In de provincie Noord-Holland is in 2019 een op de zeven inwoners weleens slachtoffer geworden van een vorm van cybercriminaliteit. Door regionaal samenwerkingsverband Noord Holland Samen Veilig (NHSV) wordt cybercriminaliteit dan ook aangemerkt als een geprioriteerd thema. Een van de projecten die dient bij te dragen aan deze prioritering is ‘HackShield in gemeenten Noord-Holland’. HackShield is een cybersecurity spel voor kinderen tussen de 8 en 12 jaar en heeft tot doel om een cyberveilige generatie kinderen te creëren. In de samenwerking met gemeenten roepen burgemeesters en politieagenten kinderen op om het spel te spelen en ‘cyber-agent’ van de gemeente te worden. Spelers met de meeste punten worden gehuldigd door de gemeenten. Vanuit NHSV en HackShield is er de behoefte om het project te evalueren. Het huidige onderzoek bestaat uit een beknopte plan- en procesevaluatie waarin de beleidstheorie, uitvoering en ervaringen van het project in kaart worden gebracht. De gebruikte onderzoeksmethoden betreffen een documentanalyse en 30 interviews met ontwikkelaars, uitvoerders en deelnemers. Een belangrijke beperking van het onderzoek is de representativiteit van de geïnterviewde deelnemers: de helft van de deelnemers die bereid waren om deel te nemen aan het onderzoek waren ‘testers’ van het spel en daarmee de meest fanatieke spelers. Verder is het van belang om te vermelden dat de dataverzameling heeft plaatsgevonden tussen september 2020 en februari 2021. Dit betekent dan ook dat de huidige evaluatie een momentopname betreft, aangezien projecten tussentijds kunnen worden aangepast. De resultaten van het onderzoek laten zien dat HackShield een project, spel en maatschappelijke beweging is waarin de ‘Hero-Centred-Design’ filosofie van de makers van het spel centraal staat. In deze filosofie staat de eindgebruiker in het middelpunt en krijgt deze een (fictieve) rol die de gebruiker niet heeft in de echte wereld. Binnen de onderzochte gemeenten bestaat het project uit een promotiecampagne om kinderen HackShield te laten spelen, een spelperiode en een huldiging van de beste spelers door de burgemeester en politie. Vooraf hebben gemeenten informatie en instructies gehad over de invulling van het initiatief en tegelijkertijd ruimte gehad om hiervan af te wijken. Verschillen in de uitvoering bestaan in de communicatiekanalen die zijn gebruikt en de wijze waarop huldigingen hebben plaatsgevonden. Deelnemers, ouders en uitvoerders zijn tevreden over het verloop van het project. Uitvoerders zijn tevreden omdat er duidelijke instructies en goede begeleiding was en omdat er door het project meer aandacht is voor cybercriminaliteit. Bijna alle uitvoerders zouden bij een toekomstige projectronde opnieuw meedoen. Deelnemers zijn enthousiast omdat zij het spel leuk en leerzaam vinden. Alle ouders zouden het spel aanbevelen aan anderen. De inzet van partners die betrokken zijn bij het initiatief, de goede ondersteuning vanuit de initiatiefnemers en de kleine inspanning die het vraagt voor gemeenten om mee te doen zorgen voor een goed verloop van het initiatief. Winst is te behalen door scholen beter bij het project te betrekken en door meer levels aan het spel toe te voegen. Daarnaast worden de maatregelen rondom het COVID-19 virus door verschillende uitvoerders benoemd als belemmerende factor, omdat het ondernemen van fysieke activiteiten hierdoor beperkt mogelijk was. Voor de meeste uitvoerders is het onduidelijk in hoeverre de doelen van HackShield worden behaald. Deelnemers geven allemaal aan iets te hebben geleerd, bijvoorbeeld over sterke wachtwoorden, het herkennen van phishing mails en hoe je kunt voorkomen dat je wordt gehackt. Het blijft echter onduidelijk wat de daadwerkelijke effecten zijn van het initiatief. Vervolgonderzoek in de vorm van een effectevaluatie is een noodzakelijke volgende stap. Toekomstig evaluatieonderzoek in de vorm van (kwantitatieve) effectevaluaties kan aantonen wat de daadwerkelijke effecten zijn van het initiatief. Zo kan er een voor- en nameting plaatsvinden met betrekking tot de kennis die deelnemers en ouders daadwerkelijk opdoen, door vragenlijsten op te stellen die deze kennis toetsen. Verder verdient het de aanbeveling om ook kwalitatief onderzoek te blijven uitvoeren, zodat zowel positieve effecten als mogelijke ongewenste consequenties van het initiatief in kaart kunnen worden gebracht. Interviews met deelnemers en ouders zijn hiervoor geschikt, mits de steekproeven representatief zijn voor alle deelnemers.
