Cyberveiligheid. Het klinkt technisch en abstract. Maar wie denkt dat digitale veiligheid alleen het werk is van IT-specialisten, vergist zich. Iedere medewerker van het ministerie van Infrastructuur en Waterstaat (IenW) speelt een rol in het beschermen van informatie, systemen en processen. Achter de schermen werken Daniel Waaijer van de Concerndirectie Informatiebeleid (CDIB) en Sanjay Misri van de Directie Informatie en Exploitatie (IenE) dagelijks aan het versterken van die afdelingsbrede weerbaarheid. Hun boodschap: cyberveiligheid is geen exclusief IT-feestje. Het is iets wat ons allemaal aangaat.
Beleid in de praktijk
Daniel werkt aan het kaderstellende beleid voor het hele IenW-concern, inclusief uitvoeringsorganisaties als Rijkswaterstaat, KNMI en ILT. “Wij stellen de spelregels op. Maar die moeten natuurlijk wel werkbaar zijn in de praktijk,” vertelt hij. Samen met uitvoerende directies, zoals IenE, wordt daarom continu afgestemd: wat is haalbaar, wat moet beter en wat vraagt extra uitleg? Een actueel voorbeeld: de Europese NIS2-richtlijn die vertaald moest worden naar nationale wetgeving. Daniel: “We zijn bezig met het implementeren. Dat doen we door in gesprek te blijven met uitvoeringsorganisaties. Als iets niet uitvoerbaar blijkt, geven wij dat terug richting het ministerie van Binnenlandse Zaken. Zo houden we de regels realistisch.”
Van strategie naar uitvoering
Waar Daniel zich bezighoudt met het opstellen van beleid, zorgt Sanjay dat het opgestelde beleid zo goed mogelijk landt op de werkvloer. “Wij adviseren collega’s binnen de bestuurskern over de uitvoering. Dus wat betekenen die regels concreet voor jouw werk? Hoe pas je ze toe in jouw systemen, processen of gedrag?” Om dit zoveel mogelijk te implementeren, geeft Sanjay trainingen, ontwikkelt hij campagnes en schuift hij regelmatig aan bij afdelingen om bewustwording te vergroten. En dat is nodig. Want cyberveiligheid is niet iets wat je 'erbij' doet, waarschuwt hij. “Iedereen heeft tegenwoordig een laptop, tablet of telefoon, en via deze devices ook toegang tot vertrouwelijke informatie. Voor het besturen van een auto neem je lessen, en moet je examen doen. Maar er is geen rijbewijs nodig om de digitale snelweg op te gaan. Veel mensen weten dan ook niet wat er allemaal mis kan gaan als gevolg van kleine foutjes of onoplettendheden.”
Herken de risico’s
Een klik op een verkeerde link, een uitgebreid telefoongesprek in de trein, per ongeluk een document doorsturen naar het verkeerde e-mailadres; kleine acties kunnen grote gevolgen hebben. “We hebben het vaak over cyberaanvallen, maar deze slagen vaak doordat mensen niet weten waar ze op moeten letten.” aldus Sanjay. “Door medewerkers bewust te maken van reële risico’s en wat je daar zelf aan kunt doen, maak je van elke medewerker een sterke schakel in de keten.” Daarom zetten Daniel en Sanjay stevig in op bewustwording. Bijvoorbeeld via phishing-tests, interactieve quizzen, e-learnings en visuele campagnes. Ook mascotte Appeltje Eitje speelt daarin een rol, met een eigen cartoonreeks vol handige tips en trucs om veilig te werken. “Zo geven wij op een luchtige manier praktische handvaten mee," vertelt Sanjay. “Denk aan lock je scherm, check voor verzenden nog eens je ontvanger, houd geen vertrouwelijke gesprekken in een treincoupé waar iedereen kan horen wat je bespreekt.”
Je bent een held als je meldt
In oktober, tijdens de Europese cybersecuritymaand, organiseren Daniel en Sanjay samen met andere onderdelen van IenW laagdrempelige campagnes voor de internationale cybersecuritymaand in oktober. “Met de slogan 'Je bent een held als je meldt' willen we cyberschaamte doorbreken”, zegt Daniel. “De phishing mails zijn tegenwoordig zo goed, dat echt iedereen op een foute link kan klikken. De eerste reactie is vaak schaamte. Maar vroegtijdig melden bij iets als een mogelijk datalek, of een vreemde sms of whatsapp benadering, is cruciaal. Juist dan kunnen we snel handelen.” Sanjay vult aan: “Als er niet wordt gemeld, weten wij ook niet dat we in actie moeten komen. Dus ook als je twijfelt, meld het. Je beschermt niet alleen jezelf, maar ook je collega’s en onze organisatie.”
Training voor iedereen
Digitale weerbaarheid is niet alleen een onderwerp voor IT-experts. Binnenkort start een verplichte digitale weerbaarheidstraining voor alle rijksambtenaren, van beleidsmedewerker tot facilitair ondersteuner. Daniel: “Iedereen moet de basisprincipes van omgaan met informatie kennen. Net zoals je weet dat je niet dronken achter het stuur mag stappen, moet je ook snappen waarom je geen documenten naar je privémail stuurt.” Ook ontwikkelt CDIB samen met de Universiteit Leiden een aparte opleiding voor de bestuurders van IenW. “Bestuurders zijn vaak bekend met fysieke crisissituaties, maar een cybercrisis vraagt andere kennis, verantwoordelijkheden en beslissingen.”
Gouden regels voor veilig werken
Tijdens eerdere campagnes werden ook de 'Gouden regels' gelanceerd. De campagne bevatte praktische en simpele tips, zoals:
- Lock altijd je scherm
- Gebruik tweestapsverificatie (2FA)
- Verstuur vertrouwelijke informatie alleen via beveiligde kanalen
- Controleer altijd de ontvanger van een e-mail
- Gebruik een wachtwoordmanager
“De kracht zit in de herhaling," zegt Sanjay. "Niet iedereen leert op dezelfde manier. Daarom bieden we informatie op verschillende manieren aan: via posters, e-learnings, gesprekken op de werkvloer en zelfs een heuse Appeltje Eitje kwartetspel.” Daniel voegt toe: “Technologie kan veel, maar mensen zien vaak sneller wanneer iets niet klopt. Een vreemd verzoek, een afwijkende toon in een e-mail: medewerkers zijn onze beste sensors. We willen dat mensen even dat belletje in hun hoofd horen: klopt dit wel? Moet ik hier iets mee? Dat alleen al maakt IenW weerbaarder.” Sanjay besluit: "Je hoeft geen expert te zijn om een verschil te maken. Je hoeft alleen maar even stil te staan en je logisch denkvermogen te gebruiken. Ken ik de afzender van dat bericht? Heb ik het juiste e-mailadres te pakken? Even dubbelchecken kan een hoop ellende voorkomen. En als het toch misgaat? Altijd melden! Zo maken we samen het verschil.”
Mogen we je een aantal vragen stellen over het FIB jaarbericht? Klik dan hier.
