De cybercrimineel rammelt 24/7 aan de ICT-poort, ook aan die van de Rijksoverheid. Digitale weerbaarheid vergt een nog intensievere samenwerking tussen ministeries en uitvoeringsorganisaties. En daar wil de I-strategie Rijk op inzetten. Een interview met Emine Özyenici, CIO ministerie van Justitie en Veiligheid, Aart Jochem, CISO bij het Rijk en Maarten Jonker, CIO UWV.
V.l.n.r.: Emine Özyenici, Aart Jochem, en Maarten Jonker.
De hybride oorlogsvoering in Oekraïne onderschrijft maar weer eens de noodzaak van digitale weerbaarheid, ook voor de Nederlandse Rijksoverheid. Aan de bloedige fysieke strijd gingen wekenlang cyberaanvallen vooraf, die de websites van ministeries en andere overheidsinstanties platlegden. Om nog maar te zwijgen over de impact van HermeticWyper. Dit virus dat de digitale infrastructuur compleet kan vermorzelen bleek al langer in ICT-systemen aanwezig en werd met één druk op de knop geactiveerd. Het Cybersecuritybeeld Nederland 2021 bevestigt de acute dreiging van statelijke actoren en criminele hackers. Digitale weerbaarheid kreeg dan ook terecht een eigen hoofdstuk in de I-strategie Rijk, stelt hoofddirecteur bedrijfsvoering en CIO Emine Özyenici van het ministerie van Justitie en Veiligheid. “Cybersecurity vergt permanente aandacht. Of het nu om aanvallen van statelijke actoren of om menselijke fouten binnen je eigen organisatie gaat, je loopt continu het risico dat primaire processen stuk lopen of vitale infrastructuur ondermijnd wordt.”
“De samenwerking tussen beleid en uitvoering is cruciaal.”
Özyenici trekt het thema in de I-strategie Rijk. Haar voorganger bij JenV had dat in het CIO-beraad van het Rijk al toebedeeld gekregen. Özyenici kwam bij de afronding van de I-strategie medio vorig jaar terug naar het ministerie vanuit haar functie van CIO bij de Sociale Verzekeringsbank. “Ik gaf direct aan dat ik dit onderwerp graag wilde doen. Het ligt me na aan het hart.” Dat het thema bij JenV terechtkwam, behoeft weinig uitleg. Het ministerie is nauw bij de uitvoering betrokken en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Center (NCSC) vallen onder het departement. “We zouden geen knip voor de neus waard zijn, als we dit thema beleidsmatig hadden laten schieten”, zegt Özyenici die bij het fijn slijpen van het hoofdstuk steun kreeg van CIO Maarten Jonker van het UWV en Aart Jochem, sinds eind 2020 de eerste Chief Information Security Officer (CISO) bij het Rijk, beiden lid van het CIO-beraad. “De samenwerking tussen beleid en uitvoering is cruciaal. Feitelijk veiligheid creëren doe je in de uitvoeringsorganisaties zelf, waar de uitval van systemen grote impact heeft. Samen optrekken is steeds belangrijker bij cybersecurity. We moeten elkaar nog beter weten te vinden.”
Security Operation Center
De hamvraag is hoe je de digitale weerbaarheid over de ministeries en uitvoeringsorganisaties heen kunt borgen. De Rijksoverheid is immers een netwerkorganisatie geworden, die intern en extern werkt in een ICT-infrastructuur die over de grenzen van organisaties heen gaat. Vaak ligt de oorzaak van een incident daarbuiten, denk aan de recente horror rond Log4j, de veelgebruikte software die activiteiten registreert op webservers. Ministeries en uitvoeringsorganisaties hebben een eigen of een gedeeld Security Operation Center (SOC). Elk departement is namelijk zelfstandig verantwoordelijk voor de beveiliging van informatie en persoonsgegevens. Zelfs binnen departementen bestaan onderdelen met een eigen verantwoordelijkheid. Zaak, stelt Jochem, is intensief samen te werken zodat alle organisaties binnen het Rijk op hetzelfde informatieniveau zitten. “De grote SOC’s doen dat al. Nu de kleintjes nog. Je kunt veel van elkaar leren, bijvoorbeeld over welke ICT-producten je gebruikt en wat de kwetsbaarheden hiervan zijn.
“In het delen van monitoring-informatie is een efficiencyslag nodig.”
Ook de monitoringfunctie is wezenlijk. Welke dreigingen zijn er? Kom je veiligheidsrisico’s tegen, op welk niveau ga je die dan beantwoorden?” Sommige onderdelen van de Rijksoverheid zijn een voor de hand liggend doelwit en worden bijna dagelijks aangevallen, aldus Jochem. DDos-aanvallen op overheidsdiensten hebben voor uitval gezorgd. “Waar we nog aan moeten werken, en dat staat ook in de I-strategie, is de hele linie van monitoring bij de SOC’s voor elkaar te krijgen. Het zijn soms kleine organisaties met weinig ICT-deskundigheid. De ervaring leert dat de zwakke broeders het eerst worden aangevallen.” Jonker trekt een parallel met de aanpak van de waterveiligheid. “De dijken staan er, maar de dijkbewaking moet naar een hoger level. De toenemende cyberdreigingen doen het waterpeil stijgen. In het delen van monitoring-informatie is een efficiencyslag nodig.”
Centraal-decentraal
Maar waarom dan geen centrale organisatie om van de hele Rijksoverheid de cyberveiligheid te regelen? “We hebben er in het CIO-beraad lang over gediscussieerd of er een centraal SOC zou moeten komen”, zegt Jonker. “Zowel voor centraal als decentraal valt wat te zeggen. Het voordeel van centraal is duidelijk: je hebt veel meer slagkracht. Alleen mis je bij een centraal SOC alle specifieke kennis van het bedrijfsproces en de applicaties van de betrokken organisaties. Deze lokale kennis is onontbeerlijk om ervoor te kunnen zorgen dat je digitale beveiligingsproces goed loopt. We hebben daarom voor ‘en-en’ gekozen. Iedereen heeft zoveel mogelijk een eigen SOC met mensen die de lokale situatie goed kennen. Daarnaast zijn we nu een centraal niveau met medewerkers op aan het bouwen, die de SOC’s zo goed mogelijk bijstaan.”
“Logisch is dat organisaties een eigen SOC houden, want daar ligt ook de verantwoordelijkheid.”
In het Landelijk Dekkend Stelsel vormt het NCSC samen met de SOC’s en de CERT’s (computer emergency response teams) van de verschillende overheidsorganisaties een netwerk van informatieknooppunten waar op een snelle en veilige manier veiligheidsinformatie uitgewisseld kan worden. De inzet in de I-strategie is erop gericht dit stelsel verder uit te bouwen en te verbeteren, verduidelijkt Özyenici. “We kunnen beter op ontwikkelingen inspelen door resources te delen of door kleinere organisaties die geen SOC hebben, concreet bij te staan als zich dreigingen voordoen. Logisch is dat organisaties een eigen SOC houden, want daar ligt ook de verantwoordelijkheid. Je kunt zoiets niet in handen leggen van een orgaan dat op afstand staat en het wel even voor je regelt. Binnen het stelsel kunnen we specialisaties binnen de SOC’s toewijzen. ICT-kennis bij de Rijksoverheid is schaars. Intussen komt cybercriminaliteit in steeds meer verschijningsvormen. Het is lastig in je eigen organisatie alle takken van sport in huis te hebben. Dat maakt het wel weer ingewikkelder, want je moet dan wel snel met andere SOC’s kunnen schakelen.”