Overheid in transitie

NCSC-directeur Hans de Vries: ‘Soms neem ik de ruimte om te doen wat niet mag’

Hans de Vries, directeur van het Nationaal Cyber Security Centrum, begrijpt niet waarom digitale weerbaarheid in Nederland bestuurlijk nog steeds onvoldoende aandacht krijgt. Intussen neemt de ‘informatiemakelaar in hart en nieren’ soms besluiten die hij wel moet nemen. ‘Alles overziende neem ik dan mijn eigen verantwoordelijkheid.’

Beeld Lex Draijer | De Beeldredaktie

Zijn gedrevenheid (‘ik vind goed gebruik van digitalisering zo belangrijk dat ik daar mijn ziel en zaligheid in wil steken’) maakt ook dat hij zich regelmatig opwindt. Over ondernemers die hun zaken niet op orde hebben bijvoorbeeld.
Neem de kwetsbaarheid in Exchange Server van Microsoft eerder dit jaar waarbij hackers toegang kregen tot het hart van de e-maildienst voor tienduizenden bedrijven. Hans de Vries: “We gebruiken allemaal e-mail, het patch­gedrag [reparatie – red.] van organisaties blijft achter, met alle risico’s van dien. Ik zou zeggen: potverdorie, zie je als bedrijf nou niet waar je mee bezig bent? Er zijn veel meer voorbeelden te noemen. En ze hebben allemaal de volgende logica: maatregelen worden pas genomen als het te laat is. “Penny wise, pound foolish. Dat geeft aan dat het merendeel van de bedrijven zich nog steeds onvoldoende rekenschap geeft over wat de impact kan zijn.”

U bent groot voorstander van eigen verantwoordelijkheid van organisaties.
“Ja. Organisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en daarmee de keuzes die ze maken omtrent hun IT. Ze ontvangen steeds meer informatie over veiligheidsrisico’s zodat ze actie kunnen ondernemen.” Buigt zich over tafel: “Maar dat wil niet zeggen dat we 100% veiliger zijn want veel informatie ligt al gewoon bij die organisaties. Er zijn er zeker een aantal die het goed geregeld hebben, maar in het algemeen is het patchgedrag veel te traag. Met als gevolg dat je telkens achter de feiten aanloopt. Zonder dat je het in de gaten hebt wordt je bedrijf geïnfiltreerd door criminelen of gebruiken bitcoiners jouw infrastructuur om bitcoins te minen, of word je via ransomware klemgezet en betaal je miljoenen om los te komen. Veel bedrijven hebben niet meteen door dat er iemand binnen is. Het kan zijn dat criminelen al maanden in je systeem zitten. Als je fiets gestolen wordt mis je hem want hij staat er niet. Gestolen data mis je niet want het is er nog steeds.”

“De afstand tussen de IT’er en de boardroom is mij te groot. Het zijn nog steeds twee werelden.”

De risico’s worden blijkbaar niet goed ingeschat.
“Ja, het is als: ga ik vier ton uitgeven aan een nieuw apparaat of ga ik vier ton uitsparen omdat ik mijn aandeel­houders wil belonen. Terwijl je eigenlijk moet zeggen: ik moet de aandeelhouders op langere termijn goed bedienen door die vier ton plus twee ton reserve te steken in het continueren van noodzakelijke infrastructuur.”

Waarom gebeurt dat niet?
“De afstand tussen de IT’er en de boardroom is mij te groot. Het zijn nog steeds twee werelden. De boardroom krijgt de risico-inschatting niet goed mee.” De Vries heft zijn handen. “Terwijl het chefsache is! Je hebt hier zelf het voortouw te nemen. IT wordt niet voldoende op waarde geschat. Bedrijven denken nog steeds dat cybersecurity het domein is van de IT’er. Maar dan hebben ze het niet goed begrepen: digitaal weerbaar zijn is geen keuze meer, de gevolgen gaan veel verder dan hun eigen organisatie.”

Er is een verklaring in de maak waarmee bedrijven kunnen aantonen dat hun IT-systemen bestand zijn tegen misbruik. Banken en verzekeringsmaatschappijen kunnen zo’n verklaring laten meewegen bij de beslissing om te investeren. Wat vindt u daarvan?
Hij veert op. “Positief! Verzekeringsmaatschappijen en steeds meer overheden nemen cybersecurity serieus, via de audit of verzekeringskant. Externe druk dus. Dwang is nodig. Misschien moet de minister van Financiën zeggen: in jouw jaarrekening moet expliciet aandacht zijn voor cybersecurity en hoe dat in de organisatie vorm krijgt. Ik zou daar sterk voor pleiten. We staan nog steeds toe dat bestanden op onveilige wijze over het internet worden gestuurd omdat dat gewoon kan. In de zorg bestaat een veilig communicatieprotocol. De vraag is of een werkgever of scholengemeenschap dezelfde maatregelen neemt om veilig met die infrastructuur om te gaan. Het antwoord is vaak nee. Eigenlijk zou je dat wel moeten willen. We moeten meer sturen en publiek en privaat vaststellen welke eisen je stelt aan cybersecurity.”

