Geslaagde kennissessie cybersecurity

Wat was de inhoud van deze sessie?

Chief Technology Office (CTO) Chris Wauters trad de desbetreffende middag op als gastheer. Hij leidde de discussies van het deelnemerspanel over het onderwerp cybersecurity en schakelde tussen vragen vanuit de zaal en de chat. Vooraf waren de volgende vragen meegegeven:

• Hoe zorgt de Rijksoverheid ervoor dat security goed is ingeregeld en dat de eindgebruikers beschermd zijn tegen cyberdreigingen en datalekken?
• Hoe vind je een balans tussen openheid en het delen van gegevens, versus het beschermen van je data?

Belangrijkste spreker van deze bijeenkomst was Brenno de Winter. Brenno is Chief Security Privacy Operations binnen het ministerie van Volksgezondheid, Welzijn en Sport en auteur van diverse boeken waaronder de ‘Survivalgids voor de digitale jungle’. Daarnaast gaven Rob van der Voort, Chief Information Security Officer (CISO) bij SSC-ICT en Esther Stegman, directeur Informatievoorziening en Systemen van de Rijksdienst voor Identiteitsgegevens (RvIG) hun mening over cybersecurity, het onderwerp van deze kennissessie. Zij gingen met elkaar en met de zaal (live en online) in gesprek over een aantal stellingen.

‘Security wordt steeds belangrijker’

Rob van der Voort gaf een presentatie over het fascinerende werkveld van SSC-ICT. ‘Security wordt steeds belangrijker’, aldus van der Voort. Ook voor de 7 ministeries waar SSC-ICT voor werkt is dat het geval: ‘Zij hebben elk hun eigen ‘kroonjuwelen’ die beschermd moeten worden. In combinatie met een overgang naar de cloud en de privacy van 40.000 ambtenaren, is het een complex geheel.’ Vervolgens lichtte hij de geavanceerde werkwijze toe van het Security Operations Center (SOC), het startpunt bij incidenten en dreigingen. Hij benadrukte daarbij het belang van samenwerking binnen de Rijksoverheid: ‘Er wordt heel veel kennis gedeeld: met onder andere het Nationaal Cyber Security Centrum, het kennisnetwerk Security Rijksoverheid (waaronder de Joint SOC’s en de inlichtingendiensten), maar ook binnen de verschillende onderdelen.’

Ervaringen over cybersecurity tijdens COVID-crisis

Brenno de Winter deelde zijn ervaringen met cybersecurity tijdens de COVID-crisis. Hij ging onder andere in op de ontwikkeling van de app CoronaMelder. ‘Met deze app hadden we de meest privacy-vriendelijke app ter wereld’ vertelde Brenno. ‘De herleidbaarheid naar personen was niet te achterhalen, maar toch kregen we kritiek. We hadden het eerste ontwerp net gepubliceerd, en dat haalde meteen de media. Men dacht: ‘als er code is, is de app blijkbaar af’. Maar zo werkt het natuurlijk niet, want open source is meer dan broncode alleen. Met die beeldvorming in de media hadden we geen rekening gehouden.'

Daarnaast stelden Brenno en zijn team onder andere inkoopeisen op waar applicaties aan moeten voldoen op het gebied van cybersecurity. Van eisen aan pentesten tot een uniforme manier van het presenteren van bevindingen. ‘Er moest heel veel geregeld worden en binnen een enorm complex krachtenveld’, aldus Brenno. In zijn verhaal benadrukte hij de noodzaak om vol in te zetten op security: ‘De vraag is niet: zijn we veilig? Maar: waar zijn we kwetsbaar?’ Dit resulteerde in de Kwetsbaarheden Analyse Tool, oftewel de KAT. Het werd een open source tool die inmiddels door diverse organisaties wordt gebruikt bij het analyseren van kwetsbaarheden. 

Werken in de ICT bij de overheid heel relevant

Esther Stegman benadrukte dat de overheid een enorme verantwoordelijkheid heeft voor de digitale identiteit van alle Nederlanders. ‘Deze tijd van digitalisering, en wat er allemaal in de wereld gebeurt, maakt werken in de ICT bij de overheid heel relevant. Alles is online beschikbaar, maar zijn we een consument of zijn we een productiefactor geworden?’ 

Paneldiscussie

Tijdens de paneldiscussie gingen de hierboven genoemde sprekers met elkaar in gesprek naar aanleiding van 3 stellingen:

• Een digitale identiteit zorgt alleen maar voor veel nieuwe kansen en mogelijkheden in de maatschappij.
• Een beheerder die nu niet de helft van zijn tijd besteedt aan security, staat in de toekomst buitenspel.
• Privacy en security by design is eigenlijk heel makkelijk.

Tijdens deze paneldiscussie werden er, zowel online via de chat als in de zaal, ook vragen gesteld. Zo was er een vraag over het belang van een ‘securitycultuur’: incidenten moeten goed behandeld worden. Hoe ga je om met de opvolging?’

Rob van der Voort antwoordde: ‘Die opvolging is essentieel. Je bent hierbij heel afhankelijk van operations: je bent pas een goed beheerder als je goed ingrijpt wanneer er een incident is.’ Esther Stegman benadrukte onder meer het belang van een goed incidentmanagementproces: ‘een goede feedbackloop met een plan-do-check-act (pdca) is belangrijk. Daarnaast heb je de openheid nodig om learnings op tafel te leggen. Wat je nodig hebt, is eigenlijk dit: het inrichten van een proces, het trainen van mensen én toegang hebben tot de kenniseigenaren.’ Brenno de Winter voegde hieraan toe: ‘We hebben een slechte securitycultuur in Nederland. Die cultuur moeten we kweken. Hoe? Door je poot stijf te houden in de eisen die je stelt aan je leveranciers.’

Conclusie

Deze eerste hybride kennissessie was een mooie mijlpaal. De presentaties en stellingen leidden tot waardevolle inhoudelijke discussies. Het werd duidelijk dat samenwerken op het gebied van security, vooral binnen de hele Rijksoverheid, van groot belang is. En daarnaast natuurlijk ook op het gebied van profilering op de arbeidsmarkt: elke ICT-organisatie wil dezelfde mensen met kennis van ICT en security aantrekken en zichzelf als prettige werkgever presenteren.