Veiligheid moet in de haarvaten van elke organisatie zitten. Dit is helaas nog niet altijd het geval en daarbij moet ook het handelen naar beleid worden geborgd. Dat geldt ook voor het ministerie van IenW, dat verantwoordelijk is voor vitale processen in de samenleving zoals onder meer de drinkwatervoorziening of de scheepvaartafwikkeling. Petra Nijenhuis-Timmers, Chief Information Security Officer (CISO) en Caroliene Negenborn, Beveiligingsautoriteit (BVA), werken binnen IenW nauw samen om dreigingen zo snel mogelijk te identificeren en adresseren.
“IenW is verantwoordelijk voor vitale processen binnen Nederland. Deze processen zijn veelal afhankelijk van Operationele Technologie (OT) systemen. OT-systemen worden gebruikt voor de automatische monitoring en besturing van fysieke processen, denk aan de bediening van sluizen en bruggen en de aansturing van de productie, het transport en de distributie binnen de drinkwatervoorziening”, legt Petra uit. “IenW vormt dus een essentieel onderdeel van het ‘zenuwstelstel’ van de Nederlandse vitale infrastructuur. Vanuit de CISO Office IenW Concern richten we ons op het verhogen van de cyberweerbaarheid van het departement en alle dienstonderdelen die daaronder vallen zoals Rijkswaterstaat, het KNMI en Luchtverkeersleiding Nederland.”
Caroliene: “Belangrijk is om ons hierbij niet alleen te richten op de beveiliging van systemen, maar dat onze belangen integraal worden beveiligd. Integraal betekent dat bijvoorbeeld ook gekeken wordt naar de toegang tot locaties en ruimten en naar de integriteit en beveiligingsbewustzijn van medewerkers die onder meer met deze belangrijke systemen moeten werken. Integraliteit is waar wij als Beveiligingsautoriteit actief op sturen.”
Dreiging onverminderd groot
Petra: “We bevinden ons in een bijzondere geopolitieke situatie, deze is de afgelopen jaren steeds verder verhard. Denk aan de Russische oorlog tegen Oekraïne, die de nodige dreigingen met zich meebrengt. Actuele voorbeelden zijn websites van meerdere Nederlandse havens en vliegvelden die zijn opgeëist door de pro-Russische hacktivistische groepering NoName057(16). Ook maakte het ministerie van Defensie onlangs bekend dat de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) Chinese cyberspionage in Nederland heeft blootgelegd. We moeten ons hiertegen weren en tegelijkertijd zorgen dat alle vitale processen op een goede manier doorgang vinden. Naast statelijke dreigingen vormen ook criminelen een reële dreiging. Afpersing blijft voor cybercriminelen een aantrekkelijk verdienmodel. Bijvoorbeeld via ransomware-aanvallen, waarbij computersystemen worden gegijzeld, en pas weer vrijgegeven als er hoge bedragen zijn betaald.”
Caroliene: “En vergeet het opkomend extreem activisme niet, als gevolg van polarisatie in de maatschappij van de afgelopen jaren. De vertrouwelijkheid, integriteit en beschikbaarheid van onze informatie en systemen moeten gewaarborgd blijven zodat onze mensen hun dagelijkse werkzaamheden kunnen blijven uitvoeren. Daarom moeten we maatregelen nemen. We zijn nu projectmatig bezig om alle externe dreigingen voor IenW in beeld te krijgen, zodat we ons hierop goed kunnen voorbereiden.”
Samenwerken is key
Om een zo veilig mogelijke situatie te waarborgen, is een nauwe samenwerking tussen CISO en BVA essentieel. Caroliene: “Het is mijn rol om intern toezicht te houden op de integrale beveiliging van het ministerie. Er zijn vier beveiligingsdomeinen die daar onderdeel van zijn. Fysieke beveiliging, dus hoe je de panden inkomt of hoe bepaalde ruimtes zijn beveiligd. Informatiebeveiliging, waaronder ICT, spionage en staatsgeheimen. Personele beveiliging, waar integriteit en de vertrouwensfuncties deel van uitmaken. En personeelsbeveiliging dat is gericht op het beveiligen van bewindspersonen. We zorgen dat de Secretaris-Generaal een overzicht heeft van de risico’s van het departement, en kijken desgewenst samen met CISO hoe we de risico’s voor de informatiesystemen kunnen mitigeren.”
Veel informatie wordt tussen de twee partijen uitgewisseld. Petra: “De BVA gebruikt informatie die bij de CISO wordt ingewonnen en andersom. We werken op veel trajecten nauw samen.”
Hoe waarborg je die veiligheid zo goed mogelijk? Caroliene: “We hebben periodiek overleg met alle betrokkenen om zaken af te stemmen. De Chief Privacy Officer (CPO) en de directeur Integriteit maken ook onderdeel uit van het afstemmingsoverleg. Belangrijk is te zorgen dat er één beeld ontstaat van de algehele veiligheid.” Petra vult aan: “Samenwerking is voor ons essentieel. We werken samen met elkaar, maar werken ook nauw samen binnen IenW met DGWB, DGLM, DGMO, DGMI, de dienstonderdelen en het Departementaal Crisis en Coördinatiecentrum. Daarnaast werken we over de departementale grenzen heen. Dit is cruciaal voor succes.”
