In 2020 werd de digitale samenleving en ook de overheid zwaar op de proef gesteld. Uit verschillende incidenten bleek hoe inventief, veerkrachtig maar tegelijk ook kwetsbaar de Rijksoverheid is. Een interview met Bas den Hollander - directeur directie Digitale Overheid en Désirée Geerts, MT-lid directie Digitale Overheid.
Bas den Hollander en Désirée Geerts. “Met regelmatig oefenen verhogen overheden hun digitale weerbaarheid.” Beeld: Hans Tak
Het begon met de Citrixcrisis in januari. Softwarebedrijf Citrix maakte begin van het jaar bekend dat er een ernstige kwetsbaarheid was ontdekt, waardoor het mogelijk was om op het interne netwerk van verschillende organisaties te komen. Helaas was er niet direct een oplossing om het lek te dichten. Uit voorzorg schakelden veel bedrijven, overheden en instellingen de Citrix-omgeving volledig uit. De medewerkers konden daardoor tijdelijk niet vanuit huis werken.
Cyberaanvallen
Vervolgens kwam daar de coronacrisis achteraan. Al vrij snel na het uitbreken van de Covid-19 pandemie waren er aanwijzingen dat cybercriminelen de situatie misbruikten om cyberaanvallen uit te voeren. Hoe kijken Bas den Hollander, directeur van de directie Digitale Overheid bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en Désirée Geerts, MT-lid bij diezelfde directie hier tegenaan? En wat is volgens hen het belang van overheidsbrede samenwerking, het leren van incidenten en overheidsbreed oefenen?
Veilige digitale dienstverlening
Een veilige digitale dienstverlening aan burgers en ondernemers is ook in crisistijd van essentieel belang. “Vanaf de start van de coronacrisis bleef de overheid 24/7 online bereikbaar”, vertelt Den Hollander. “Door samenwerking tussen verschillende bestuurslagen en door de verschillende maatregelen die al voor het uitbreken van de crisis zijn genomen, bleken voorzieningen van de digitale overheid voldoende opgewassen tegen aanvallen. Tijdens Citrix en de coronacrisis heeft de overheid laten zien hoe krachtig grenzeloze samenwerking is op het gebied van cybersecurity. Goede en veilige digitale dienstverlening is en blijft een belangrijk punt van aandacht”, aldus Den Hollander. In de agenda Digitale Overheid NL DIGIbeter werd al eerder de focus gelegd op cyberveiligheid en worden concrete acties benoemd om die samenwerking te bevorderen.
Een taal bij informatieveiligheid
Eén van de acties uit NLDIGIbeter die valt onder de pijler informatieveiligheid is de implementatie van de BIO, de Baseline informatiebeveiliging overheid. “Door één gezamenlijke taal op informatieveiligheid te hanteren, creëer je betere afstemming binnen ketens van overheden en andere relevante partijen”, voegt Geerts toe. “De BIO bundelt de afzonderlijke baselines per overheidslaag (Rijk, provincies, waterschappen en gemeenten) en is in feite de kapstok voor informatiebeveiliging”. De implementatie van de BIO bij alle overheden is gestart in januari 2019. De BIO vervangt de bestaande baselines voor Rijk, gemeenten, waterschappen en provincies. Van BIG, BIR, IBI en BIWA naar BIO. Hiermee ontstaat één basisniveau voor informatiebeveiliging binnen de gehele overheid. Eén gezamenlijke taal voor alle overheidsorganisaties. “Een enorme winst op het gebied van informatieveiligheid”, aldus Geerts.
Oefenen, ervaren, ontmoeten
Geerts: “Wil je je rijbewijs halen? Bij het Centraal Bureau Rijvaardigheidsbewijzen (CBR) leg je een theorie-examen én praktijkexamen af. Je laat zien dat je alle vaardigheden onder de knie hebt. Datzelfde geldt ook als het om informatieveiligheid gaat. Oefenen, ervaren, het “praktijkexamen” doorstaan”. Den Hollander voegt daar aan toe: “Met regelmatig oefenen verhogen overheden hun digitale weerbaarheid. Leren van elkaars ervaringen versterkt de samenwerking, dan zijn we beter voorbereid op potentiële ontwrichting bij een incident in het digitale domein. Want, hoe je het ook wendt of keert: het is niet de vraag óf een overheidsorganisatie gehackt wordt of anderszins getroffen, maar wanneer”. Hoe hard we ook werken om dit met z’n allen te voorkomen. Goed voorbereid zijn als overheid is dan ook van cruciaal belang volgens beiden. Om digitale ontwrichting te voorkomen. Om alle digitale dienstverlening veilig en bereikbaar te houden. Zodat de maatschappij en de economie blijven draaien.
Overheidsbreed oefenen
Om die reden vindt dit jaar de tweede Overheidsbrede Cyberoefening plaats. Den Hollander: “Uit de evaluatie van vorig jaar bleek dat ruim 96 procent een tweede overheidsbrede cyberoefening wilde. Dan vind ik dat we daar ook werk van moeten maken.” Dat enthousiasme vernam Den Hollander ook in de zaal en tijdens de diverse breakoutsessies. “Naast het meegeven van handelingsperspectief biedt zo’n bijeenkomst ook gelegenheid om te netwerken en kennis te delen. Dat maakt een initiatief als de Overheidsbrede Cyberoefening ook zo waardevol”, voegt Den Hollander toe. Geerts vult aan: “Ik zie het ook als de leerfasen van Maslow. Uiteindelijk willen we als overheid bewust-bekwaam worden in de aanpak van incidenten en crises. Door structureel te oefenen worden we als overheid behendiger in het aanpakken van dergelijke situaties. Je moet het een paar keer hebben gedaan en ervaren, om beter te weten hoe je moet handelen wanneer het zich echt voor doet.”
Overheidsbrede Cyberoefening
Op maandag 26 oktober wordt de (online) Overheidsbrede Cyberoefening gehouden, georganiseerd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Trailer Overheidsbrede Cyberoefening
In oktober, tijdens Alert Online en de Europese maand van de cybersecurity, organiseren onder meer gemeenten, provincies en waterschappen diverse webinars onder de naam ‘Overheidsbrede Cyberwebinars’. Tijdens deze online sessies delen bestuurders en professionals uit verschillende overheidslagen hun lessons learned. Wat hebben zij het afgelopen jaar gedaan aan cyberveiligheid? Wat zijn hun best practices als het gaat om oefenen met cyberincidenten? Welke invloed heeft het coronavirus en het thuiswerken op de organisatieveiligheid?
In aanloop naar de bijeenkomsten in oktober, wordt op de website van iBestuur een aantal verhalen en blogs geplaatst met bestuurders en beslissers bij de (lokale) overheid. De verhalen en blogs zijn/worden in eerste instantie geplaatst op de website van digitaleoverheid.nl.