Dreigingsbeeld Informatiebeveiliging 2019/2020, 2018.
• Informatiebeveiligingsdienst. Kwetsbaarheden in Citrix: Lessen voor gemeenten en de IBD, 2020.
• Informatiebeveiligingsdient. Leren van Lochem: Lessen uit een informatiebeveiligingsincident, 2019.
• IBD CISO Toolkit
• IBD-kennisproducten

Extern

• Adviesraad Internationale Vraagstukken. Regulering van online content: Naar een herijking van het Nederlandse internetbeleid, 2020.
• Bantema, W., S.M.A. Twickler, S.A.J. Munneke, M. Duchateau en W.Ph. Stol (NHL Stenden Hogeschool / Rijksuniversiteit Groningen). Burgemeesters in cyberspace: Handhaving van de openbare orde door bestuurlijke maatregelen in een digitale wereld, 2018.
• Centraal Bureau voor de Statistiek. Veiligheidsmonitor 2019, 2020.
• Centraal Planbureau. Risicorapportage cyberveiligheid economie 2019, 2019.
• EIT Digital. European digital infrastructure and data sovereignty: a policy perspective, 2020.
• European Parliamentary Research Service. Digital sovereignty for Europe, 2020.
• Instituut Fysieke Veiligheid. Whitepaper digitale ontwrichting en cyber, 2019.
• Instituut Fysieke Veiligheid. Versterken van veerkracht: Naar een gezamenlijke aanpak van ongekende crisis, 2020.
• Kamerbrief over verhogen informatieveiligheid bij de overheid, 2018.
• Leyen, Ursula von der. Political Guidelines for the next European Commission 2019-2024, 2019.
• Modderkolk, Huib. Het is oorlog maar niemand die het ziet, 2019.
• Nationaal Coördinator Terrorismebestrijding en Veiligheid. Cybersecuritybeeld Nederland 2019, 2019.
• Nationaal Coördinator Terrorismebestrijding en Veiligheid. Cybersecuritybeeld Nederland 2020, 2020.
• Nederlandse Cybersecurity Agenda, 2018.
• Rathenau Instituut. Cyberweerbaar met nieuwe technologie: kans en noodzaak van digitale innovatie, 2020.
• Wetenschappelijke Raad voor het Regeringsbeleid. Kwetsbaarheid en veerkracht: WRR-reflecties op de langetermijngevolgen van de coronacrisis, 2020.
• Wetenschappelijke Raad voor het Regeringsbeleid. Voorbereiden op digitale ontwrichting, 2019.