Samenwerken voor een digitaal veilig Nederland



Hans de Vries, directeur van het Nationaal Cyber Security Centrum bij het ministerie van Justitie en Veiligheid (JenV)
Jos de Groot, directeur Digitale Economie bij het ministerie van Economische Zaken en Klimaat (EZK)
Bas den Hollander, directeur Digitale Samenleving bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)

Hans de Vries, directeur van het Nationaal Cyber Security Centrum bij het ministerie van Justitie en Veiligheid (JenV), Jos de Groot, directeur Digitale Economie bij het ministerie van Economische Zaken en Klimaat (EZK) en Bas den Hollander, directeur Digitale Samenleving bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zetten zich samen in voor de digitale veiligheid van de overheid. ‘Wat vandaag veilig is, is dat morgen misschien niet meer’.

Wat zijn de grootste uitdagingen op het gebied van cyberveiligheid?

Bas den Hollander: “Het regent op dit moment ransomware-aanvallen. Daar lig ik weleens wakker van. Ik wil benadrukken dat het belangrijk is goede back-ups te maken van systemen zodat ze weer snel de lucht in kunnen na een digitale aanval. De ene back-up is de andere niet. In de praktijk komt het voor dat dit niet goed is geregeld, met soms desastreuze gevolgen. Weet daarom wat de ‘kroonjuwelen’ van je organisatie zijn en wat de impact is wanneer deze geraakt worden door een incident. Alleen dan kan er een gewogen risico inschatting worden gemaakt en weet je wat er nodig is als bescherming.”
Hans de Vries: “Naast de ransomware-aanvallen is ketenafhankelijkheid een uitdaging wanneer het gaat om cyberveiligheid. In dit geval gaat het om cyberaanvallen die gedaan worden via de keten van een veel gebruikte leverancier. De impact van dit soort aanvallen is groot, omdat door middel van één gerichte aanval er in korte tijd veel slachtoffers kunnen worden gemaakt. Blindelings vertrouwen op de informatiebeveiliging van leveranciers maakt kwetsbaar.”
Jos de Groot: “Volgens onderzoek van het CBS is 1 op de 5 bedrijven jaarlijks slachtoffer van cybercriminaliteit. Voor veel bedrijven is het lastig om zich tegen ransomware te beschermen. Daarom draagt EZK via het Digital Trust Center (DTC) bij aan het verhogen van de weerbaarheid van bedrijven. Dit doet het DTC door informatie te verstrekken aan bedrijven over hoe ze zich beter kunnen beschermen tegen cyberdreigingen en door dreigingsinformatie te delen. Hiermee stimuleren we ook de samenwerking tussen bedrijven zodat je samen sterker staat.”

Wat is in jullie ogen het meest urgente actiepunt voor de bestuurders vanuit het beleid?

