De ontwikkelingen op het gebied van cybercriminaliteit en informatiebeveiliging gaan razendsnel. Dat betekent dat organisaties daar snel op moeten inspelen. Zo ook de gemeente Amsterdam. “De mogelijke dreigingen veranderen continu, net als de middelen om ons te beschermen”, stelt een woordvoerder van de gemeente.
Amsterdam heeft als hoofdstad en als grootste gemeente van Nederland met ongeveer 935.000 inwoners (peildatum 1 januari 2025) een voorbeeldfunctie, vindt de gemeente zelf. “Amsterdam is zich bewust van haar verantwoordelijkheid en haar voorbeeldfunctie”, aldus een woordvoerder. De gemeente heeft sinds 2015 Marco van Beek als Chief Information and Security Officer (CISO).
Van Beek vertelt in een interview op de site van telecombedrijf KPN dat alle websites van de gemeente aan de beveiligingsrichtlijnen voor websites en applicaties van het Nationaal Cyber Security Center (NCSC) moeten voldoen. Dat is een leidraad voor veiliger ontwikkelen, beheren en aanbieden van webapplicaties en de bijbehorende infra- structuur. Deze beveiligingsrichtlijnen zijn breed toepasbaar voor ICT-voorzieningen die gebruik maken van webapplicaties.
> LEES OOK: Congres Saxion ‘De weerbare securityprofessional’
Kwetsbaarheden
Zowel afnemers als leveranciers kunnen deze richtlijnen gebruiken bij hun aan- en uitbestedingen, toezicht en onderlinge afspraken. De richtlijnen zijn van toepassing in een context van beleids- en beheersmaatregelen die zijn gepubliceerd in de beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software. Er moeten volgens de gemeente daarbij maatregelen worden getroffen tegen de kwetsbaarheden zoals aangemerkt door OWASP. Dat is een organisatie die zich inzet voor een veiligere wereld. OWASP staat voor Open Web Application Security Project. Deze organisatie maakt jaarlijks een top 10 van de meest voorkomende kwetsbaar- heden in webapplicaties.
PKI-certificaat
Uiteindelijk moeten alle websites van de gemeente Amsterdam voorzien zijn van een PKIoverheid-certificaat. Dat is vergelijkbaar met een digitaal paspoort voor computers en hun gebruikers. Het certificaat heeft als doel om de vertrouwelijkheid, integriteit en authenticiteit van elektronische communicatie en transacties tussen overheidsinstanties, bedrijven en burgers te waarborgen.
Een certificaat van PKIoverheid zorgt ervoor dat alleen bevoegde partijen toegang hebben tot waardevolle gegevens en het voorkomt misbruik door kwaadwillenden. De certificaten worden vaak gebruikt voor het ondertekenen en versleutelen van digitale documenten, het beveiligen van online transacties, en voor het bieden van beveiligde toegang tot overheidsdiensten en -systemen.
> LEES OOK: Hoe word je digitaal weerbaar?
Dubbele voorbeeldfunctie
De CISO van Amsterdam heeft met zijn team van ongeveer vijftig securityspecialisten een behoorlijk omvangrijk werkveld, zegt hij op de website van KPN: “We beschermen de informatie van 930.000 Amsterdammers, plus alle ondernemers en bezoekers. Enorm gevoelige informatie: denk aan paspoorten, vergunningen en uitkeringen. We hebben als overheidsorganisatie de dure plicht daar goed voor te zorgen. Daarnaast zijn we de hoofdstad van Nederland en hebben dus een dubbele voorbeeldfunctie.”
Terug naar 1200 applicaties
Het team heeft volgens de woordvoerder van de gemeente Amsterdam het aantal applicaties van enkele duizenden teruggebracht naar 1200 voor de ongeveer 20.000 ambtenaren. Om al deze werknemers van de gemeente bewust te maken van de risico’s, besteedt Van Beek met zijn team ook aandacht aan het privégebruik van middelen, stelt Van Beek op het platform OptimaalDigitaal: “Onveilig omgaan met informatie raakt iedereen, burgers en medewerkers, in ons dagelijks functioneren, zowel op het werk als privé. Wij proberen daarom in bewustwordings- campagnes de link te leggen tussen privé en werk.”
Medewerkers checken in het openbaar vervoer hun werkmail en sociale media
Bewust maken van de risico’s
De afgelopen jaren zijn die twee steeds meer door elkaar gaan lopen, doordat de medewerkers, bijvoorbeeld in het openbaar vervoer op weg van werk naar huis of vice versa naast hun werkmail ook nog even hun socialemedia-accounts bekijken. Hij legt op hetzelfde platform uit dat hij in campagnes voor de ambtenaren probeert in te spelen op actuele zaken: “Als er deze week in het journaal aandacht wordt besteed aan cybercrime, en drie weken geleden ook, dan sluiten we met onze campagne daar mooi bij aan.” Zo wil de gemeente de ambtenaren bewust maken van de risico’s.