Slap koord
Mr. Hans de Vries (Purmerend, 1964) hoefde de interviewvragen niet van tevoren te zien: hij kent zijn dossiers en weet wat zijn boodschap zal zijn aan de lezers van iBestuur (‘Denk jij: dat overkomt mij niet? Het overkomt je wel! Weet je niet wat je moet doen? Bel ons. En tot slot: kost dat geld? Ja dat kost geld. Maar de kosten gaan voor de baat uit.’) Wel wil hij de concepttekst nog graag even lezen. Glimlachend: “In mijn enthousiasme zeg ik soms dingen die ik beter anders had kunnen verwoorden.” Sinds 2019 valt het NCSC als zelfstandige taakorganisatie direct onder het ministerie van Justitie en
Veiligheid. De Vries: “Het meest ingewikkelde in mijn rol is dat ik als uitvoerder zeer nauw verbonden ben met het beleid van de minister. De lijnen zijn heel kort. Ik loop op een bewegend slap koord. Daar ben ik niet goed in. Omdat ik de afstand beleid-uitvoering te groot vind.”

Hij noemt zichzelf ‘een informatiemakelaar in hart en nieren’. Het bij elkaar brengen van partijen is zijn drive. “Als wij, direct of indirect, er uiteindelijk voor kunnen zorgen dat de bakker tot en met de GasUnie goed geholpen worden omdat wij op tijd informatie hebben gegeven, heb ik een blije dag.”

Elke dag is anders
Als kind wilde hij politieman en brandweerman worden, en later diplomaat. Grijnzend: “In dit vakgebied ben ik het nu alle drie.” Voor zijn aanstelling als hoofd (nu directeur) van het NCSC in 2014 deed hij jarenlang relevante ervaring op bij het ministerie van BZK, onder andere bij het Nationaal Bureau voor Verbindingsbeveiliging (NBV), als hoofd Regie bij de bedrijfsvoering van BZK en als hoofd ICT Beheer. “Een mega interessant speelveld”, zegt hij over zijn huidige functie. “Elke dag is anders.” Het NCSC verzamelt als nationale CERT informatie over kwetsbaarheden en deelt kennis met de overheid en het bedrijfsleven. Het is met 170 medewerkers het centrale informatie­knooppunt en expertisecentrum voor cybersecurity in Nederland.
Ondanks inspanningen van bedrijven en organisaties is Nederland digitaal nog niet weerbaar genoeg, constateerde het Cybersecuritybeeld Nederland 2021, opgesteld door het NCTV en het NCSC. “De digitale risico’s zijn onverminderd groot.” COVID-19 heeft de digitalisering van processen in een stroomversnelling gebracht. Er zijn amper nog processen zonder digitale component. Spionage, sabotage, inzet van ransomware en grootschalige uitval: het afgelopen jaar vonden talloze cyber­incidenten plaats in of in relatie tot Nederland.
Het fusion center van het NCSC, de meldkamer waar 24/7 data binnenkomen, ontvangt een groeiende hoeveelheid informatie over kwetsbare en geïnfecteerde systemen.

Van wie komen die data?
“Dat is vertrouwelijk. Je wordt gevoed. Door politie, inlichtingendiensten, buitenlandse collega’s en vele anderen.”

Het NCSC mag de informatie volgens de Wet beveiliging netwerk- en informatiesystemen (Wbni) alleen delen met de Rijksoverheid en organisaties en bedrijven uit de vitale sector. Er ligt een wetsvoorstel om de bevoegdheden van het NCSC uit te breiden.

Wetgeving is traag. Wat doet u in de tussentijd?
De Vries zucht. “Hoe zeg ik dit goed. Ehm, wetgeving houdt het tempo van veranderingen in de wereld van internet en cybersecurity niet bij. De wereld is na een maand weer veranderd, de flexibiliteit van wetgeving en de noodzakelijkheid om wendbaar te zijn, sporen niet. Dat merken wij dagelijks.”

Waaraan?
“Omdat we informatie krijgen die we vanwege de wettelijke bepalingen nu niet mogen doorgeven.”

“Digitale weerbaarheid mag niet van de formatietafel vallen. Anders gaat het nog veel meer kosten.”

Wat is de ruimte om toch iets te doen?
“Ik neem die ruimte.”

Hoe?
“Door te doen wat niet mag.” Tegen zijn woordvoerster: “Zeg ik dat fout?” Hij vervolgt: “Alles overziende moet ik soms mijn eigen verantwoordelijkheid nemen. Afwegen wat de impact is als ik geen informatie deel tegenover de impact als ik wel informatie deel. Dus ik neem soms daadwerkelijk besluiten die verder gaan dan wat ik wettelijk gezien op dit moment mag, maar wel netjes vastleg met een afwegingskader.”

Gebeurt dat vaak?
“Wij maken met enige regelmaat de afweging wel te delen. Als je ziet hoeveel informatie we binnenkrijgen zou ik het veel vaker kunnen doen. De buitenwereld vindt ook dat we te weinig delen. Dat ben ik met hen eens.”

Hoe staat Nederland er Europees gezien voor?
“Als het gaat om geld en middelen lopen we enorm achter. Eigenlijk zijn we krenterig bezig. De Cybersecurity Raad heeft het nieuwe kabinet 833 miljoen euro extra gevraagd voor cyberweerbaarheid. Dat vind ik nog aan de lage kant. Ik ben benieuwd.” Hij buigt zich opnieuw over de tafel. “We móeten, dit is zó belangrijk, meer geld en middelen beschikbaar stellen. Ik begrijp dat er veel op het bordje ligt van het kabinet, maar digitale weerbaarheid mag niet van de tafel vallen. Anders gaat het nog veel meer kosten. Het Internet is publiek domein en daarmee ook onze verantwoordelijkheid.”

  • Jos Hezemans | 20 januari 2022, 14:56

    Weer een manager-ambtenaar in de uitvoering die zich uitspreekt en zijn verantwoordelijkheid neemt. Straks niet zeggen dat we niet zijn gewaarschuwd.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren