66

Cybersecurity: wie houdt de Rijksoverheid scherp? Nederland heeft drie jaar terug de Wet beveiliging netwerk­ en informatiesystemen (Wbni) ingevoerd. Hiermee zijn de wettelijke eisen aangescherpt en moeten vitale sectoren als de energiesector en de drinkwatervoorziening aantoonbaar maken dat ze hun cybersecurity organisatiebreed op orde hebben. Ook moeten ze melding maken van incidenten bij het Nationaal Cyber Security Center (NCSC). Voor de Rijksoverheid geldt dit nog niet. Wel is afgesproken met het NCSC om incidenten te melden. Bij de herziening van de Europese richtlijn netwerk­ en informatiebeveiliging (NIB) komt daar verandering in. Verwacht wordt dat de landelijke overheid in de EU­landen voortaan ook als vitale sector wordt gezien. De wettelijke meldplicht voor incidenten gaat dan eveneens voor overheidsorganisaties gelden. Het streven is de NIB­herziening in 2022 af te ronden, waarna lidstaten de wetgeving in eigen land aan kunnen passen. Ministeries hebben op dit moment geen toezichthouder die controleert of ze hun cybersecurity goed hebben geregeld. Denk aan het publieke drinkbedrijf Waternet in Amsterdam, dat vorig jaar door de Inspectie Leefomgeving en Transport (ILT) onder verscherpt toezicht werd geplaatst, omdat het onvoldoende ‘in control’ was over zijn cyberveiligheid. De ministeries vallen dan wel onder het toezicht van de Algemene Rekenkamer, maar dat is puur beleidsmatig. Als de Rijksoverheid straks als vitale sector geldt, zal er dus ook een toezichtfunctie moeten worden ingericht. 66 ICT-beheerders hebben een eerste verantwoordelijkheid, maar er zitten duizenden ambtenaren aan het endpoint van een netwerk, met een laptop of telefoon. Bewustwording is een blijvend aandachtspunt”, zegt Jonker. Voor Özyenici telt ‘adoptiesnelheid’. “Bij incidenten moet je kritieke processen snel weer aan de praat krijgen. Net als onze premier bij het losbarsten van het conflict in Oekraine zei dat we onze defensie in paraatheid moesten brengen, moeten we ook digitaal voorbereid zijn.” SOC’s De hamvraag is hoe je de digitale weerbaarheid over de ministeries en uitvoeringsorganisaties heen kunt borgen. De Rijksoverheid is immers een netwerkorganisatie geworden, die intern en extern werkt in een ICT-infrastructuur die over de grenzen van organisaties heen gaat. Vaak ligt de oorzaak van een incident daarbuiten, denk aan de recente horror rond Log4j, de veelgebruikte software die activiteiten registreert op webservers. Ministeries en uitvoeringsorganisaties hebben een eigen of een gedeeld Security Operation Center (SOC). Elk departement is namelijk zelfstandig verantwoordelijk voor de beveiliging van informatie en persoonsgegevens. Zelfs binnen departementen bestaan onderdelen met een eigen verantwoordelijkheid. Zaak, stelt Jochem, is intensief samen te werken zodat alle organisaties binnen het Rijk op hetzelfde informatieniveau zitten. “De grote SOC’s doen dat al. Nu de kleintjes nog. Je kunt veel van elkaar leren, bijvoorbeeld over welke ICT-producten je gebruikt en wat de kwetsbaarheden hiervan zijn. Ook de monitoringfunctie is wezenlijk. Welke dreigingen zijn er? Kom je veiligheidsrisico’s tegen, op welk niveau ga je die dan beantwoorden?” Sommige onderdelen van de Rijksoverheid zijn een voor de hand liggend doelwit en worden bijna dagelijks aangevallen, aldus Jochem. DDos-aanvallen op overheidsdiensten hebben voor uitval gezorgd. “Waar we nog aan moeten werken, en dat staat ook in de I-strategie, is de hele linie van monitoring bij de SOC’s voor elkaar te krijgen. Het zijn soms kleine organisaties met weinig ICT-deskundigheid. De ervaring leert dat de zwakke broeders het eerst worden aangevallen.” Jonker trekt een parallel met de aanpak van de waterveiligheid. “De dijken staan er, maar de dijkbewaking moet naar een hoger level. De toenemende cyberdreigingen doen het waterpeil stijgen. In het delen van monitoring-informatie is een efficiencyslag nodig.” Centraal-decentraal Maar waarom dan geen centrale organisatie om van de hele Rijksoverheid de cyberveiligheid te regelen? “We hebben er in het CIO-beraad lang over gediscussieerd of er een centraal SOC zou moeten komen”, zegt Jonker. “Zowel voor centraal als decentraal valt wat te zeggen. Het voordeel van centraal is duidelijk: je hebt veel meer slagkracht. Alleen mis je bij een centraal SOC alle specifieke kennis van het bedrijfsproces en de applicaties van de betrokken organisaties. Deze lokale kennis is onontbeerlijk om ervoor te kunnen zorgen

67 Online Touch Home