Cyber heeft geen grenzen; bedreigers opereren internationaal en de overheid werkt steeds meer in ketens en netwerken. Hans de Vries (directeur NCSC) en Aart Jochem (CISO Rijk) vertellen over het belang van samenwerking en hoe ze hun onderlinge samenwerking versterken. “Cybersecurity is chefsache, maar geen bestuurder kan het alleen.”
Aart Jochem is sinds eind 2019 de eerste CISO Rijk bij de directie CIO Rijk (ministerie van BZK): Over zijn rol: “Departementen werken steeds meer samen aan cybersecurity, al blijft elk departement zelfstandig verantwoordelijk daarvoor. In een rijksbrede CISO-raad heb ik als CISO Rijk een rol om gedeelde cybersecurity vraagstukken op te pakken.” “Dan kom je snel uit op het werkterrein van het NCSC”, vult De Vries aan. “Het NCSC kijkt vanuit het brede cyberveld: wat speelt er nou precies? Als er een crisis is – ik denk terug aan Citrix of Log4j – dan delen wij informatie over de impact en de maatregelen met de departementen en met CIO Rijk.” In vaktaal: het NCSC is het nationale crisiscoördinatieteam (CERT) voor de rijksoverheid en de vitale sectoren (denk aan stroom en de havens). Dat gaat trouwens binnenkort veranderen. Daarover later in dit stuk meer.
De samenwerking tussen het NCSC en de CISO Rijk is inmiddels beproefd in oefeningen en verschillende crisissen. Toen Jochem eind 2019 aantrad kon hij al snel aan de slag met de SolarWinds-crisis. Daarna volgden Citrix en Log4j. Oefeningen zijn belangrijk voor de crisisaanpak en de samenwerking, zegt Jochem. “In de internationale ISIDOOR oefening konden we als CIO Rijk ons eigen crisisplan testen, samen met het NCSC dat dat op nationaal niveau deed. We zien dat die samenwerking steeds beter wordt. We weten elkaar steeds beter te vinden, elkaars rol te herkennen en te erkennen. En we blijven nog altijd leren.”
In cybersecurity werken we nationaal en internationaal veel samen, vertelt De Vries. “De politie en de inlichtingendiensten MIVD en AIVD werken aanvullend en dat is waardevol. Het NCSC kijkt: wat speelt er en hoe krijg je dat zo snel mogelijk opgelost? Politie en inlichtingendiensten kijken meer naar: ‘wie heeft het gedaan?’ Het NCSC heeft internationale netwerken, vanuit de CERT-community. Maar ook de politie en de inlichtingendiensten hebben internationale netwerken, deels overlappen die elkaar. Er wordt dus op heel veel verschillende manieren samen gewerkt. Dat goed aan elkaar verbinden is één van de belangrijke rollen die het NCSC heeft.”
De noodzaak om samen te werken wordt steeds groter. Aan de ene kant nemen de dreigingen enorm toe, van zowel criminelen als van zogenaamde ‘statelijke actoren; landen die ons land aanvallen. Aan de andere kant werkt de overheid steeds meer digitaal, en wordt het beschermen van informatie steeds belangrijker, ziet Jochem. “Ook voor beleid maken wordt ICT inmiddels steeds belangrijker. Denk aan de inzet van data en AI daarbij. Niet voor niets is I in het hart van beleid het eerste en Digitale weerbaarheid het tweede hoofdstuk van de rijksbrede I-strategie.” De Vries vult aan: “En het gaat niet alleen om de interne IT en informatie van een departement, maar juist om het hele beleidsveld waar je verantwoordelijk voor bent. Wat als bijvoorbeeld de dienstverlening van LOGIUS -denk DigiD en Mijnoverheid – platligt? De impact als het fout gaat is zo groot. Het begint soms bij een klein stukje, maar het effect zie je in de hele keten.”
De afgelopen maanden hebben De Vries en Jochem stappen gezet in wat zij noemen ‘de versterkte samenwerking’. Het doel is cybersecurity voor de overheid slimmer en efficiënter aan te pakken, vertelt De Vries: ”We hebben samen met de AIVD met de top van alle departementen – de bestuursraden – besproken wat er aan de hand is en hoe groot de dreigingen zijn. Om daarbij aan te geven: ‘Dit hoort niet bij de IT-afdeling, dit is chefsache en hoort thuis aan op de agenda van de Bestuursraad’. En te vragen: ‘Hoe kunnen we u op een goede manier informeren over het handelingsperspectief?”
Een tweede onderdeel van de samenwerking is het inzetten van Red Teaming bij het rijk.
Aart Jochem: “Met Red Teaming boots je een cyberaanval na. Zo kun je op een beheerste manier zichtbaar maken waar de kwetsbaarheid van een organisatie zit. We kunnen die kwetsbaarheden gericht aanpakken. Bovendien kunnen we binnen de rijksoverheid samen leren hoe we een veiligere omgeving inrichten. Met de kennis en expertise van het NCSC gaan we binnen de hele rijksoverheid Red Teaming inzetten om weerbaarder te worden.”
Ook in het een samenwerkingsverband Nationaal Detectie Netwerk (NDN), werken NCSC en CIO Rijk samen. De Vries vertelt: “Het NDN kan signaleren als er wat speelt op de rand van een netwerk. 140 rijksoverheidspartijen en vitale aanbieders zijn inmiddels aangesloten. Door het NDN kunnen we partijen waarschuwen: ‘Er gebeurt wat, let op!’ We bieden zo een vorm van signalering en een vangnet. Die taken en rollen willen we nu uitbreiden.”
Het NSCS is nu nog de CERT – crisiscoördinatieteam – voor de rijksoverheid en de vitale sectoren. In de toekomst wordt het de nationale CERT. Op weg daarheen bundelt het NCSC zijn krachten met het Digital Trust Center (DTC) voor bedrijven en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP). De Vries licht de noodzaak toe: “We zien dat Europa in de wetgeving steeds meer eisen stelt aan maatregelen voor de cloud of de infrastructuur van overheden en bedrijven. Wij kunnen daarin samen als nationale CERT en single point of contact een belangrijke rol spelen. We hebben zo beter zicht op kwetsbaarheden, kunnen crisissen helpen voorkomen en Nederlandse organisaties helpen zo snel mogelijk weer operationeel zijn.”
Jochem juicht die bundeling van kennis, expertise en bevoegdheden toe: “Dat gaat de versnippering in cybersecurity tegen. Bovendien: dit is heel kostbare en zeldzame expertise. Het is belangrijk om die ook zelf in huis te hebben, we willen als overheid niet volledig afhankelijk zijn van de markt, van de commerciële kanten daarvan. De Vries beaamt dat: “De belangen die wij vertegenwoordigen en de publieke informatie die we helpen beschermen, daar moet je heel zorgvuldig mee omgaan.”
