Alles was onbereikbaar in Hof van Twente, zegt burgemeester Ellen Nauta. Een hacker versleutelde de servers waardoor de gemeente er niet meer bij kon. Pas na betaling van 750.000 euro losgeld zou de hacker de bestanden vrijgeven. Hof van Twente weigert te betalen: publiek geld is niet bedoeld als losgeld, stelt Nauta. Ze wordt gesteund door staatssecretaris Raymond Knops van Binnenlandse Zaken. ‘Het advies is om altijd aangifte te doen bij de politie en geen losgeld te betalen’, schreef hij aan de Tweede Kamer.

Wie er achter de aanval zit en waarom deze is uitgevoerd, daarover wil Nauta niets kwijt. Het strafrechtelijk onderzoek loopt nog. Maar over wat er gebeurd is, wil ze graag praten. Want andere gemeenten kunnen leren van de situatie in Hof van Twente. 

Houtje-touwtjeconstructie
Het begon ermee dat niemand meer kon inloggen. Nauta: ‘We dachten eerst aan een technische storing. Gaandeweg werd duidelijk dat er iets anders aan de hand was. ‘We hebben alle stappen gezet die je dan moet doen: de Autoriteit Persoonsgegevens gewaarschuwd, de politie kwam langs.’ Een crisisorganisatie werd opgetuigd om de omvang van de hack in kaart te brengen en de boel zo snel mogelijk weer draaiend te krijgen, soms met een houtje-touwtjeconstructie.

De schade is enorm, zegt Nauta. ‘We konden niets meer. Met dank aan deskundigen kunnen we nu weer de belangrijkste taken uitvoeren. De dienstverlening aan vooral de kwetsbare inwoners is weer op orde. We kunnen uitkeringen verstrekken, pgb’s uitkeren en ook paspoorten afgeven. Dat is echt een huzarenstukje.’ Hoe groot de financiële schade is, is nog niet bekend.

Het VNG-bestuur brengt op de Algemene Ledenvergadering van 12 februari een resolutie in stemming waarin digitale veiligheid benoemd wordt als ‘kerntaak voor gemeenten’. Het gaat daarbij niet alleen om de eigen organisatie, maar ook om de rol die de lokale overheid heeft bij incidenten. Burgemeester Franc Weerwind van Almere, bestuurslid van de VNG, vergelijkt die met de rol van de burgemeester bij een brand. ‘De rol van de gemeente bij een digitaal incident is veel groter dan we nu denken. Zo’n incident kan leiden tot veel onrust in de samenleving. Want wat als er na een inbraak geen geld meer uit de flappentap komt?’

Het VNG-bestuur heeft het onderwerp nadrukkelijk op de agenda gezet. Vorig jaar verscheen er al een Agenda Digitale Veiligheid die gemeenten handvatten biedt om te werken aan een ‘lokaal krachtige digitale overheid’. 

Wat in Hof van Twente is gebeurd, kan iedereen overkomen

Citrix-affaire
Hof van Twente is niet de eerste gehackte overheidsorganisatie. In 2019 werd een ICT-systeem van Lochem gekraakt, eveneens in een poging losgeld te eisen. En in september vorig jaar werd de Veiligheidsregio Noord- en Oost-Gelderland door gijzelsoftware deels platgelegd. ‘Wat in Hof van Twente is gebeurd, kan iedereen overkomen’, zegt Weerwind. Tussentijds was er nog de Citrix-affaire: door een gat in de beveiliging van deze ‘digitale werkplaats’ was thuiswerken een tijdje onmogelijk. 

Samenwerking is belangrijk, zegt Weerwind. ‘Gemeenten zijn niet anders dan informatiehuishoudens. Dat maakt ze ook kwetsbaar. We hebben heel veel data van onze inwoners. We hebben hun vertrouwen gekregen om er goed mee om te gaan. Dat zijn we dan ook verplicht.’

De resolutie roept de leden op incidenten te delen met de Informatiebeveiligingsdienst (IBD) van de VNG. Die IBD functioneert als Computer Emergency Response Team en daarmee als schakel tussen gemeenten en het Nationaal Cyber Security Centrum (NCSC). De dienst kwam ook in Hof van Twente in actie. Daarnaast moeten gemeenten een digitaal incidentenbestrijdingsplan vaststellen, periodiek oefenen met cyberincidenten en budget vrijmaken voor al deze maatregelen.

Hof van Twente was best goed bezig, zegt Nauta. De gemeente had al een penetratietest laten uitvoeren, waarbij is uitgezocht of er niet toch een manier was om de systemen binnen te komen. De medewerkers hadden trainingen gevolgd, tweetrapsidentificatie was ingevoerd. Nauta: ‘Ook deskundigen zeggen dat we goed op weg waren. We hadden juist heel veel geïnvesteerd in onze ICT-taken. De privacywet AVG was voor ons leidend. En tóch is het ons overkomen. Dat maakt het zo beangstigend.’

De verwachting is dat het nog twee jaar duurt voordat de systemen weer volledig draaien. Het komend halfjaar wordt de basisinfrastructuur hersteld. De gemeente wordt daarbij geholpen door andere overheidsorganisaties, die zo veel mogelijk basisinformatie beschikbaar stellen. Maar niet uit te sluiten is dat straks ook een beroep moet worden gedaan op de inwoners om resterende gegevens aan te leveren. Daarna wordt het systeem verder ingevuld.