Jos de Groot: “Het is van belang dat overheidsorganisaties investeren in de cybersecurity van de eigen organisaties, dus het eigen huis op orde brengen en houden. Deel daarbij onderlinge kennis en ervaringen en dreigingsinformatie. Cybersecurity is niet iets wat je één keer verbetert en daarna geen omkijken meer naar hebt. Wat vandaag veilig is, is dat morgen misschien niet meer. En de kracht van de overheid als marktspeler moet beter worden benut. Koop slimmer in zodat ICT-aanbieders de economische prikkel krijgen om meer veilige producten te ontwikkelen. Ik vraag alle bestuurders om de gezamenlijke cybersecurity inkoopeisen te omarmen en standaard te gaan gebruiken.”
Hans de Vries: Voor mij als bestuurder is dat op dit moment de uitbreiding van onze bevoegdheden onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Om de digitale weerbaarheid van ons land te vergroten is het belangrijk dat het NCSC op grote schaal informatie over dreigingen, kwetsbaarheden en incidenten kan delen. Aan alle bestuurders zou ik mijn oproep willen herhalen die ik vorig jaar deed in een blog in aanloop naar de overheidsbrede oefening: ‘Cybersecurity is chefsache!’ In de werkelijkheid van de huidige tijd wordt digitale veiligheid steeds belangrijker voor de continuïteit van organisaties. Het moet op het hoogste niveau binnen de organisatie op de agenda staan en behandeld worden!
Bas den Hollander: “Ik roep alle collega’s bij de overheid op, het gesprek te voeren met de CISO of informatiebeveiligingsadviseur. Ik ben ervan overtuigd dat cybersecurity iedereen aangaat en niet enkel van de afdeling IT is. Cybersecurity is een strategisch vraagstuk dat ook met regelmaat aan de hoogste bestuurstafel besproken moet worden. Weten wat je moet doen bij een cyberincident is belangrijk om cybercriminelen een stap voor te zijn, om de dreiging af te wenden en eventuele schade te beperken. Dus oefenen, oefenen en nog eens oefenen om beter voorbereid te zijn op verschillende vormen van digitale ontwrichting is essentieel. Dit stimuleert het ministerie van BZK door continu activiteiten te organiseren over het thema cybersecurity. Op de website www.weerbaredigitaleoverheid.nl is het programma te vinden. Het is niet alleen interessant voor de IT-professional of manager, maar juist ook voor de bestuurder.”

Hoe werken jullie gezamenlijk verder aan de digitale veiligheid van de overheid?

Hans de Vries: “Het Nationaal Cyber Security Centrum (NCSC) is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. We brengen kennis en expertise uit publieke en private sectoren bij elkaar. Op deze manier ontstaat er meer inzicht in ontwikkelingen, dreigingen en trends en kan er meer ondersteuning worden gegeven bij incidentafhandeling en crisisbesluitvorming op het gebied van digitale veiligheid. Daarnaast coördineert het NCSC de operationele aanpak van cyberincidenten met een grote impact voor de Nederlandse samenleving. Verder opereren we in een internationale omgeving, digitalisering kent tenslotte geen grenzen.”
Bas den Hollander: “BZK draagt stelselverantwoordelijkheid voor de digitale veiligheid van het openbaar bestuur. Vanuit die rol willen we medeoverheden vooral stimuleren en ondersteunen wanneer daar behoefte aan is. Dit uit zich onder andere in het stellen van kaders zoals de Baseline Informatieveiligheid Overheid (BIO) en het helpen met oefenen door het organiseren van de Overheidsbrede Cyberoefening. Tevens werken we aan handreikingen en initiatieven die overheden helpen bij het risico-gestuurd nemen van maatregelen. De laatste jaren zien we dat hier grote stappen in worden gemaakt, maar het werkveld verandert ook snel. Intensievere digitale samenwerking zorgt er bijvoorbeeld voor dat er meer oog moet zijn voor risico’s binnen ketens en dat het scherp moet zijn wie waarvoor verantwoordelijk is. Burgers moeten ervan uit kunnen gaan dat de overheid zorgvuldig met hun gegevens omgaat.”
Jos de Groot: “Ik wil de nieuwe ICO (Inkoopeisen Cybersecurity Overheid)-Wizard uitlichten, die samen met het ministerie van BZK tot stand is gebracht. Deze tool ondersteunt alle overheidslagen bij de inkoop/aanbesteding van veilige hard- en software. Hiermee selecteert de inkopende overheidspartij een cybersecurity gerelateerd eisenpakket dat past bij de ICT diensten en producten die men aanbesteedt. De doelstelling blijft om deze cybersecurity inkoopeisen te gaan hanteren voor alle overheidslagen als een uitwerking van de BIO. Daarnaast ziet de overheid het als haar taak goed voorbeeld te geven, haar rol als goed opdrachtgever te versterken en daarmee ook een algemene beweging in de markt te stimuleren naar het ontwikkelen en aanbieden van veilige ICT-producten en diensten voor de hele samenleving. Cyberweerbaarheid is het einddoel en dat zal de komende jaren grote inspanningen van de overheid en het bedrijfsleven vragen.”