Ze zijn een ‘platform’, maar noemen zich liever een ‘zwerm’. Niet naar analogie van een irritante zwerm muggen of vliegen, maar meer als een zwerm vogels, zoals spreeuwen die tijdens de schemering fraaie, steeds wisselende vormen in de lucht schilderen. ‘We zochten naar een woord dat enige samenhang symboliseert, maar geen vaste structuur heeft en ook autonomie uitstraalt’, zegt Astrid Nienhuis.
‘We’ zijn de achttien cyberburgemeesters die zich verantwoordelijk voelen voor de digitale veiligheid in hun regio’s. Een jaar geleden opgericht met de ondertekening van een pamflet, waarmee ze de partijen die op dat moment in Den Haag onderhandelden over een nieuw regeerakkoord opriepen te zorgen voor een duurzame en preventieve aanpak (en financiering) van digitale veiligheid op lokaal niveau. Met één minister en één ministerie die de landelijke regie op zich zouden moeten nemen. Die minister van Digitale Zaken kwam er niet, constateert Nienhuis. ‘Wel een staatssecretaris die zich in Europa minister mag noemen.’ 
Nienhuis is burgemeester van Heemstede en mede-initiatiefnemer van het Platform Cyberburgemeesters. Omdat zij overal in het land bij haar collega’s de urgentie voelde. ‘Maar we zaten allemaal in onze eigen regio, met onze eigen problemen. Ik sprak hierover met collega Kees van Rooij van Meierijstad en wij vonden dat we de krachten moesten bundelen. Dat resulteerde in het platform.’

Serieuze impuls

Want de burgemeesters maken zich echt zorgen. De veiligheidsuitdagingen van de fysieke wereld, die kennen ze wel. Daar oefenen ze ook vaak op met de gemeentelijke rampenplannen. In relatief korte tijd kwam daar een hele digitale wereld bij. ‘Dat schreeuwde om een serieuze impuls, om heldere regie, een structuur en serieus en structureel geld. Die minister kwam er niet, je kon ook niet verwachten dat je als net opgericht platform ineens veel invloed hebt. Maar we merken wel dat we, nu we met burgemeesters uit het hele land met één boodschap naar buiten treden, power hebben. En dat is ook nodig.’
Burgemeesters, in de gemeente verantwoordelijk voor de openbare orde en veiligheid, weten van zichzelf heel goed dat ze niet beschikken over de kennis en expertise om cybercriminaliteit effectief te bestrijden. Ze zijn ‘bewust onbekwaam’, zegt burgemeester Nanning Mol van Laren. Hij deelt het voorzitterschap van het Platform Cyberburgemeesters met zijn collega Iris Meerts van Wijk bij Duurstede. ‘Omdat we bewust onbekwaam zijn, moeten we ons kennisniveau verhogen en ervaringen uitwisselen. Dat betekent dat we elkaar regelmatig bijpraten. Ik kan hier in Laren wel heel veel geld steken in innovatie om kinderen te beschermen tegen sexting, maar misschien heeft Astrid in Heemstede of een collega in de regio Rotterdam allang een oplossing bedacht voor het probleem waar ik tegenaan loop. Wij gebruiken het platform om die aanpakken uit te wisselen, maar ook om ideeën te delen met politie en justitie.’

De gevolgen van een digitale aanval landen in de fysieke wereld

Gemeenten hebben een belangrijke rol in het voorkomen dat inwoners, ondernemers en de gemeente zelf het slachtoffer worden van cybergerelateerde zaken, stelt het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Op die site staat een ‘cyberwegenkaart’, met vier wegen waarop de gemeente een verantwoordelijkheid heeft: 1) eigen huis op orde, 2) cybercrisis en incidenten, 3) cybercrime en gedigitaliseerde criminaliteit en 4) online aangejaagde ordeverstoringen. Voor elk van de vier geeft de wegenkaart, die regelmatig wordt ververst, aan welke rol de gemeente kan nemen en waar ze hulp kan inroepen: de ‘wegenwacht’.
Die cyberwegenkaart kwam er mede op aandringen van de VNG, zegt Nienhuis. De cyberburgemeesters hebben zich ook hardgemaakt voor het opnemen van cybercriminaliteit in het Kernbeleid Veiligheid, een VNG-methode waarmee gemeenten een integraal veiligheids­beleid kunnen ontwikkelen. ‘Via ons platform hebben we die documenten onder de aandacht gebracht van onze collega’s en suggesties gedaan voor een tekst die gemeenten in hun coalitieakkoorden kunnen opnemen.’

