Hoe de provincie Gelderland gemeenten helpt cyberweerbaarder te worden

De cyberweerbaarheid van gemeenten verhogen: zo pakte Gelderland dat aan

Cybercriminaliteit is een groeiende uitdaging, ook voor Nederlandse gemeenten. Gelderland wilde gemeenten in de provincie helpen met het verhogen van hun cyberweerbaarheid. Dat deden zij in samenwerking met Secura. Het project met de naam Troje was een groot succes.

'Op voorhand was het lastig in te schatten hoeveel gemeenten mee zouden doen, dus we zijn heel blij dat 42 gemeenten zich hebben aangemeld. Dat geeft aan dat de behoefte op dit vlak enorm is', zegt projectleider Marjolein Zeeman van de provincie Gelderland.

Wat is project Troje?

'Project Troje is een cyberchallenge in de provincie Gelderland,' vertelt Marjolein Zeeman. Zij werkt als projectleider weerbaarheid bij de provincie en begeleidt projecten die criminele ondermijning tegengaan. 'Het belangrijkste doel was de bewustwording rond cybercrime vergroten. Wij zien, net als iedereen, dat cybercriminaliteit enorm toeneemt. Daar wilden we iets aan doen.'

Nulmeting als basis

De challenge, die tot eind 2023 liep, bestond uit 2 delen, legt Zeeman uit: 'De gemeenten die mee wilden doen – deelname was op vrijwillige basis – hebben we een nulmeting aangeboden. Op zes gebieden werd getest wat de actuele mate van cyberweerbaarheid was. Gemeenten kregen dan op basis van wat er was aangetroffen aanbevelingen over wat er beter kon.' De nulmeting werd uitgevoerd door experts van Secura.

Floris Duvekot van Secura legt uit wat er precies werd gemeten. 'Wij meetten bijvoorbeeld hoe het gesteld was met de technische beveiliging en de security van processen. Maar ook hoe de werknemers van de gemeente omgingen met veiligheid. Tijdens één van de metingen probeerde een van onze ethische social engineers in te breken bij de deelnemende gemeenten. Zo konden we de fysieke beveiliging van het gemeentehuis en de awareness van medewerkers te testen.'

De drie gemeenten die hun veiligheid het beste op orde hadden wonnen een red teaming assessment – of eigenlijk een red cell, een compacte variant op red teaming, vertelt Zeeman. 'Die gemeenten zijn helemaal doorgelicht door Secura. Dat waren de gemeenten Aalten, Arnhem en Doesburg.'

Enorme behoefte

Op voorhand wist Zeeman niet hoeveel gemeenten zich zouden inschrijven voor de challenge: 'Gelderland heeft 51 gemeenten. Maar of er 1 gemeente of 51 gemeenten zouden meedoen was op voorhand onbekend.'

Dat maakte de voorbereiding en de aanbesteding van het project uitdagend. 'We hadden nooit verwacht dat 42 gemeenten zich zouden opgeven: dat is meer dan 80% van de gemeenten in Gelderland. Dat geeft aan dat de behoefte op dit vlak enorm is. We zijn erg blij dat we zoveel gemeenten een stap op weg hebben kunnen helpen bij het vergroten van hun cyberweerbaarheid.'

Aanspreekpunt: CISO's

Zeeman en haar team kozen ervoor de CISO’s van Gelderse gemeenten als aanspreekpunt voor het project te benaderen. 'Zij voelen als geen ander de urgentie van dit onderwerp. Zij kunnen dit ook het beste uitdragen naar de rest van de organisatie.' Alle CISO's van de gemeenten persoonlijk uitnodigen was een intensieve klus, maar het is gelukt: 'Uiteindelijk hebben we alle CISO’s 1-op-1 gesproken om vragen te beantwoorden. Zij waren ook aanwezig bij de startbijeenkomst. Een mooi neveneffect van dit project was dus dat er netwerk ontstond van CISO’s van Gelderse gemeenten.'

Samenwerking met Secura

Nadat Zeeman en haar team alle Gelderse gemeenten had benaderd, gemeenten zich hadden ingeschreven en alle vrijwaringsdocumenten en verwerkingsovereenkomsten waren geregeld, nam Secura de uitvoering van het project over. 'Ik heb de samenwerking met Secura als heel prettig ervaren,' zegt Zeeman. 'Het team had het goed voor elkaar.'

Floris Duvekot van Secura zegt over de samenwerking: 'Doordat de provincie de start van het project begeleidde en zoveel voorwerk had gedaan, hadden de gemeenten genoeg tijd om zich aan te melden. Daardoor hadden wij ook tijd om de nulmetingen goed voor te bereiden. Door maandelijks met de provincie de voortgang te bespreken, verliep de samenwerking zeer transparant. Wat bijzonder was aan dit project, was dat de provincie geen inzage had in de inhoudelijke uitkomsten van de nulmetingen. Hun rol was volkomen faciliterend. Het onderlinge vertrouwen heb ik in deze samenwerking zeer gewaardeerd.'

Do's en don'ts

Projectleider Marjolein Zeeman krijgt veel vragen van andere provincies en organties over dit project. 'Ik zeg dan meestal: doe het gewoon. We hebben gezien dat er enorme behoefte is aan kennisdeling op dit vlak.' Zeeman adviseert:

• Investeer in persoonlijk contact met CISO’s en andere betrokkenen. 'Dat kost tijd, maar is de investering meer dan waard. Vergeet ook het bestuur niet mee te nemen, om het onderwerp echt te laten leven bij deze groep.'
• Neem ruim de tijd. 'Dat is echt nodig bij zo’n omvangrijk project. Wij zijn een jaar bezig geweest tussen de start en de sluiting van de inschrijving. De uitvoering duurde daarna nog ruim een jaar.'

Over Secura

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.