BVA en CISO in 2023
Wat waren de grootste uitdagingen uit 2023? Petra: “Begin 2023 hadden we te maken met een ernstige onvolkomenheid op het gebied van informatiebeveiliging, die 8 jaar geleden door de Algemene Rekenkamer aan IenW was toegekend. Dat betekende dat we serieuze stappen moesten zetten om deze onvolkomenheid weg te werken, met name op het gebied van risicomanagement en incidentmanagement. We hebben basisvereisten ingericht op risicomanagement. Ook hebben we een escalatieproces opgezet voor het geval zich een cybercrisis voordoet en deze hebben we getest tijdens een nationale cybercrisisoefening. Momenteel werken we met het Departementaal Coördinatiecentrum Crisisbeheersing aan een meerjarig opleiden, trainen en oefenplan voor cybercrisis om ervoor te zorgen dat we goed zijn voorbereid. In oktober was de cybersecurityweek, die overigens op hetzelfde moment wereldwijd plaatsvindt. In Nederland hebben we dan Alert Online. We hebben verschillende sessies georganiseerd, onder andere over kunstmatige intelligentie en veiligheid. Het doel is de bewustwording over digitale veiligheid te verhogen. Niet alleen de overheid, het bedrijfsleven en burgers hebben een verantwoordelijkheid voor digitale veiligheid, ook medewerkers dienen zich digitaal veilig te gedragen.”
Caroliene: “De BVA heeft ingezet op voorzieningen om veilig te kunnen werken met vertrouwelijke informatie. We hebben een Beveiligd Informatie- en Overlegcentrum (BIOC) gecreëerd waar iedereen met een vertrouwensfunctie staatsgeheime documenten kan opstellen en ontvangen. Hier kunnen we ook geclassificeerde informatie vanuit Europa ontvangen, denk aan informatie over het satellietnavigatiesysteem. We hebben alle voorzieningen neergezet en de rijksbrede kaders vertaald zodat collega’s weten wat ze wel en niet kunnen doen. Vorig jaar zijn we ook een project gestart in samenwerking met de AIVD om meer (volledige) inlichtingenberichten te kunnen ontvangen op onderwerpen die voor IenW van belang zijn. Daarnaast zijn wij in beeld aan het brengen waar binnen IenW nog vertrouwensfuncties moeten worden aangewezen. Ook wij steken fors in op awareness om ervoor te zorgen dat medewerkers zich ook eigenaar voelen voor beveiliging.”
NIS2-richtlijn
De CISO rapporteert jaarlijks aan de CIO van BZK, die rijksbreed de CIO-functie vervult. “Dan brengen we specifiek voor IenW de dreigingen in kaart en geven we aan waar kwalitatieve verbetering kan plaatsvinden”, legt Petra uit. “En we lichten zaken uit die we prioriteit willen geven. Voor het komende jaar is dat onder andere de NIS2-richtlijn.”
De NIS2-richtijn (Network and Information Security directive) is eind 2022 vastgesteld door de Europese Unie en is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. Petra: “De NIS2-richtlijn stelt nog strengere eisen aan cybersecurity op de terreinen van onder meer incident-, risico- en leveranciersmanagement.” Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de NIS2-richtlijn naar nationale wetgeving. Binnen IenW werken we aan een programmaplan om de richtlijn goed te kunnen implementeren.
Caroliene: “Daarnaast zal tegelijkertijd met de NIS de ‘CER’ (Critical Entities Resilience Directive) van kracht worden. Hier ligt de focus op de fysieke bescherming van kritieke onderdelen van de Rijksoverheid. Deze zijn nog niet aangewezen, maar als kritieke onderdelen bij IenW worden aanwezen, zullen zij ook aan deze eisen moeten gaan voldoen.”
Verwacht het onverwachte
In de komende jaren wordt veiligheid alleen maar belangrijker. Petra: “De digitale dreiging voor Nederland is onverminderd groot, mede doordat nieuwe technologieën nieuwe dreigingen met zich mee brengen. Verwacht het onverwachte is dan ook de hoofdboodschap.” Softwareprogramma’s zoals ChatGPT maken het bijvoorbeeld een stuk laagdrempeliger voor kwaadwillenden om phishingmails geloofwaardiger te maken.
Caroliene: “De komende jaren zullen we met elkaar hard werken aan de basis voor een goede beveiliging van ons ministerie, zoals het gestructureerd in kaart brengen van dreigingen en onze te beschermen belangen en het toepassen van risicomanagement binnen IenW. Wij willen er uiteindelijk voor zorgen dat het management goede integrale beveiligingsanalyses krijgt, zodat zij bewust beveiligingsmaatregelen kunnen afwegen. Ook zijn we doorlopend bezig om het beveiligingsniveau van de panden goed in beeld te krijgen en te verhogen waar dat nodig is.”
100% veilig bestaat niet, weten beiden. Petra en Caroliene: “Absolute veiligheid bestaat niet, dreigingen kunnen niet volledig worden weggenomen. Wel zetten we in op het verminderen van de kans dat een dreiging zich voordoet, het verminderen van de mogelijke impact van die dreigingen en op het benutten van kansen voor het proactief bevorderen van de veiligheid van onze IenW belangen. Hierbij ligt de focus op risicobeheersing. We verhogen onze weerbaarheid en zetten goede stappen. En we zullen er altijd hard aan moeten blijven werken. Dit werk is nooit af.”
