INTERVIEW ’Als de politiek wil dat er een plan B klaarligt, dan kost dat tijd, geld, moeite en aandacht’ geleerde les ging over het nemen van verantwoordelijkheid. ‘We wisten dat we overal tweefactorauthenticatie moesten invoeren, maar ook in mijn eigen organisatie was besloten dat echt óveral tweefactorauthenticatie toch wel weer lastig was…’ Plan B Ook al heeft Lochem sindsdien enorme stappen gezet, cyberweerbaarheid blijft weerbarstige materie. ‘We zijn nog niet zo goed voorbereid op de huidige dreigingen dan we zouden moeten zijn.’ Heeft Lochem bijvoorbeeld een plan B voor als Donald Trump ooit besluit om sancties op te leggen aan Europa, zodat we het zonder Amerikaanse techbedrijven moeten stellen? ‘Eerlijk gezegd kan de hele Nederlandse overheid dan niks meer. Wij zijn bijna volledig Microsoft-gebaseerd. Het is veel te omvangrijk om te zeggen: “maakt u zich geen zorgen, we zijn binnen een week weer online.” Dat eerlijke gesprek moeten we nu voeren. Als de politiek wil dat er een plan B klaarligt, dan kost dat tijd, geld, moeite en aandacht. Hebben we dat ervoor over? Die vraag moet op politiek niveau worden beantwoord.’ Computersystemen vormen de ruggengraat 12 iBestuur 54, april 2025 van de moderne samenleving. De Nederlandse overheid neemt cyberweerbaarheid weliswaar serieuzer dan voorheen, toch is nog steeds niet iedereen volledig doordrongen van wat dat betekent. Van ’t Erve: ‘Het uitgangspunt van de BIO (Baseline Informatiebeveiliging Overheid, red.) is comply or explain. Plat gezegd is het dus voldoende om je best te doen. Je hoeft niet per se te kunnen aantonen dat je alle maatregelen die voor jouw sector gelden ook daadwerkelijk hebt genomen. Die mindset moet veranderen. Als je niet langer dan 48 of 72 uur uit de lucht wil zijn met je basis digitale dienstverlening, dan kun je je daarop gaan voorbereiden. Maar dat is dus geen gratis besluit.’ Van ‘t Erve pleit voor due diligence zoals in de financiële sector, waar een auditor komt controleren of een organisatie haar huiswerk heeft gedaan. ‘En nee, ook daarmee kun je niet alle risico’s voorkomen.’ Verantwoordelijkheid Hij ziet het als een maatschappelijke verantwoordelijkheid om anderen te laten zien wat hij zag toen hij in de afgrond keek. 'Ik werd aangesproken door een CISO van een grote stad die zei: “Leuk dat jij binnen 24 uur weer een soort basis-IT op orde had na de hack, maar het helpt dat jouw organisatie in één gebouw zit en dat je al jaren hebt gewerkt aan standaardisatie en complexiteitsreductie van je IT. Bij een beetje grote stad kost het waarschijnlijk maanden om weer overeind te krijgen wat jij overeind hebt getrokken.” Daar schrok ik van. Wat zou er gebeuren als je in een grote stad geen riolering meer hebt, geen afval meer kan ophalen en geen uitkeringen meer betaalt?’ Het is geen ondenkbaar scenario, getuige de ervaringen van Estland en Oekraïne. Van een gesprek met het hoofd digitale veiligheid van Oekraïne leerde Van ‘t Erve dat het er in zo'n geval bitter weinig toe doet wat van de gemeente is, wat van het waterschap en wat in interdepartementaal afstemmingsoverleg moet worden beslist. ‘Er komt zo’n golf over je heen dat het niet meer uitmaakt. De echte vraag is dan hoe je ervoor zorgt dat er weer water uit de kraan komt en stroom uit
13 Online Touch Interview Van 't Erve Home