Tekst Hester Vos
Foto Kick Smeets
In het Science Park in Amsterdam staat het Nationaal instituut voor subatomaire fysica (Nikhef). Het is de Place to Be voor Oscar Koeroo (40), de Chief Information Security Officer (CISO) Concern van VWS. De onderzoekers van Nikhef zoeken hier naar antwoorden op de grote natuurkundige vragen van deze tijd.
Je staat hier tussen rijen en rijen zoemende apparaten met flikkerende lampjes. Wat is dit voor sciencefictionachtige ruimte?
“Dit is het rekencentrum van het Nikhef, een van de drukste punten van de Nederlandse wetenschap. Samen zijn het 13.000 rekenkernen die gemiddeld per seconde 30 gigabytes data heen en weer pompen.”
Het is er bloedheet en lawaaiig en toch is het jouw Place to Be?
“Wat hier bij het Nikhef gebeurt is echt zeer bijzonder. Ik ben er trots op dat ik hier tien jaar heb gewerkt, samen met vele toptalenten. Stuk voor stuk allemaal briljante nerds. Hier had ik mijn eerste echte baan en dat was een nogal bijzondere start van mijn cybersecuritycarrière. Dat ik CISO ben geworden bij VWS had ik niet kunnen bereiken zonder alle kennis die ik bij Nikhef heb opgedaan. Hier heb ik mij verdiept in alle mogelijke security vraagstukken.”
Wat is een mooie herinnering aan die tijd?
“Mijn samenwerking met Tinus Veltman. Hij heeft in 1999 de Nobelprijs voor Natuurkunde gewonnen en het was geweldig om met hem discussies te hebben over de evolutie van de computer. Ik loop soms nog door de hal bij OCW en zie dan Tinus tussen al die bustes staan. Dan denk ik even terug aan onze gesprekken en hoe hij mij geïnspireerd heeft.”
Ik hoorde iemand jou zonet de ‘Veiligheidskoning van VWS’ noemen. Is dat terecht?
“Het is een mooi statement! Wat natuurlijk klopt is dat ik sinds augustus 2021 als CISO Concern verantwoordelijk ben voor de informatiebeveiliging over heel VWS. Prima als ze me de Veiligheidskoning noemen, maar ik ben niet een koning die dirigeert. Ik ben iemand die mensen mee probeert te krijgen. Sowieso ben ik niet van de hiërarchie en gelukkig ervaar ik VWS ook niet als heel hiërarchisch. Het maakt mij echt niet uit wie wat zegt. Je moet zelf blijven nadenken. Dat is wat ik doe en dat is wat ik van anderen verwacht.”
Hoe krijg je VWS’ers mee met het onderwerp veiligheid?
“Ik wil dat mensen goed communiceren en aan de bel trekken. Als je een rare mail ontvangt, meldt dat aan de Helpdesk . Ook als het een gênante mail is. Eén melding kan het butterfly-effect hebben en voorkomen dat honderden andere collega ’s hetzelfde probleem krijgen.”
Wat kunnen VWS’ers nog meer doen om bij te dragen aan cyber security?
“Het allerbelangrijkste is altijd het juiste proces volgen als je bezig bent met een website, een app, een e-learning, een nieuwsbrief, of wat voor online middel dan ook. Laat altijd weten aan het team Online Advies bij de directie Communicatie waar je mee bezig bent. Gewoon door een mail te sturen naar liaison@minvws.nl. We willen overzicht hebben van wat we allemaal hebben en wie verantwoordelijk is. Als er een securityprobleem is, weten we tenminste bij wie we dan moeten zijn bij een incident.”
Is het inmiddels gelukt om goed overzicht te krijgen?
“De lijsten zijn nog steeds niet compleet, hoewel er inmiddels al veel in kaart is gebracht. Het fluctueert in de aantallen, maar het zijn honderden webadressen met onderwater gevoelige infrastructuur. We moeten er dus hard aan blijven werken. Tot nu toe poppen er wekelijks nieuwe websites en andere applicaties op die we nog niet kennen. Maar als VWS betaalt en verantwoordelijk is, moet dit echt worden gemeld. Het is belangrijk dat iedereen zich realiseert dat elk online middel risico’s met zich meebrengt. Ook een kleine website die misschien onbeduidend lijkt. Criminelen kunnen de site hacken en gaan misbruiken. Met veel ellende als gevolg. Preventie is het allerbelangrijkst en het proces helpt ons allemaal.”
Je bent bij VWS gestart in een periode van veel kritiek. Deed dat jou twijfelen om CISO bij VWS te worden?
“Zeker niet! Ik vind het juist een geweldige uitdaging. Daar houd ik juist van. Het moet niet te makkelijk worden. Als het saai wordt, dan past het niet bij mij.”
Zoek je in je vrije tijd ook uitdagingen op?
“Heel graag zelfs. Ik heb in de Dominicaanse Republiek geraft op een woeste stroom en ik heb aan jeepsafari’s meegedaan. Ik neem graag risico’s en zoek grenzen op. Grotduiken, bungeejumpen en een rit in een snelle racewagen staan nog op mijn bucketlist.”
Ben je dan nergens bang voor?
“Waar ik bang voor ben is dat mijn vrouw of kinderen iets zou overkomen. Ik heb mezelf ook afgevraagd wat voor effect mijn werk heeft op thuis vanwege de rol die ik nu als CISO bij VWS heb. Verder ben ik soms bang om fouten te maken.”
Ben je van jongs af aan al bezig met computers?
“Vanaf mijn vierde zat ik al achter de computer. Ik ben altijd aan het onderzoeken geweest en wilde altijd weten hoe iets werkt. Ik speelde ook veel met Lego en dan ging het me echt om de constructie. Waarom valt iets uit elkaar? Ik was extreem autodidactisch en heb ongelooflijk veel geknutseld met computernetwerken thuis om het maar uit te proberen. Mijn vader stimuleerde dat ook heel erg. Zelf was hij thuis altijd bezig met allerlei experimenten. Menigmaal vlogen alle stoppen eruit!”
Knutsel je nu nog weleens samen met je vader?
“Ja, dat doen we. Hij is vrijwilliger bij het Aviodrome en houdt zich daar bezig met alle elektronica. Hij vindt het geweldig om dan oplossingen te bedenken voor problemen en soms proberen we dingen samen op te lossen. Als een oude computer kuren heeft, proberen we bijvoorbeeld samen om een eigen programma te maken. Ook mijn opa was gek op techniek en hij had een oneindige hoeveelheid gereedschap. Hij installeerde vroeger radio’s en televisies.”
Kun je ons tot slot nog een beetje geruststellen of moeten we écht bang zijn voor bedreigingen?
“We hebben alles behoorlijk goed onder controle, maar we moeten ook met z’n allen heel alert blijven. VWS is veel spannender dan het lijkt. Voor mij voelt het vaak als een spannende actiefilm. Er zijn serieus veel dreigingen, maar laten we niet bang zijn. We moeten samen in onze eigen kracht blijven geloven. Alle kleine en grote bijdragen in de vorm van meldingen tot programma’s tellen op bij een veilig VWS. Samen kunnen we weerstand bieden aan de grootste bedreigingen die er maar zijn.”