Continu verbeteren
De gemeente Amsterdam werkt volgens de woordvoerder continu aan het verbeteren en versterken van haar informatiebeveiliging. “De komende jaren zullen we steeds weer alert moeten zijn op de ontwikkelingen en moeten bijsturen waar dat nodig is.”
We oefenen met regelmaat situaties waarbij de ICT uitvalt
Regelmatig oefenen
De gemeente heeft de informatiebeveiliging ondergebracht bij het zogeheten i-domein onder de Directie Middelen en Control (DMC). In het i-domein van de gemeente is volgens de woordvoerder een crisisteam ingericht en is een crisishandboek gemaakt om snel en adequaat te kunnen reageren bij grote incidenten. En het blijft volgens de gemeente niet bij woorden: “We oefenen met regelmaat situaties waarbij de ICT uitvalt of kernprocessen worden verstoord.” Wat die oefeningen inhouden, wordt niet gemeld, wel wat er de afgelopen jaren is gedaan: “Het beheer van het ICT-landschap is verbeterd en grotendeels uitbesteed aan professionele externe partijen.” Daarnaast zijn dus veel applicaties afgedankt of samengevoegd.
Bovendien gaan deze volgens de woordvoerder regelmatig door een controle: “De veiligheid van applicaties en onderdelen van de ICT-infrastructuur wordt structureel getest.”
> LEES OOK: Baanbrekend onderzoek versterkt cybersecurity
Meldpunt ethisch hacken
Dat doet de gemeente overigens niet alleen. Op de website nodigt de hoofdstad actief mensen uit om te helpen onder het kopje ‘Meldpunt ethisch hacken’: “De gemeente Amsterdam wil een betrouwbare overheidsorganisatie zijn en stimuleert het melden van (vermoede) kwetsbaarheden in de informatievoorziening. Ondanks maatregelen die de gemeente al treft, blijft het mogelijk dat er een zwakke plek in de IT-systemen zit waar iemand mogelijk misbruik van kan maken.”
De gemeente roept mensen met de juiste vaardigheden op om deze zwakke plekken in de systemen op te sporen en hier melding van te maken. “Op die manier kunnen we de veiligheid en betrouwbaarheid van onze systemen verbeteren.” Elke melding die binnenkomt, gaat naar securityspecialisten die deze bevindingen onderzoeken. Binnen vijf dagen krijgen de melders per e-mail een eerste reactie op de door hen gevonden zwakke plek.
Meldplicht voor beveilingsincidenten
De gemeente heeft in de gemeentelijke inkoopvoorwaarden voor informatietechnologie staan dat leveranciers een meldplicht hebben voor beveilingsincidenten. De leverancier moet de gemeente direct informeren ‘over alle inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan een toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken’. Dat hoeft volgens de voorwaarden overigens niet als het incident geen gevolgen heeft voor de gegevens van de gemeente, of die waar de gemeente voor verantwoordelijk is.
> LEES OOK: Wat te doen tijdens een cyberincident? 5 tips
Veiligheidseisen bij aanbestedingen
Voor de inhuur van bedrijven voor opdrachten in de gemeente via aanbestedingen neemt Amsterdam de veiligheidseisen altijd mee. Daarnaast werkt de gemeente nauw samen met de Vereniging van Nederlandse Gemeenten (VNG), de Rijksoverheid en andere gemeenten om in te spelen op de ontwikkelingen.
De Agenda Digitale Veiligheid van de VNG adviseert bestuurders, (beleids-)medewerkers van gemeenten en raadsleden. “Met elkaar zorgen we voor meer (bestuurlijke) bewustwording, betrokkenheid en kennisdeling. Met als doel gemeenten te helpen bij het voorkomen, bestrijden en oplossen van cybercriminaliteit en -incidenten”, meldt de vereniging op haar website. Onder de VNG valt ook de InformatieBeveiligingsDienst (IBD) die gemeenten adviseert en ondersteunt bij beveiligingsvraagstukken.
Peter Teesink, secretaris van de gemeente Amsterdam, is bovendien lid van de VNG-commissie Informatiesamenleving. Verder werkt Amsterdam samen met regiogemeen- ten, publiek-private partners en maatschappelijke organisaties ‘om de digitale weerbaarheid van organisaties en bewoners naar een hoger plan te tillen’.
Volg Security Management op LinkedIn
