DEN HAAG - Er worden volgend jaar concrete stappen ondernemen om de beveiliging van ICT bij gemeenten te verbeteren. Nu zijn de gemeenten daar nog niet klaar voor.

Uit onderzoek (pdf) van Kwaliteitsinstituut Nederlandse Gemeenten (KING) blijkt dat de ICT-kennis bij gemeenten nu nog vaak te kort schiet en er bovendien te weinig controle is.

Het KING adviseert daarom dat gemeenten ondersteuning krijgen bij het inkopen van software. Ook moeten er duidelijke afspraken worden gemaakt, zullen er audits worden uitgevoerd en moet de verantwoordelijke duidelijk zijn.

Na diverse incidenten rond DigiD werd besloten dat alle organisaties die daarvan gebruikmaken aan minimale beveiligingseisen moeten voldoen. In veel gemeenten is het beveiligen van gegevens nog altijd een taak die er door een ambtenaar wordt 'bijgedaan', aldus KING.

Verantwoordelijk

"Niet elke gemeente weet precies wie er verantwoordelijk is voor de informatiebeveiliging. De gemeenten gaan er vanuit dat het goed geregeld is, omdat het bij een leverancier is belegd", schrijft de organisatie.

Daar komt bij dat de ICT-omgeving door de jaren heen complex is geworden. "Bij voornamelijk de kleinere gemeente is de beheerafdeling vooral gericht op 'functionaliteit in de lucht brengen en houden'. Preventief beheer en borgen van kennis hebben geen prioriteit", concludeert KING.

Daardoor zou er alleen gereageerd worden op problemen en worden incidenten niet voorkomen.

Leveranciers

"In de lopende contracten met de leverancier is er nog weinig aandacht voor het correct vastleggen van de benodigde beveiligingseisen en maatregelen", stellen de onderzoekers.

"Gemeenten moeten ondersteund worden met het definiëren van eisen ten aanzien van informatiebeveiliging in de verwervingsfase, het vastleggen van eisen en contracten en het sturen op prestaties van leveranciers."

Checks

Veel gemeenten gebruiken standaard 'gemeentesoftware'. Voor dat gedeelte ziet KING de mogelijkheid om de testen bij de leverancier uit te voeren. Zo hoeven die checks slechts op een enkel punt te gebeuren en gelden die voor alle gemeenten.

Om echt aan de eisen rond DigiD te voldoen moet er meer getest worden. Omdat in veel omgevingen bijvoorbeeld een draadloos netwerk worden en eigen apparatuur wordt gebruikt, moet er breder gecontroleerd worden, zo luidt het advies.

Geen budget

Aanleiding voor de komende beveiligingstesten zijn de inbraak bij DigiNotar en het Webwereld-initiatief Lektober. Daar bleek dat bij veel gemeenten er de nodige problemen zijn rond beveiliging zijn. In een geval moesten zelfs 50 websites opeens uit de lucht worden genomen.

De onderzoekers ontdekten dat er bij diverse gemeenten in 2012 geen budget is voor het uitvoeren van audits.