Aanleiding Gemeenten zijn in hoge mate afhankelijk van digitale systemen. Als deze systemen onbedoeld uitvallen of aangevallen worden, kan dit grote gevolgen hebben voor de dienstverlening aan burgers en/of de interne bedrijfsvoering. Recente gevallen zoals de aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid (2019) hebben duidelijk gemaakt dat cyberincidenten grote impact kunnen hebben, niet te voorkomen zijn en zelfs kunnen uitmonden in een cybercrisis. Gemeenten moeten zich voorbereiden op cybercrises waarbij zij zelf het slachtoffer zijn. Daarnaast kunnen gemeenten geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie gevestigd in de gemeente getroffen wordt door een cyberaanval. Denk hierbij aan een ziekenhuis dat door een aanval haar ICT niet meer kan gebruiken en daardoor de deuren moet sluiten. In een dergelijk geval zijn gemeenten betrokkenen en zullen zij samen met de veiligheidsregio(‘s) moeten acteren om de problemen in het fysieke domein aan te pakken. In dit verkennende onderzoek gaan we nader in op het fenomeen cybercrisis binnen gemeenten waarbij we onderscheid maken tussen cybercrisis waarbij gemeenten (1) slachtoffer zijn of (2) betrokkene. Onderzoeksdoelen en vragen Cybercrises in het algemeen en binnen de gemeentelijke context in het bijzonder zijn nog maar beperkt beschreven in de (wetenschappelijke) literatuur. Het hoofddoel van het onderzoek is om inzicht te verschaffen in de ervaringen die gemeentelijke medewerkers hebben met cybercrisis als ‘slachtoffer’ en ‘betrokkene’ en hoe zij kijken naar de rollen en uitdagingen die er zijn. Het hoofddoel is opgesplitst in twee hoofdvragen: (1) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken? En (2) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente en (kunnen) leiden tot problemen in het fysieke domein? Methoden van onderzoek Er is een literatuurstudie uitgevoerd die als basis heeft gediend voor semigestructureerde interviews. In de periode van 1 juli tot 1 december 2020 hebben 22 interviews plaatsgevonden met medewerkers van 18 verschillende gemeenten. Het merendeel van respondenten was werkzaam als Chief Information Security Officer (CISO) (N = 15), Adviseur Openbare orde en Veiligheid (AOV) (N = 9) en Adviseur informatiebeveiliging (N = 6). Beantwoording hoofdvragen De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken zijn: (1) tijdens de warme fase verwacht men van de CISO soms een leidinggevende rol in plaats van de dagelijkse adviserende rol, (2) informatie gaat veelal sneller via informele kanalen dan via de formele kanalen, (3) CISOs gebruiken de crisiskennis van AOV-ers onvoldoende (4) (voorbereiding op) cybercrisis is nog te veel een IT-feestje, (5) oefenen is belangrijk maar gebeurt nog te weinig, en (6) kleine gemeenten hebben geen draaiboeken of crisisplannen, grote gemeenten wel. Gemeenten hebben nauwelijks ervaring met cybercrises die de gemeentelijke organisatie raken. De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente zijn: (1) er is binnen gemeenten en veiligheidsregio’s weinig cyber-expertise en kennis van de CISO wordt niet benut, (2) gemeenten worstelen met hun rol bij een dergelijke crisissituatie, (3) de rolverdeling tussen de gemeente en veiligheidsregio is onduidelijk bij een dergelijke crisissituatie, en (4) gemeenten vinden dat organisaties allereerst zelf verantwoordelijk zijn voor respons en mitigatie. Geen van de respondenten heeft ervaring opgedaan met een cybercrisis bij een organisatie gevestigd in de gemeente. Conclusie De eerste conclusie is dat gemeenten beperkt voorbereid zijn op cybercrisis en onvoldoende zicht hebben in hoeverre bestaande plannen en niet-geformaliseerde werkwijzen voldoende zijn om de impact van cybercrisis te kunnen beperken, mede omdat er niet wordt geoefend. De tweede conclusie is dat nog een wereld te winnen is bij een actievere samenwerking tussen CISOs en AOV-ers. De derde conclusie is dat deelnemende gemeenten nog geen ervaring hebben met cybercrisis waarbij ze enkel ‘betrokkene’ zijn. De belangrijkste theoretische bijdrage is dat we geen aanwijzingen hebben gevonden dat de generieke literatuur over crisisbeheersing niet van toepassing zou kunnen zijn op cybercrisis. Dit onderzoek is uitgevoerd onder een beperkt aantal gemeenten. Om een rijker en completer beeld te krijgen van cybercrisis bij gemeenten, adviseren we om een vervolgonderzoek uit te zetten bij meer gemeenten, bijvoorbeeld in de vorm van een vragenlijstonderzoek. Ander vervolgonderzoek zou zich kunnen richten op het meten van de mate van voorbereiding van gemeenten op cybercrisis, slimme manieren waarop gemeenten hun voorbereiding kunnen verbeteren en op cyberincident- en cybercrisisevaluaties.
De belangrijkste trend waar het gaat om maatschappelijk vastgoedmanagement bij gemeenten is het streven naar professionalisering en kostenreductie. Met maatschappelijk vastgoed wordt over het algemeen vastgoed aangeduid dat wordt gebruikt om een maatschappelijke (publieke) functie te huisvesten: onderwijs, sport, cultuur, zorg, religie, welzijn en overheidsorganisaties. Een derde van dit soort vastgoed is in eigendom bij overheden en dan voornamelijk bij gemeenten. Andere eigenaren van maatschappelijk vastgoed kunnen bijvoorbeeld zorg- of onderwijsinstellingen en woningcorporaties zijn.
