Digitale weerbaarheid vereist breed blikveld
“Cyberveiligheid is een vast onderdeel geworden van onze bedrijfsvoering. Maar we zijn er nog niet. Buitenshuis met onze partners, en binnen de overheid moeten we echt nog stappen zetten”, zegt Sjoerd Potters, burgemeester van gemeente De Bilt.
In 2020 was Potters voorzitter van het crisisteam tijdens de Overheidsbrede Cyberoefening. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties organiseert deze oefening dit jaar voor de vijfde keer, op maandag 30 oktober. Als je kijkt naar de ontwikkeling die deze oefening de afgelopen vijf jaar doormaakte, dan zie je veel parallellen met hoe de overheid zich op het gebied van cyberveiligheid ontwikkelde, vertelt Suzie Kewal, coördinator van het team Informatieveiligheid bij BZK. Zij nam vijf jaar geleden het initiatief tot de Overheidsbrede Cyberoefening: “Steeds meer organisaties sluiten zich aan. De betrokkenheid bij dit onderwerp is toegenomen, het is onderwerp van gesprek op de bestuurstafels. Ook het besef dat alertheid te alle tijden nodig is, is er inmiddels.”
Groeiend netwerk
Tijdens de Overheidsbrede Cyberoefening gaat een crisisteam aan de slag met een cyberuitdaging en kunnen deelnemers online meedoen. Daarnaast kunnen organisaties simultaan mee-oefenen. Ze krijgen dezelfde uitdaging die ze met hun eigen gevormde crisisteam aangaan. Vorig jaar werd deze mogelijkheid voor de eerste keer aangeboden en daar was meteen veel animo voor, vertelt Bill Kuipers, als programmamanager vanuit ICTU verantwoordelijk voor de organisatie van de oefening: “Er deden toen ruim 100 organisaties aan mee, meer dan we hadden verwacht. Voor deze editie hebben zich ook weer zo’n 100 organisaties opgegeven uit alle delen van de overheid.” De oefening staat niet op zichzelf, want het Overheidsbreed Cyberprogramma is de afgelopen jaren gegroeid tot een webinarprogramma, podcasts, masterclass en andere onderdelen. Kewal: “Diverse overheidsorganisaties verzorgen webinars over heel uiteenlopende onderwerpen, zowel technisch als bestuurlijk. Ik vind het heel mooi om te zien hoe dit netwerk de afgelopen vijf jaar is gegroeid.”
Kennisdelen en samenwerken
Dat de aandacht en de bewustwording rondom cyberveiligheid zijn gegroeid, ook op de bestuurstafels, kan Potters beamen: “Cyberveiligheid was vijf jaar geleden wel een gespreksonderwerp, maar het werd niet erg operationeel gemaakt. Nu is het een onderdeel van onze bedrijfsvoering en we zijn er wekelijks, soms dagelijks, mee bezig. Ik merk het ook bij mijn medebestuurders: de bewustwording dat we kwetsbaar zijn en dat we continu moeten werken aan onze digitale weerbaarheid. Dat is echt een groot verschil met vijf jaar geleden.”
Hij noemt een voorbeeld uit de praktijk: “We hadden een aantal jaar geleden een datalek bij een camerasysteem dat we extern inhuurden. Toen stonden we er niet bij stil dat dat kon gebeuren, nu maken we hier met onze leveranciers aan de voorkant afspraken over.” Kewal ziet nog een andere ontwikkeling bij de overheid: er wordt veel meer samengewerkt en kennis gedeeld.
“Overheidsorganisaties zijn zich er steeds meer van bewust dat ze van elkaar kunnen leren en dat het delen van informatie en kennis essentieel is. Je ziet een verschuiving van opereren in eilandjes naar samenwerken in de keten.”
Oefen in de regio
De overheid heeft dus grote stappen gezet, maar is er nog niet, zegt Potters. “Binnen de overheid als geheel is het nog onvoldoende duidelijk wie waarvoor verantwoordelijk is bij een grootschalige verstoring. Wanneer wordt een lokale of regionale crisis nationaal en andersom? En wie doet dan wat? Daar moeten we binnen de overheid betere afspraken over maken. En dan bedoel ik niet het maken van een beleidsplan. Maar wel dat je elkaars telefoonnummer hebt en weet waar je elkaar tijdens een crisis op kunt aanspreken.” Ook zou de overheid veel meer moeten oefenen, niet alleen binnen de eigen organisatie, maar juist ook in de keten en de regio, stelt hij. “Want dan kom je erachter wat er beter kan. Wij deden vorig jaar een cyberoefening met de Veiligheidsregio. Op dezelfde manier waarop we een fysieke crisis oefenen. Ik zal eerlijk zijn: dat ging best moeizaam.” De gemeente leerde veel van de oefening. Bijvoorbeeld dat de mensen uit het veiligheidsdomein hun IT-collega’s moeten kennen, zodat ze elkaar beter begrijpen. En dat de structuren die in werking treden bij een fysieke crisis, ook bruikbaar zijn bij een cybercrisis. “Met zo’n structuur is onder meer duidelijk wanneer je moet op- en afschalen en zijn de rollen helder. Dat hebben we rondom digitale veiligheid niet en dat zou wel moeten. Want hoe je in de eerste uren van een crisis reageert, is cruciaal voor de verdere afhandeling.”
Breder blikveld
Concluderend: de overheid heeft een goede ontwikkeling ingezet, maar heeft nog wel een weg te gaan. Kewal: “Digitale weerbaarheid vraagt meer dan alleen informatieveiligheid. Een breder blikveld is nodig, waarbij zowel technologische ontwikkelingen, wetgeving en ethiek aan bod komen. Als we over vijf jaar terugkijken, dan hoop ik een overheid te zien die adequaat reageert en de vraagstukken rondom digitale weerbaarheid vanuit een multidisciplinaire en risicogebaseerde aanpak aanvliegt.” Dat bereik je onder meer door te oefenen. Komend jaar doet de gemeente De Bilt met alle gemeenten in de Veiligheidsregio een cyberoefening. Potters: “Ik vind dat elke veiligheidsregio dit zou moeten doen. Want alleen als je oefent, ben je voorbereid.”
Meer informatie en aanmelden voor het overheidsbreed Cyperprogramma. Of kijk LinkedIn.
Kijk hier voor het mee-oefenen met de Overheidsbrede Cyberoefening op 30 oktober a.s.
