Hans de Vries, oud-directeur NCSC: “In cybersecurity investeert het nieuwe kabinet hopelijk flink”
Door: Pieter Verbeek Beeld: Lex van Lieshout
“Toen ik negen jaar geleden startte in deze rol had digitalisering vooral te maken met een applicatie waar een probleem in zat”, kijkt De Vries terug. Inmiddels praten we over de impact van digitalisering op verkiezingen, of over desinformatie, grote gelddiefstallen of zelfs het platleggen van een land en infrastructuur. Het gaat over landsgrenzen heen. Het is van iets technisch ook tot iets geopolitieks geworden.”
“Door digitalisering nemen ook de digitale dreigingen toe. Boeven realiseren zich hoeveel geld ze hiermee kunnen verdienen.”
Natuurlijk brengt digitalisering vooral ook veel kansen met zich mee, benadrukt De Vries. De wereld is echter in zo’n rap tempo gedigitaliseerd, dat onze afhankelijkheid ervan enorm is geworden, waarschuwt hij tegelijkertijd. “Daardoor nemen ook de digitale dreigingen toe. Boeven realiseren zich hoeveel geld ze hiermee kunnen verdienen, maar ook statelijke actoren realiseren zich hoe makkelijk ze desinformatie kunnen verspreiden of kunnen interrumperen.
Was het ooit nog een noviteit hoe beroepshacker Kevin Mitnick liet zien hoe je in een systeem inbreekt, nu kan de gemiddelde script kiddie online makkelijk de tools vinden voor een DDoS aanval. Die kun je gewoon per creditcard bestellen. Je hebt er niet eens veel kennis voor nodig.”
Afhankelijkheid digitalisering
Daarom moeten we ons nog meer realiseren hoe groot onze afhankelijkheid van digitalisering is, adviseert De Vries. “Daar moet je als bestuurder bijna dagelijks mee bezig zijn, en risicomanagement toepassen. Dat is mijn boodschap. De bewustwording in de hoofden van vele bestuurders is nog te klein.
“Terwijl juist eigenaarschap bij bestuurders onmisbaar is. Digitale veiligheid moet chefsache worden, je moet het bij elk besluit dat je neemt laten meewegen. Cyberdreigingen zijn geen IT-dingetje dat je bij je CIO wegstopt. Ze hebben vergaande consequenties voor je organisatie als je er de verkeerde keuzes voor maakt.”
Dat komt dus straks ook terug in de NIS2, de Network and Information Security directive, die eind 2024 ingaat. Door deze nieuwe wet moeten overheden en andere organisaties aan veel meer eisen voldoen op securitygebied en worden overheden een ‘regieorganisatie’ die input moet leveren aan hun leveranciers. Daarin is óók persoonlijke aansprakelijkheid opgenomen. “Als je als bestuurder de nodige maatregelen niet hebt genomen, zoals risicomanagement, updaten van contracten of cyberoefeningen, ben je aansprakelijk bij een cybercrisis.”
Fusie en verzelfstandiging
De toename van cyberdreigingen heeft ook de nodige impact gehad op het NCSC zelf. In 2014 was het als GovCert nog een kleine organisatie met ruim vijftig medewerkers, die onder leiding van De Vries fuseerde met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Inmiddels werken er ruim 280 mensen. Sinds 2019 is het NCSC weer een zelfstandige organisatie.
“Het was een turbulente groei”, blikt De Vries terug. “Van een fusie, verzelfstandiging tot het opbouwen van de huidige opdrachtgever-opdrachtnemer-eigenaar relatie met het NCTV en het ministerie van Justitie en Veiligheid. De afgelopen negen jaar is een mooie rit geweest.”
“Als overheid moet je nederig zijn. We kunnen cyberveiligheid alleen in gezamenlijkheid met partners in publiek, privaat en non-profit organiseren.”
Een van de dingen waar hij het meest trots op is, is de samenwerking die het NCSC heeft opgezet met allerlei partners. “Ik heb altijd de verbindingen met andere organisaties gezocht, ook internationaal. Of het nu een zelfstandig bestuursorgaan is of een maatschappelijke stichting. Als overheid moet je nederig zijn. We kunnen cyberveiligheid alleen in gezamenlijkheid met partners in publiek, privaat en non-profit organiseren.”
De komende jaren gaat het NCSC samen met het Digital Trust Center (DTC) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) in één vernieuwde nationale cybersecurity organisatie.
