Sinds september 2024 is Matthijs van Amelsfort directeur van het Nationaal Cybersecurity Center (NCSC). Na een carrière in de opsporing van cybercrime bij de politie, verschuift zijn focus naar preventie en crisisbeheersing. Ruimte geven aan vakmensen kenmerkt zijn leiderschapsstijl. “Houd het oog op de bal en vooral op het team.”
Van Amelsfort maakte de ontwikkeling van het cybersecurity-vakgebied vanaf het begin aan mee. In 2001 werkte hij als digitaal forensisch onderzoeker bij de politie aan zijn eerste hackingzaak. “Een heel andere tijd. Het bewustzijn van hackers was bijvoorbeeld nog niet groot, ze schermden hun eigen identiteit nauwelijks af.” De cyberwereld is sinds die tijd totaal veranderd. “De digitalisering is explosief toegenomen, hackers worden steeds vindingrijker; daarmee nemen de cyberdreigingen toe. Die groei heb ik bij de politie van dichtbij meegemaakt.”
Hij koos na een tijd voor leidinggevende functies op cybergebied omdat hij vond dat cyberkennis daarin ook van belang is. “Als vakspecialist dacht ik vaak: hoe gaat iemand mijn belangen verdedigen als ik ze steeds moet uitleggen wat een IP-adres is?” Zijn achtergrond helpt hem beter te begrijpen wat cyberexperts nodig hebben om goed te functioneren. “Ik denk dat die herkenning fijn is.” Bij zijn afscheid van de politie kreeg hij van zijn collega’s een ‘Blauw hart’ uitgereikt(link naar andere website), als waardering voor zijn prettige manier van leidinggeven en de ruimte die hij geeft voor ontwikkeling.
Cybercrime verschilt op een aantal punten van andere criminaliteit, vertelt Van Amelsfort “Je kunt je er niet ‘uit arresteren’, maar moet juist veel doen aan de weerbaarheid ertegen. Ik gebruik in dit verband vaak een spreuk van Loesje: ‘Het is fijner dweilen als iemand de kraan aan het repareren is’. Met de kennis en ervaring die ik meebreng vanuit de politie is het mooi om bij het NCSC te werken aan die sterkere weerbaarheid. Daar krijg ik veel energie van.”
Die energie is zeker nodig, want het NCSC staat aan de vooravond van een aantal grote veranderingen. De Cyberbeveiligingswet – de implementatiewet voor de NIS2-richtlijn – komt eraan, waarmee het aantal organisaties dat het NCSC bedient sterk zal groeien. Daarmee wordt het NCSC hét loket voor cybersecurity binnen de overheid. Het fuseert daarvoor onder andere met het Digital Trust Center (DTC). Met de Wet DTC(link naar andere website) gaat het nieuwe NCSC voortaan ook het niet-vitale bedrijfsleven informeren en adviseren over digitale kwetsbaarheden, cyberdreigingen en -incidenten.
Om die sterk groeiende doelgroep tijdig en goed te kunnen bedienen, zet Van Amelsfort in op het verder ontwikkelen van datagedreven werken bij het NCSC. “Snelheid is in de cyberwereld cruciaal. De enorme taak waar we voor staan vraagt om meer datagedreven processen, zodat we het ook kunnen uitvoeren. Daarnaast krijgt het NCSC meer informatie binnen bijvoorbeeld vanwege de meldplicht in de Cyberbeveiligingswet(link naar andere website); onze informatiepositie neemt verder toe.”
Cyberweerbaarheid is een soort puzzelen, zegt hij. “Iedereen heeft een eigen stukje van de informatie over digitale incidenten en dreigingen, die moet je bij elkaar krijgen voor het totaalbeeld.” Datagedreven samenwerking brengt die informatie bij elkaar. “Alleen dan kunnen we begrijpen wat er speelt en bepalen hoe we samen Nederland het beste kunnen beschermen. Het NCSC kan dat niet alleen, maar dat geldt ook voor de politie en de inlichtingendiensten en zelfs de overheid als geheel. De publiek-private samenwerking is daarom heel belangrijk.”
Van Amelsfort legt de rol van het NCSC in een crisis uit aan de hand van een voorbeeld. “Stel een ziekenhuis is slachtoffer van een cyberaanval. Onze rol is dan om in samenwerking met Z-CERT(link naar andere website) (de CERT voor zorginstellingen, red.) zo snel mogelijk te begrijpen wat er aan de hand is op cybergebied: door welke kwetsbaarheid is het incident ontstaan? Wie en wat moeten we verbinden om te zorgen dat de systemen van het ziekenhuis zo snel mogelijk weer operationeel zijn? Wat kunnen we doen om te voorkomen dat andere organisaties er ook slachtoffer van worden? Wat is het handelingsperspectief? Wie moeten we informeren, wie notificeren? Misschien speelt deze kwetsbaarheid ook in de energiesector. Die informatie moet dus ook tussen de sectoren gaan vloeien.” Die taak van het NCSC is steeds te in drie pijlers, stelt hij: “Begrijpen, verbinden, voorkomen.” Voor het NCSC is het daarbij van belang dat we de informatie die we ophalen kunnen delen in verschillende sectoren. Daarvoor is de publiek-private samenwerking binnen het Cyberweerbaarheidsnetwerk(link naar andere website) Nederland cruciaal.
