Op verzoek van de Tweede Kamer werken de cio's van departementen aan een plan om het TIBER framework uit te rollen binnen het rijk. In het CIO-beraad staat volgende maand een eerste voorstel op de agenda. TIBER staat voor Threat Intelligence-based Ethical Red Teaming en is ontwikkeld door de Europese Centrale Bank (ECB).
Lourens Visser is CIO Rijk | Beeld: De Beeldredaktie
Tijdens het CIO-café van 8 februari jl. met CIO Rijk Lourens Visser en Emine Özyenici, CIO en hoofddirecteur Bedrijfsvoering van het ministerie van Justitie en Veiligheid (JenV) werd een toelicht gegeven op de plannen. Özyenici is trekker van het I-strategiethema digitale weerbaarheid,
“We onderzoeken hoe we TIBER brengen binnen het rijk, we zitten nu in de onderzoeksfase,” vertelde Visser. Dat gebeurt op een planmatige wijze. “In maart ligt een eerste voorstel in het CIO-beraad. Daar zal oud-pSG van JenV Nicole Stolk aanwezig zijn. Zijn is nu lid van de Raad van Bestuur van de Nederlandse Bank (DNB).
Onderdeel van het TIBER-framworke is Red Teaming. Diverse overheidsorganisaties zijn hiermee al aan de slag gegaan. Zo lieten de ministeries van Justitie en Veiligheid (JenV) en Financiën dit jaar hun eigen ICT-systemen deskundig aanvallen door een ingehuurde partij.
Een meerderheid van de partijen in de Tweede Kamer gaf in oktober 2021 aan dat werd onderzocht of er een ‘cyberstresstest’ bij de rijksoverheid komt, net zoals nu bij banken het geval is. Kamerleden van VVD, CDA, ChristenUnie, PvdA, BoerBurgerBeweging, JA21, Fractie Den Haan, D66, Volt DENK en de Socialistische Partij dienden een motie in waarin ze stelden dat de TIBER-testen een bijdrage kunnen leveren aan de digitale veiligheid van de rijksoverheid.
De financiële sector werkt al langer samen om beter bestand te zijn tegen cyberaanvallen. Dit gebeurt binnen het programma TIBER-NL, dat wordt geleid door de Cyber Unit van De Nederlandsche Bank (DNB).
TIBER staat voor Threat Intelligence Based Ethical Red-teaming. Binnen dit programma testen financiële instellingen hoe weerbaar ze zijn tegen geavanceerde cyberaanvallen. Dit gebeurt met testaanvallen, die zijn gebaseerd op realistische dreiging. Ze worden uitgevoerd door cybersecuritybedrijven en begeleid door DNB. Een instelling kan niet slagen of zakken voor zo’n test. Doel is om inzicht te krijgen in haar sterke en zwakke punten en om beter te worden. Instellingen delen hun ervaringen en verbeterplannen met elkaar. Zo profiteert de gehele sector van een test.
