PAMAN – Een betere veiligheid begint bij jezelf

Ik hoor jullie al denken, PAMAN, wat is dat nou weer. Voor de oud militairen onder ons die zijn opgevoed met ZHKH – Zelf Hulp Kameraden Hulp, moet dit bekend klinken. PAMAN is een acroniem dat staat voor wat je moet doen als je een gewonde collega ziet: 

  1. Persoonlijke veiligheid 
  2. Andermans veiligheid 
  3. Markeren 
  4. Anderen waarschuwen 
  5. Noodzakelijke hulp verlenen, hierna komt dan weer een ander acroniem voor de vervolgstappen

Tegenwoordig gebruiken militairen een iets andere methodiek. Misschien is dat iets voor een andere blog. Maar in de basis gaat het om hetzelfde…: Breng eerst jezelf in veiligheid en dan de ander. De analogie van PAMAN is vandaag de dag nog goed te gebruiken. Ook in de cybersecurity. Daar kom ik zo op terug.  

Cybersecurity, had van mij persoonlijk wel hét woord van 2022 mogen worden. Want zeg je vandaag de dag informatie, dan zeg je ‘digitaal’. En de digitalisering neemt alleen maar toe, incidenten ook. Het belang van informatie die beschikbaar, betrouwbaar en juist is, hoef ik niemand uit te leggen. Daarom is de beveiliging van die informatie ook zo belangrijk: cybersecurity, dus.  

Terug naar de acroniemen in relatie tot cybercrime. Ik beperk me vandaag even tot de eerste 2 letters van dit acroniem. Het is belangrijk om zowel jezelf als anderen te beschermen tegen online aanvallen. Vrij vertaald naar gemeenten, zou je kunnen zeggen dat de P- ‘Persoonlijke veiligheid’ gaat over de veiligheid van informatie waar Nederlandse gemeenten over beschikken. Die ze feitelijk ‘in bruikleen’ hebben van alle Nederlanders. Op basis van die informatie verlenen ze dag in dag uit diensten en nemen ze belangrijke beslissingen over onze levens. Over uitkeringen, paspoorten, vergunningen etc.     

In de cybersecurity gaat veel aandacht, tijd en energie uit naar A – Andermans veiligheid: Burgers en bedrijven cyberweerbaar maken. Natuurlijk is dat belangrijk. Te meer nu veel Nederlanders dagelijks hun hele ‘hebben en houden’ online delen met anderen. Waarbij privé foto’s, namen, adressen etc. terechtkomen in een enorme bak met data aan de andere kant van de grote plas. Gegevens waar cybercriminelen ook naar vissen, op allerlei creatieve manieren.  

Je voelt het misschien al aankomen. Er zou wat mij betreft meer aandacht, tijd en energie uit mogen gaan naar de P – persoonlijke veiligheid. Voor mij staat dat gelijk aan ‘het eigen huis op orde’. Vertaald naar gemeenten betekent dat de informatieveiligheid van de gemeentelijke organisatie zélf. De systemen waarin privacygevoelige informatie bewaard wordt van bijna 18 miljoen Nederlanders. Gegevens van jou en mij dus. Die kwaadwillenden – als het eigen huis niet op orde is- kunnen buitmaken en publiceren op het Darkweb. Wie zou er geen ongemak voelen als er bijvoorbeeld gegevens over jouw uitkering online staan? En waar criminelen in bepaalde gevallen misbruik van kunnen maken; denk aan identiteitsfraude en vervolgens bijvoorbeeld het afsluiten van een lening op naam van iemand anders.   

Een ander aspect van die persoonlijke veiligheid; ‘het eigen huis op orde’, is de continuïteit van de gemeentelijke dienstverlening. Een gehackte gemeente loopt het risico dat de dagelijkse dienstverlening voor de burgers wordt verstoord. Er kunnen dan tijdelijk geen uitkeringen meer uitgekeerd worden, paspoorten of vergunningen worden uitgegeven etc.  

Uit het Dreigingsbeeld van de IBD blijkt dat de dreiging van ransomware (gijzelsoftware) de afgelopen twee jaar verder is toegenomen. Het aantal informatiebeveiligingsincidenten stijgt. Zeker, gemeenten zetten stappen om de ‘cyberweerbaarheid’ te vergroten. En toch is er meer nodig. De IBD helpt gemeenten hierbij, zowel aan de preventie- kant als in geval van een incident. Liever helpt de IBD bij het voorkomen van een brand dan dat we helpen met blussen. Daarom bevat het Dreigingsbeeld ook concrete succesfactoren waar gemeenten mee aan de slag kunnen gaan om de basis op orde te krijgen.  

Gemeenten doen er goed aan het onderwerp prioriteit te geven, en adequate maatregelen te nemen. Dat vraagt om voldoende financiële middelen, de juiste mensen op de juiste plek, aandacht van bestuur en management en de juiste organisatorische en technische maatregelen.   

De keten is zo sterk als de zwakste schakel. Het eigen huis op orde krijgen en houden vraagt dus veel van gemeenten. In de dagelijkse praktijk concurreert de informatieveiligheid van het gemeentehuis met de (online) veiligheid van burgers, maar ook met de aanleg van een nieuw sportveld of rotonde. Maar het is de basis van alles. En het zit in alles. Want hoe kun je met goed fatsoen taken op het vlak van jeugdzorg oppakken, als de gegevens niet goed beschermd zijn?   

Het is dus belangrijk om eerst te zorgen voor de ‘eigen veiligheid’, het eigen huis op orde te krijgen en te houden en pas daarná oog te hebben voor andermans veiligheid.   

Het vraagt moed van gemeentebestuurders om hier aandacht voor te vragen en voldoende middelen voor beschikbaar te stellen. Want informatieveiligheid is onzichtbaar. In tegenstelling tot dat nieuwe sportveld of die nieuwe rotonde. Totdat het misgaat. En welke gemeente wil die gemeente zijn die niet zorgvuldig omgaat met de gegevens van haar inwoners?  

Een betere veiligheid begint bij jezelf. 

Jule Hintzbergen, Adviseur (IBD)