Het Cybersecuritybeeld Nederland 2024(link naar andere website) laat grote en diverse dreigingen zien. Daardoor neemt het bewustzijn van cyberrisico’s toe, ziet Van Amelsfort. “Met de geopolitieke spanning en de dreiging die daarmee op ons afkomt, is er meer realiteitszin. Het is aan bestuurders om die volgende stap te maken, en het dat bewustzijn te vertalen naar de organisatie. Wat zijn jouw kroonjuwelen; wat heb je te beschermen? En hoe is dat dan geregeld? Kun je als bestuurder goed slapen met die situatie?”
Die bestuurlijke verantwoordelijkheid voor het cybersecuritybeleid is dan ook opgenomen in de Cyberbeveiligingswet. Van Amelsfort ziet de rol van NCSC daarbij meer op afstand. “Het NCSC biedt veel tips en adviezen en denkt graag mee, de verantwoordelijkheid ligt bij de organisatie zelf.”
Hoe kan een bestuurder goed in het cybersecurityzadel komen? Dat moet georganiseerd worden. “Kijk naar wat je nodig hebt binnen je eigen processen. Goede onbevooroordeelde informatie is bijvoorbeeld cruciaal, want je moet snappen wat er aan de hand is om de goede besluiten te kunnen nemen. Zorg daarom dat je ook de goeie mensen naast je hebt staan om die informatie te kunnen duiden.”
Dat geldt zeker in een cybercrisissituatie, iets wat iedere organisatie kan overkomen. Van Amelsfort adviseert leiders van een crisisteam om ook het menselijk aspect in het oog te houden: “Houd het oog op de bal, maar ook op het team.” Hij licht toe: “In een crisis merk je vaak dat de leiderschapsstijl directiever wordt, omdat er snel besluiten moeten worden genomen. Maar je moet daarin een balans vinden, om je goed te laten voorlichten over de impact van je besluiten. Dat vraagt dat je de ruimte geeft aan de vakmensen. Daarbij is er de vraag: ben je een sprint aan het lopen of is het een marathon? Dat vraagt natuurlijk iets anders van de inrichting en hoe je je mensen inzet.”
Nadat de crisis eenmaal is opgelost, is de nazorgfase cruciaal om lessen te trekken uit de gebeurtenissen. “Ook wij als NCSC leren daar iedere keer weer van. Het is belangrijk om achteraf te kijken hoe het is gegaan. En wat betekent dat dan voor onze organisatie? Hoe kunnen wij ons werk dan nog beter doen? Maar de nazorg is ook voor de medewerkers zelf. De impact van een cyberaanval kan doorwerken op mensen van getroffen organisaties.”
Het Overheidsbreed Cyberprogramma wil ook het Caribisch deel van het Koninkrijk betrekken. Van Amelsfort werkte voor de politie enige tijd op Curaçao. “Het is goed om de krachten te bundelen in het Cyberweerbaarheidsnetwerk en zorgen dat we zoveel mogelijk informatie uitwisselen met elkaar, want cyberweerbaarheid stopt natuurlijk niet bij land- of gemeentegrenzen.” Toch zijn er ook verschillen die van belang zijn. “We moeten bij de adviezen die we geven vooral kijken naar wat er daar past, dus de lokale context.“
Zo werkt dat bij alle samenwerkingen die het NCSC aangaat. “Iedere wens tot samenwerking begint met de vraag: wat is precies de behoefte? En wat zijn de juridische mogelijkheden in die samenwerking? Uiteindelijk wil je ook op een datagedreven manier zorgen dat je de informatie zo snel en goed mogelijk kunt delen. Zodat zij ook tijdig en adequaat kunnen handelen en de weerbaarheid omhooggaat.” Dat kost tijd. Intussen kan er al veel wel. “Al onze adviezen zijn ook voor de collega’s in het Caribisch deel van het Koninkrijk beschikbaar op NCSC.nl.”
Dit cyberinterview word je aangeboden door het Overheidsbreed cyberprogramma dat word georganiseerd in opdracht van het ministerie van BZK. In deze serie verschenen ook:
Interview met Jori Kalkman van de Defensieacademie: “Grote impact op de mensen die crisissen moeten oplossen”
Interview Art de Blauw: “Samen digitale weerbaarheid op een hoger niveau brengen”
Interview met Simon Sibma en Arnoud Bakker (SVB): “De digitale weerbaarheid van onze organisatie is topprioriteit”