Fundamentele vraag

Nagenoeg alle gemeentelijke domeinen zijn gevoelig voor cybercriminaliteit, variërend van het hacken van verkeerssystemen en digitaal pesten van jongeren tot online haatzaaien en opruiing. De fundamentele vraag is volgens Nienhuis dan ook of er wel zoiets bestaat als een cybercrisis. Want de gevolgen van een digitale aanval landen in de fysieke wereld. ‘Onlangs mocht ik meedenken met een cybercrisis in de gezondheidszorg, waarbij eerst de GGD niet bij de informatie kon en vervolgens de huisarts niet. Na verloop van tijd werd de crisis steeds groter, en dan zie je dat er uiteindelijk een crisis ontstaat in het zorg blijven verlenen aan inwoners. Dan moet je zorgen dat de maatschappelijk onrust beperkt blijft terwijl je IT-technisch de problemen oplost. En als de sluizen worden gehackt en Noord-Holland onder water komt te staan, dan wordt iets wat digitaal begint al snel een fysieke crisis en treedt het rampenplan in werking. Wat is het verschil tussen tien bommetjes bij tien sluizen versus één hack die tien sluizen raakt? De oorzaak is anders, maar de gevolgen zijn hetzelfde.’

Vreemdvormig

Een crisis met een digitale veroorzaker is ‘vreemdvormig’, zegt Mol. ‘De kans is vrij groot dat we daarmee in de toekomst te maken krijgen. Daar moeten we dus meer op oefenen en vervolgens zorgen dat alle burgemeesters meer met dit soort bedreigingen bekend zijn. Dat betekent ook dat we moeten leren vooruit te denken over wat er op ons af kan komen. In coronatijd maakten we mee dat de burgemeester van Baarn ’s morgens nog rustig aan de koffie zat, en ’s middag ineens tweeduizend man door z’n gemeente zag lopen, een demonstratie waartoe via sociale media was opgeroepen. Niemand had dat aan zien komen.’

Als we dit nog vijf jaar zo door laten gaan, dan is dit probleem groter dan ondermijning

Log4j

De gemeentelijke organisatie zelf is ook kwetsbaar. Dat leerden de hacks in Lochem en Hof van Twente. Maar het hoeft niet eens een hack te zijn die de organisatie lamlegt. Zo speelt nu de Log4j-crisis, een ernstige kwetsbaarheid in een van de veelgebruikte bouwstenen van informatiesystemen in alle gemeenten. Nienhuis: ‘Vertaald naar de fysieke wereld kun je het vergelijken met een boutje dat in allerlei constructies zit en waarvan nu blijkt dat het niet betrouwbaar is. Dat is nogal wat.’
En zelfs al zou de gemeente zich daartegen kunnen wapenen, dan is ze nog niet veilig. Mol: ‘Het eigen huis op orde brengen, houdt niet op bij de voordeur van het gemeentehuis. Wij zijn verbonden met allerlei partijen die elke dag gegevens uitwisselen, over verwarde personen, over kinderen in de jeugdhulp, noem maar op. Onze verantwoordelijkheid gaat verder dan het gemeentehuis.’
Het gaat niet alleen over de techniek, vult Nienhuis aan. ‘Persoonsgegevens zijn ook onze verantwoordelijkheid, bijvoorbeeld. Maar we moeten er ook voor waken dat softwareontwikkelaars software aanbieden die niet deugt. We kunnen elke keer wel zandzakken neerleggen bij de dijk, maar soms moet je de dijk ophogen. Dan moet je nadenken over digitale identiteiten zoals ze in Estland hebben, over scheiding van software en informatie, over samenwerken op het gebied van softwareontwikkeling. Misschien zou de software in gemeenteland wel geharmoniseerd moeten worden.’
Om hun collega’s te doordringen van de ernst van het fenomeen, organiseren de cyberburgemeesters ‘koffiecolleges’ om het bewustzijn te vergroten. Mol: ‘Terwijl de fysieke wereld steeds veiliger wordt, zien we dat digitale oplichting en hacken een enorme vlucht nemen. Een deel van de onveiligheid verschuift van de fysieke naar de digitale wereld. Wij kunnen als cyberburgemeesters niet de verantwoordelijkheden van onze collega’s overnemen. Daarom is het belangrijk dat iedereen op het goede ontwikkelingsniveau komt.’

Meer steun

De cyberburgemeesters zouden graag meer steun krijgen van het rijk. Mol: ‘Wij kunnen dit niet alleen oplossen, dit is echt een probleem op nationaal en internationaal niveau. De maatschappelijk schade neemt toe, maar toch heeft dit thema maar een héél bescheiden plekje in het coalitieakkoord gekregen.’
Kijkend naar haar eigen politieregio, zegt Nienhuis, voormalig officier van justitie: ‘Er gaan miljoenen naar ondermijning, maar we hebben maar 80.000 euro voor cyberveiligheid. Als we dit nog vijf jaar door laten gaan, dan is dit probleem groter dan ondermijning. Die boodschap moeten we blijvend uitdragen om aan de voorkant van het probleem iets te kunnen doen.’
Het zal een kwestie van lange adem zijn. Maar Mol en Nienhuis hebben goede hoop dat de cyberburgemeesters een doorslaggevende rol kunnen spelen. ‘Ondanks onze bewuste onbekwaamheid, kunnen wij ontwikkelingen signaleren en ook ter sprake brengen in onze politie- en veiligheidsregio’s. Je merkt nu al dat men door die bundeling in ons platform in beweging komt.’