Dat centrum moet in samenwerking met publieke en private partners de digitale weerbaarheid van alle organisaties bevorderen, cyberincidenten en -crisis met een ontwrichtend karakter helpen te voorkomen en de impact ervan beperken. De naam van de vernieuwde organisatie is nog niet formeel bekend.
Wetsaanpassing
Ondanks dat cyberveiligheid steeds beter is georganiseerd liggen er nog genoeg uitdagingen. Een aandachtspunt dat De Vries graag nog meegeeft aan zijn opvolger, maar ook aan de collega-bestuurders, is hoe groot de afstand nog steeds is tussen beleid en uitvoering.
“De politiek moet voordat ze beleid gaat maken eerst afstemmen met de uitvoering, anders gaat het fout. Wetgeving is een tijdrovend, nauwgezet proces. Daar moet je echt de tijd voor nemen met afstemming en publieke rondes, de hele mikmak. Een cyberdreiging is gewoon destructief, het probleem is acuut. Je moet er nu iets mee doen.
“En als de wet dan knelt, is er nog te weinig ruimte om er flexibel mee te kunnen omgaan. Wij liepen in de praktijk met een incident tegen de grenzen aan van wat je mag. Daar heb ik best wel veel tijd ingestoken en aandacht voor gevraagd, en met mij veel private partners.”
“Ik had destijds berekend dat het kabinet 300 miljoen euro zou moeten uitgeven aan cyberweerbaarheid. Die inzet is nog steeds nodig.”
Dat heeft geresulteerd in een wetsaanpassing afgelopen december. Zo mag het NCSC nu dreigingsinformatie delen met andere organisaties dan de overheid en vitale partijen. “De discussie van de wetgeving is voor mij grotendeels verleden tijd. Ik merk dat we nu behoorlijk met elkaar in de pas lopen en dat de Tweede Kamer zich bewust is van de urgentie van dit vraagstuk.”
De Vries hoopt dat het nieuwe kabinet straks cybersecurity prominent op de agenda zet en daar laat staan; en flink erin investeert. “De impact van die digitalisering is zo groot dat, als we dit verloochenen, de afstand tussen de dreiging en de maatregelen alleen nog maar groter wordt. Ik had destijds berekend dat het kabinet 300 miljoen euro zou moeten uitgeven aan cyberweerbaarheid. Die inzet is nog steeds nodig, denk ik. Het gaat echt om nationale veiligheid en om ons economisch verdienvermogen.”
Single truth
De unieke kracht van het NCSC is volgens De Vries dat ze, als een van de weinige organisaties, over alle verschillende sectoren heen kan kijken. Een voorbeeld daarvan zagen we eind 2021 toen er een ernstige kwetsbaarheid werd ontdekt in Apache Log4j, software die veel gebruikt wordt in webapplicaties en allerlei andere systemen.
“Daar ben ik nog steeds supertrots op. Op vrijdagmiddag constateerden we het probleem. Op zaterdag hebben we er actie op genomen en op zondag organiseerden we twee grote Webex meetings met 90 bedrijven en 300 organisaties die aan ons gelieerd zijn om te praten over wat Log4J is en hoe we dat gaan organiseren. De weken daarna hadden wij een GitHub gebouwd, die al snel wereldwijd gebruikt werd als de single truth over Log4J.
Van Canada tot Brazilië werd dit als één repository gebruikt. Dan merk je hoe krachtig zo’n organisatie als NCSC kan zijn. Ik heb dan ook de mooiste baan. Toch is het nu tijd om die aan iemand anders te gunnen. Iedereen heeft een beperkte houdbaarheid.”
“We moeten het vooral met elkaar doen. Cybersecurity is niet iets waar je op moet concurreren. Daarvoor is het te belangrijk.”
Wat De Vries straks gaat doen weet hij nog niet. “Ik vind het cyberwereldje echt heel interessant. Of ik het op een andere manier binnen de overheid ga doen, of dat ik naar een non-profit, een commerciële, of internationale organisatie ga, daar ben ik nog niet over uit. Op dit moment ben ik nog vol verantwoordelijk voor de organisatie.
“Ik zorg eerst voor een warme overdracht met mijn opvolger. En dat vraagt nu alle aandacht met de veranderingen die op ons afkomen: de vernieuwde organisatie, de komst van NIS2. Die nieuwe organisatie moet zichzelf straks bewijzen en de samenwerking tussen publieke en private partijen moet minstens net zo sterk zijn als nu.
We moeten het vooral met elkaar doen. Cybersecurity is niet iets waar je op moet concurreren. Daarvoor is het te belangrijk.”
Bron: dit artikel verscheen eerder bij iBestuur, een uitgave van Sijthoff Media BV