www.defryskemarren.nl
11
GEMEENTEGEZICHT
Pieter Peeringa, Chief Information Security Officer (CISO)
‘WE WILLEN GEEN MAKKELIJKE PROOI ZIJN VOOR CYBERCRIMINELEN’
“In de afgelopen jaren zijn we als gemeente steeds digitaler geworden”, steekt Pieter van wal. “Het is belangrijk om de informatie die we verwerken goed te beveiligen. We zien namelijk óók een toename in cybercrime, waarbij criminelen proberen anderen geld afhandig te maken via de computer of telefoon. Steeds vaker proberen cybercriminelen systemen van bedrijven of organisaties binnen te dringen – hacken noemen we dat. Zo werd een gemeente in het oosten van het land vorig jaar het slachtoffer van zogenoemde ransomware. Een cybercrimineel – binnengekomen via een makkelijk te raden wachtwoord – versleutelde de bestanden. Geen enkele medewerker kon er meer bij. De daders eisten losgeld – ‘ransom’ – om het systeem weer vrij te geven.”
Gegevens goed beschermen
Organisaties zijn kwetsbaar voor cybercriminaliteit. Medewerkers kunnen het slachtoffer worden van een phishingmail. Ze worden dan bijvoorbeeld naar een valse website gelokt, waar ze vervolgens hun inloggegevens prijsgeven. “De gevolgen
FOTO: NANTKO SCHANSSEMA, FOTO NANTKO
Pieter werkt als Chief Information Security Officer (CISO) bij gemeente De Fryske Marren. In het Nederlands heet zijn functie ‘strategisch adviseur informatiebeveiliging’. Samen met zijn collega’s zorgt Pieter ervoor dat de informatiesystemen goed worden beschermd tegen bijvoorbeeld cybercriminelen, datalekken of storingen.
kunnen groot zijn”, weet Pieter. “Als onze systemen door ransomware worden platgelegd, ligt onze dienstverlening stil. We kunnen dan bijvoorbeeld geen vergunningen meer verlenen of uitkeringen betalen. Ook kunnen persoonsgegevens van inwoners gestolen en doorverkocht worden.” Dat wil de gemeente natuurlijk voorkomen. “Onze dienstverlening moet door blijven gaan. Bovendien hebben we een grote verantwoordelijkheid richting onze inwoners en ondernemers. We willen hun gegevens goed beschermen.”
Passende maatregelen
‘Het is belangrijk om te leren hoe je veilig om kunt gaan met informatiesystemen’
Pieter kijkt samen met collega’s waar de organisatie risico loopt om aangevallen te worden door cybercriminelen. En hij bedenkt strategieën om de risico’s te verkleinen. “Dat vraagt om een balans. Je kunt niet van medewerkers verwachten dat ze eerst zes wachtwoorden invoeren om te kunnen werken. Aan de andere kant willen we geen makkelijke prooi voor cybercriminelen zijn. We nemen passende technische en organisatorische maatregelen. Een voorbeeld is dat je standaard je computer vergrendelt als je je werkplek verlaat. En dat je je wachtwoorden
regelmatig wijzigt. Het is trouwens beter om wachtzinnen te gebruiken, die zijn makkelijker te onthouden.”
Hoe digitaal veilig bent u?
Bewustmaking
Pieters werk bestaat ook uit bewustmaking van de medewerkers. Hoe gaan ze veilig met wachtwoorden om, hoe herkennen ze valse mailtjes? “Ik vind het leuk om ze hier laagdrempelig over te vertellen. Dat doen we bijvoorbeeld via e-learnings, een handboekje en bijeenkomsten. Het risico om als organisatie gehackt te worden, is voor digitaal minder onderlegde medewerkers soms een ver-van-mijnbed-show. Ik maak het dan persoonlijk. Als ze door krijgen dat door een hack hun salaris bijvoorbeeld niet kan worden betaald, valt het kwartje wel.” Wat Pieter ook doet, samen met zijn collega’s die over privacy gaan, is het checken van nieuwe systemen op veiligheid. “Bijvoorbeeld een systeem voor schuldhulpverlening. Zijn de gevoelige gegevens daarin goed beveiligd? Welke risico’s rond veiligheid heeft het systeem?” Ook blust hij ‘brandjes’. “Zo check ik phishingmails die medewerkers ontvangen en blokkeren collega’s de link als dat nodig is.”
Kijk voor tips op beveiligmij.nl/tips
Leren
Pieter is CISO sinds 2016. Daarvoor was hij intern controleur bij de gemeente. “De menselijke kant van informatieveiligheid boeit me al langer. Waarom trappen we massaal in phishingmails? We worden met z’n allen steeds digitaler, ook onze inwoners. Maar we leren op school niet hoe we risico’s kunnen herkennen. Niemand trapt met opzet in een nepmail. Je bent altijd slachtoffer! Daarom is het belangrijk om mensen te leren hoe ze veilig kunnen omgaan met informatiesystemen. Dat doen we al binnen onze organisatie. Wie weet kan de gemeente in de toekomst een grotere rol spelen om ook inwoners, bedrijven en scholen bewust te maken van de risico’s. Het zou mooi zijn als we op die manier het verschil kunnen maken.”