Begin dit jaar is het beleid voor een verplichte basisopleiding digitale weerbaarheid vastgesteld. De overheid werkt veel met gevoelige en vertrouwelijke gegevens. Burgers en bedrijven moeten erop kunnen vertrouwen dat hiermee zorgvuldig wordt omgegaan. Daarom is het belangrijk dat alle medewerkers bij de Rijksoverheid de opleiding volgen.
Op dit moment wordt gewerkt aan de invulling ervan. Aart Jochem, Chief Information Security Officer (CISO) Rijk, Bart Pieters, Adviseur informatiebeveiliging en privacy en Jos Rippe, Projectleider digitale weerbaarheid, werken aan de versterking van de digitale weerbaarheid. Zij vertellen meer over de opleiding en waarom deze zo belangrijk is.
Pieters: “Digitale weerbaarheid gaat over het onverstoord kunnen gebruiken van digitale processen en voorzieningen. Enerzijds door zo veel mogelijk te voorkomen dat er storingen optreden. Anderzijds door ervoor te zorgen dat alles snel weer functioneert als er toch iets misgaat. Hiervoor hanteren wij het PPT Framework: People, Process, Technology. Met de basisopleiding digitale weerbaarheid richten wij ons op de medewerkers (people), zodat zij op de hoogte zijn van risico’s en de kennis hebben om er goed mee om te gaan. ‘Process’: je wilt dat het proces helder en makkelijk uit te voeren is. En als laatste is het belangrijk dat organisaties beschikken over de juiste voorzieningen (technology).”
Pieters: “We kunnen heel veel regelen en beschermen met techniek en processen, maar om digitaal weerbaarder te worden is het belangrijk dat medewerkers bepaalde situaties herkennen. En weten hoe zij hiermee om moeten gaan. Denk bijvoorbeeld aan het herkennen van een phishing mail; wanneer ze weten waarop ze moeten letten, klikken ze er niet op.” Jochem: “Inderdaad. Als medewerkers zo’n situatie herkennen en het ook melden, zijn organisaties veel beter in staat om een lek, aanval of incident in de kiem te smoren. Vandaar dat we ook echt de medewerker nodig hebben. Door jaarlijks de opleiding te doen, voorkom je dat jij degene bent waardoor een lek of incident ontstaat. Of beter nog: jij wordt degene die heeft voorkomen dat er een lek of incident is!”
“Er vinden elke dag cyberaanvallen plaats en ze worden steeds geavanceerder”, vertelt Jochem verder. Pieters noemt Artificiële Intelligentie (AI) als voorbeeld: “AI wordt gebruikt om steeds verfijndere aanvallen uit te voeren. Zulke ontwikkelingen zorgen voor risico’s, maar je kunt ze ook inzetten om je te beschermen als organisatie. Het zijn ontwikkelingen waarmee we om moeten leren gaan. Want het is niet meer de vraag óf het misgaat, maar wanneer.”
Rippe vult aan dat het daarom belangrijk is om de opleiding jaarlijks te volgen: “Dit soort bedreigingen gaan steeds sneller en er komen alleen maar meer bedreigingen bij. Op basis van dit soort ontwikkelingen passen we de opleiding aan om de kennis up-to-date te houden.”
Jochem geeft aan dat het om deze redenen belangrijk is dat medewerkers de opleiding volgen: “We willen niet alleen organisaties weerbaarder maken, maar het gaat ook om de medewerkers. Wij zien hen als één van de pijlers waarop je als organisatie aan de digitale weerbaarheid bouwt: medewerkers zijn de sterkste schakel! Met de opleiding richten we ons op het maken van de juiste keuzes om ervoor te zorgen dat alle informatie en gegevens goed beschermd zijn en blijven.” “En het begint bij de manager”, zegt Pieters. Rippe: “De managers zien wij als doelgroep om als één van de eersten de opleiding te doen om een goed voorbeeld te geven aan de medewerkers.”
Pieters: “Op dit moment zijn we bezig om de inhoud vorm te geven. Samen met een rijksbrede werkgroep hebben we leerdoelen opgesteld en materiaal verzameld. We werken ook samen met een externe partij om ervoor te zorgen dat de opleiding goed is opgebouwd.” Jochem: “De overheid kent een enorme schakering aan taken, rollen en mensen. Het ministerie van Defensie heeft behoefte aan andere onderwerpen dan het ministerie van Volksgezondheid, Welzijn en Sport. Rijksorganisaties hebben daarom voldoende ruimte voor maatwerk.”
Rippe: “Om organisaties zo goed mogelijk te helpen, zijn wij bezig met een referentieset van vragen en antwoorden en een e-learning. Hiervoor benutten we zo veel mogelijk wat er al is. De Gedragsregeling voor de digitale werkomgeving vormt de basis. Organisaties kunnen de referentieset en e-learning gebruiken als uitgangspunt om te zorgen voor een passende opleiding. Ook kunnen organisaties zelf een e-learning maken en/of gebruikmaken van het Leer Management Systeem (LMS) van de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).”
Pieters: “Sommige organisaties hebben al een basisopleiding digitale weerbaarheid. Zij moeten daar vooral mee doorgaan en wanneer nodig, kunnen zij de opleiding aanvullen op basis van de referentieset of e-learning.”
Rippe: “Begin dit jaar is het beleid vastgesteld en hierin staat dat organisaties binnen een jaar een basisopleiding digitale weerbaarheid moeten hebben. Op dit moment wordt de gedragsregeling geactualiseerd en op basis hiervan maken we de e-learning. Onze verwachting is dat deze klaar is in het 3e kwartaal. Het doel is dat eind 2025 80% van alle medewerkers de opleiding heeft gehaald.” Pieters geeft aan dat het streven iedere medewerker is, maar door in- en uitstroom en tijdelijke medewerkers is 80% realistisch.
Pieters: “Natuurlijk willen we dat de opleiding zo snel mogelijk beschikbaar is, maar het moet ook goed en soepel werken. Het is belangrijk dat het toegankelijk is, zodat iedereen de opleiding kan volgen.”
Jochem: “Vertrouw je iets niet? Meld het, ook als je twijfelt. Want beter een melding te veel, dan te weinig.” Jochem vertelt dat hij situaties kent waarin medewerkers zich schamen, omdat ze iets hebben veroorzaakt en het daarom niet melden: “Het is belangrijk dat je het altijd deelt om gevolgen te voorkomen. Daarom de oproep aan jou: geef het door aan de servicedesk om zelf én als organisatie digitaal weerbaarder te worden!”