De overheid is al jaren bezig met een stille, maar massale wervingsoperatie. Binnenlands Bestuur doorzocht in de vacaturebank werkenbijdeoverheid.nl vacatures die direct of indirect betrekking hebben op cybersecurity. Op basis van de telling ontstaat het beeld van een overheid die naarstig op zoek is naar een ‘leger’ aan mensen om haar digitale weerbaarheid te versterken.
Maak kennis met het digitale leger dat de overheid zoekt
Maandelijks verschijnen grote aantallen vacatures voor cybersecurityfuncties bij gemeenten, ministeries en uitvoeringsorganisaties. Alleen al in oktober van afgelopen jaar ging het om 144 nieuwe functies, zo blijkt uit een inventarisatie van Binnenlands Bestuur. Wie dat aantal doortrekt naar een volledig jaar, komt uit op ongeveer 1.700 vacatures. Saillant: in één op zes vacatures wordt gevraagd om ervaring met Microsoft.
De te vervullen functies hebben vrijwel allemaal betrekking op het beschermen van systemen of complete ketens, of op het analyseren van digitale dreigingen. Daaruit blijkt dat cybersecurity al lang geen niche meer is, maar een kernonderdeel van het functioneren van de overheid. Opmerkelijk is het aantal waarin gevraagd wordt om ervaring of kennis van Windows-producten (25 vacatures), terwijl de overheid inmiddels uitspreekt zich los te willen maken van de Amerikaanse techreuzen. Defensie is de absolute vacaturekoploper met 30 geplaatste vacatures. Het ministerie van Binnenlandse Zaken volgt met 24 vacatures, waaronder functies bij ICTU, SSC-ICT en Logius.
Omgekeerde piramide
De vacatureteksten geven een beeld van hoe breed en dringend de zoektocht is. Er wordt onder meer gezocht naar dreigingsanalisten, informatiebeveiligers, monitoringsspecialisten, data-architecten en beleidsadviseurs. Opvallend is dat de instroomdrempels erg hoog liggen. De functies zijn vaak gekoppeld aan zeer specifieke en zeldzame profielen.
De werving lijkt een omgekeerde piramide te volgen. Onderaan bevindt zich een kleine groep mbo’ers die systemen operationeel houden, in totaal 18 vacatures. Daarboven wordt gezocht naar een brede hbo-laag die de operationele ruggengraat vormt (55 vacatures). En aan de top bevindt zich met 71 vacatures een omvangrijke groep academisch geschoolde specialisten die met een strategische blik werken aan een veiligere digitale overheid.
Terwijl beleidsmakers spreken over digitale autonomie, blijkt uit de vacatures juist een afhankelijkheid van Amerikaanse techreuzen.
Wat in de inventarisatie ook opvalt, is dat bij 69 van de 144 oktober vacatures een AIVD-veiligheidsonderzoek verplicht is. Zo’n screening kan weken tot maanden duren en omvat onder meer een sociale-media-check en achtergrondonderzoek. Defensie waarschuwt kandidaten expliciet dat de procedure minimaal acht weken in beslag neemt. In een arbeidsmarkt waarin cybersecurityspecialisten wereldwijd worden weggekaapt, vormt dat een forse rem op de instroom.
Veel eisenpakketten zijn zeer specifiek. Soms lijkt het op basis van de vereisten haast alsof er drie functies in één vacature zijn samengevoegd: jarenlange relevante werkervaring, een passende wo-opleiding, diepgaande kennis van architectuurontwerp én een flink aantal certificeringen zijn vaak nodig. De overheid worstelt bovendien met haar technologische positie. Terwijl beleidsmakers spreken over digitale autonomie, blijkt uit de vacatures juist een afhankelijkheid van Amerikaanse techreuzen. In 25 functies wordt expliciet Windows-ervaring gevraagd. Termen als Azure, Active Directory, SharePoint en Office 365 keren voortdurend terug. Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) benoemt deze spagaat in een vacature: ‘We zoeken iemand die M365 als basis heeft, maar in de toekomst openstaat voor nieuwe ontwikkelingen buiten het Microsoft-platform.’
Dagelijkse noodzaak
Voor sommige organisaties is cybersecurity geen abstract beleidsdoel, maar een dagelijkse noodzaak. In landen met zeer uiteenlopende infrastructuren moet Buitenlandse Zaken met 250 medewerkers meer dan 5.700 collega’s wereldwijd digitaal ondersteunen. ‘We zorgen ervoor dat BZ-collega’s wereldwijd hun werk kunnen doen met zo veilig mogelijke ICT,’ schrijven zij. Bij Rijkswaterstaat raakt digitalisering direct aan fysieke veiligheid. Denk aan verkeerssystemen, waterbeheer en sluizen.
Er wordt momenteel flink geïnvesteerd in de ICT van Defensie. Die organisatie blijkt, logischerwijs, de meeste vacatures uit te hebben staan. In één maand werden daar ruim dertig ICT-vacatures geplaatst. Zo wordt er door Defensie voor allerlei IT-profielen naar versterking gezocht: van helpdesk- en beheerderfuncties op mbo-niveau tot diverse adviesfuncties voor online beveiliging en wetenschappers die militaire besluitvorming wetenschappelijk moeten ondersteunen.
De inventarisatie maakt duidelijk dat Defensie en de Belastingdienst de grootste aandelen hebben in IT-vacatures, maar ook dat de overheid over de volle breedte volop IT’ers zoekt. Het aantal nieuwe vacatures in november en december nam licht af, maar bleef elke maand ruim boven de honderd.
Nijpende spagaat
Henk Volberda, hoogleraar Strategie en Innovatie aan de Universiteit van Amsterdam, stelt dat de overheid zich in een steeds nijpender spagaat bevindt: de urgentie groeit snel, terwijl het steeds moeilijker wordt om het juiste talent te vinden en vast te houden. Dat cybersecurity nu zoveel aandacht krijgt, verbaast hem niet. In de innovatiemonitor waar hij aan werkt, is het onderwerp inmiddels dominant geworden. Organisaties worden steeds vaker gehackt en weerbaarheid staat daardoor hoog op de agenda.
Volgens Volberda is de kern van het probleem vooral de schaarste aan arbeidskrachten. Voor mensen met cybersecuritykennis en ervaring geldt die schaarste nog sterker. Hoewel universiteiten steeds meer opleidingen aanbieden op het gebied van data science en business analytics, blijft de vraag groter dan het aanbod. Overheidsorganisaties concurreren bovendien met bedrijven die volgens hem ‘toch net iets beter betalen’. Vooral op wo-niveau zijn geschikte kandidaten moeilijk te vinden.
Daar komt bij dat de lat voor cybersecurity voortdurend hoger wordt gelegd. Volberda spreekt van een vierde industriële revolutie waarin AI en technologieën als kwantumcomputing de beveiligingseisen ‘kwadratisch verhogen’. Hij waarschuwt voor de zogenoemde Q-day: het moment waarop kwantumcomputers traditionele authenticatie en wachtwoorden kunnen kraken. Wat hem betreft zou de overheid nu al moeten inzetten op IT’ers die goed op de hoogte zijn van deze ontwikkelingen.
Wat er gevraagd wordt, is ‘het schaap met vijf poten’: een zware opleiding én jaren werkervaring.
Criminele organisaties verzamelen nu al data in wat hij ‘harvest now, exploit later’ noemt. De gegevens worden opgeslagen om later, zodra kwantum volwassen is, te worden misbruikt. Dat zet de toekomstige cybersecurity onder grote druk. Volberda pleit dan ook voor structurele samenwerking met universiteiten, met maatwerkprogramma’s waarin mensen in een jaar worden klaargestoomd, vergelijkbaar met bestaande trajecten in AI en big data. In verkiezingsprogramma’s is digitale soevereiniteit een speerpunt, maar volgens Volberda zou de overheid al blij zijn als de eigen beveiliging en data-infrastructuur op orde zijn. De ambitie is dus groot, maar de praktijk weerbarstig.
Mismatch met grote groep mensen
Astrid Oosenbrug, medeoprichter van de DIVD Academy (The Dutch Institute for Vulnerability Disclosure), plaatst kanttekeningen bij de manier waarop de overheid het tekort benadert. Volgens haar wordt al jaren over dezelfde mismatch gesproken, maar verandert er structureel weinig. ‘We praten hier al heel lang over, maar ondertussen blijft de deur voor een grote groep mensen dicht.’
Wat haar betreft moet de focus verschuiven van diploma’s naar vaardigheden. De overheid moet ‘zoeken naar skills, niet alleen naar welk diploma iemand heeft.’ De huidige functieprofielen zijn haars inziens vaak onrealistisch. Wat er gevraagd wordt, is ‘het schaap met vijf poten’: een zware opleiding én jaren werkervaring. Dat sluit mensen uit die het werk inhoudelijk wel degelijk aankunnen. Het wil volgens haar niet zeggen dat iemand met een mbo-opleiding dit werk niet zou kunnen. Op de lange termijn ziet zij een gebrek aan strategische keuzes, zeker nu het werkveld verandert door de groei van operationele technologie (OT). OT wordt steeds belangrijker en vraagt om andere profielen dan de klassieke pentester, stelt Oosenbrug. ‘De overheid moet nu investeren, zodat zij niet over tien jaar moet constateren dat het probleem al zichtbaar was maar niet is aangepakt.’
Een belangrijk deel van de oplossing ligt volgens haar in stages en begeleiding. Maar juist daar loopt het vast. Werkgevers haken af vanwege administratieve verplichtingen; zij hoort vaak dat er ‘zoveel rompslomp’ bij komt kijken. Daarnaast gelden formele eisen zoals erkenning als leerbedrijf en voldoende begeleiders. Het gevolg is dat jongeren moeilijk aan een stageplek komen. ‘Sommigen krijgen zelfs zoveel afwijzingen dat zij hun studie moeten opgeven.’ Daarmee gaan volgens Oosenbrug precies de talenten verloren die de overheid zegt nodig te hebben.
Digitale soevereiniteit is niet alleen een technologische keuze, maar vooral een investering in mensen en hun basisvaardigheden.
Leermarkt geannexeerd door Big Tech
Vrijwel iedere grote overheidsorganisatie draait op Microsoft-technologie. Ervaring met producten van deze grootmacht wordt in maar liefst 25 functies geëist en diensten als Azure, Active Directory, SharePoint en Office 365 komen in de vacaturedata voortdurend terug. Cybersecurity-expert Inge Bryan pleit voor een fundamentele herijking van hoe de overheid naar IT-kennis kijkt. Dat één op zes cybersecurity-vacatures kennis van Microsoft-producten vereist, vindt Bryan ‘nog enigszins meevallen’. Volgens haar is de leermarkt de afgelopen jaren ‘geannexeerd’ door Big Tech en worden carrières te veel opgebouwd rond certificaten van vendors zoals Microsoft. ‘Dat is nu marktbepalend en daar moeten we echt vanaf’, zegt Bryan. In plaats daarvan moeten organisaties terug naar wat zij noemt de klassieke IT-vaardigheden: ‘brede kennis van infrastructuur, netwerken, architectuur en security, los van specifieke leveranciers.’
Digitale soevereiniteit vraagt volgens Bryan dan ook om investeren in eigen expertise, ‘meer kennis opbouwen van open-sourceonderdelen in de eigen IT-infrastructuur’. Niet iedereen hoeft alles zelf te bouwen, benadrukt ze, maar er moet wel meer oog komen voor het kunnen werken aan compatibiliteit en interoperabiliteit. Die omslag is niet alleen technisch, maar ook cultureel. Bryan wijst op mogelijke weerstand binnen organisaties: ‘Veel mensen zeggen: er zijn geen alternatieven. Maar degenen die hun carrière volledig hebben laten bepalen door dit soort certificaten, die zijn natuurlijk tegen.’ Wie digitale soevereiniteit serieus neemt, moet volgens Bryan daarom ook investeren in omscholing en het bieden van alternatieven aan medewerkers. Digitale soevereiniteit is daarmee voor haar niet alleen een technologische keuze, maar vooral een investering in mensen en hun basisvaardigheden.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.