Hij is van huis uit gedragsbioloog, maar hield zich na zijn studie vijf jaar bezig met beleidsonderzoek en beleidsadvies op het gebied van sociale zaken en werkgelegenheid. Nu, na zes werkzame jaren in het beveiligingsdomein, is hij sinds 1 februari 2013 de eerste Rijks-BVA (Rijksbeveiligingsambtenaar): Arnoud van Petersen.
Het is een heel nieuwe functie, en er zijn veel belanghebbenden. ‘Het is een functie waarvan veel mensen al hebben aangeven erop gewacht te hebben en te verwachten er baat bij te zullen hebben, dus er wordt wel naar mij gekeken’, glimlacht Van Petersen. Er ligt een functieomschrijving, geeft hij aan, maar het is toch vooral aan hem zelf om de rol van Rijks-BVA vorm en inhoud te geven met als belangrijke taak de sturing op een integrale beveiliging. Zo moet Van Petersen invulling geven aan het streven naar meer Rijksbrede uniformiteit in de wijze waarop integrale beveiliging wordt ingevuld. Tegelijkertijd moet ook de verbinding tussen de diverse domeinen van integrale beveiliging worden gemaakt: informatiebeveiliging en de fysieke en personele aspecten van beveiliging. ‘Het goed organiseren van de governance is uiteraard geen doel op zich, maar wel een belangrijke randvoorwaarde om snel en adequaat in te kunnen spelen op de dreigingen en risico’s die op ons als Rijk afkomen’, aldus Van Petersen.
Is de affaire met DigiNotar het drukmiddel geweest voor deze functie?
‘Ik zou niet willen zeggen dat het een drukmiddel is geweest. Het is wel één van de stappen die de aanleiding vormden voor het geheel. Maar in essentie is het vooral een gevolg van de ontwikkeling die het Rijk doormaakt rond de eigen bedrijfsvoering, eerder met het uitvoeringsprogramma Compacte Rijksdienst en nu met de Hervormingsagenda. Het Rijk gaat steeds meer als één concern acteren.’
Welke vraagstukken en uitdagingen liggen er?
‘Juist met de transitie van het Rijk naar het meer Rijksbreed organiseren van de diverse ondersteunende bedrijfsvoeringaspecten, zijn er veel ontwikkelingen die een raakvlak hebben met beveiliging. Denk op het vlak van ict aan de inzet van cloud-technologie. Andere informatiebeveiligingsvraagstukken hebben bijvoorbeeld betrekking op ‘enterprise mobility’ (de inzet van mobiele apparatuur), het zo veilig mogelijk vormgeven van onze koppelvlakken met internet – denk daarbij ook aan een effectieve DDoS mitigatie – en de beveiliging van onze nieuwe datacenters. Een andere grote uitdaging is natuurlijk de zich ontwikkelende en veranderende cyber crime en cyberspionage dreiging.’
Rond huisvesting spelen andere vraagstukken als gevolg van het samengaan van departementen in gemeenschappelijke huisvesting, de bedrijfsverzamelgebouwen. Dat vraagt om een meer departement-overstijgende benadering van fysieke beveiliging, legt Van Petersen uit. Op het vlak van personeel speelt de naleving van de Wet Veiligheidsonderzoeken, ofwel de integriteit van het overheidspersoneel.
‘De belangrijkste uitdaging bij al die aspecten is niet eens zozeer de technische kant, maar vooral: wie is waarvoor exact verantwoordelijk? Dit komt omdat rollen, taken en verantwoordelijkheden tot op heden vooral per departement georganiseerd waren. Nu dat diensten en vraagstukken steeds vaker een Rijksbrede benadering kennen, dienen die rollen en verantwoordelijkheden departement-overstijgend en Rijksbreed vorm gegeven te worden.’
Baseline Informatiebeveiliging Rijksdienst
Eén van de processen binnen het I(ct)- domein waar Van Petersen tevreden over is, is de Baseline Informatiebeveiliging Rijksdienst (BIR). Deze BIR, waarvan de primaire verantwoordelijkheid is belegd bij de Rijks cio (tot 1 januari 2014 Maarten Hillenaar) en de leden van de ICCIO (Interdepartementale Commissie van Cio’s), voorziet in één basisniveau van informatiebeveiliging voor de gehele Rijksdienst. ‘Het gaat er daarbij vooral om dat men, in ketensamenwerking, vertrouwen heeft in elkaars netwerk- en informatiebeveiliging, zodat tussen ketenpartners efficiënter informatie en infrastructuur kan worden gedeeld. En ook hier geldt dat beveiliging zo sterk is als haar zwakste schakel. De BIR zorgt ervoor dat de schakels een bepaalde, gezamenlijk overeengekomen, minimumsterkte kennen. De BIR is tevens een instrument waarmee organisaties kunnen laten zien dat zij ‘in control’ zijn op het gebied van informatiebeveiliging.’
‘Met name in het I-domein is de Rijksbrede besturing zich al goed aan het zetten. Informatiebeveiliging wordt Rijksbreed bestuurd op basis van het principe dat informatiebeveiliging een kwaliteitsaspect is van informatievoorziening en informatie-management. Dit betekent onder meer ook dat de cio-Rijk verantwoordelijk is voor het formuleren van de Rijksbrede informatiebeveiligingskaders en voor de borging ervan. Ik als Rijks-BVA houd meer op afstand toezicht op de werking van het proces. Het zou mooi zijn om dit sturingsprincipe uit het I-domein, dus: ‘informatiebeveiliging is een kwaliteitsaspect van de informatievoorziening’, ook toe te passen op de andere domeinen van integrale beveiliging: de huisvesting en het personele domein.’
Rollen en verantwoordelijkheden
De rollen en verantwoordelijkheden rond integrale beveiliging zijn recent opnieuw vastgelegd in het Beveiligingsvoorschrift Rijksdienst (BVR), inclusief de rollen en verantwoordelijkheden van de Rijks-BVA. Van Petersen: ‘Het uitgangspunt van het eerdere BVR uit 2005 blijft ook in het nieuwe BVR gehandhaafd, namelijk dat het lijnmanagement verantwoordelijk is en blijft voor de integrale beveiliging van de eigen processen, systemen en informatie. De departementale BVA’s en de Rijks-BVA ondersteunen het lijnmanagement daarbij door advies te geven of door toezicht te houden op de naleving van afspraken en normenkaders.’
‘Eén van de dingen die ik belangrijk vind vanuit mijn adviesrol is dat er meer dan voorheen gewerkt wordt aan detectie van risico’s en incidenten. Uiteraard doen we met elkaar zoveel mogelijk om te voorkomen dat beveiligingsincidenten zich voordoen. Als die zich toch voordoen, dan is het van groot belang dat dit direct zichtbaar wordt zodat er ook direct gehandeld kan worden.’
Van Petersen noemt als voorbeeld de opzet van security operations centers (SOC’s) binnen het Rijk, waar de veiligheid van bijvoorbeeld een it-infrastructuur dag en nacht wordt gemonitord. Hij zegt: ‘100 procent veiligheid en beveiliging bestaat niet. Maar je kunt wel er naar streven om de risico’s te beperken op basis van risicomanagement. En dat betekent dus ook dat de grootste risico’s de meeste aandacht verdienen. Het betekent ook dat je moet investeren in het zo snel mogelijk detecteren van incidenten en daar helpen SOC’s bij. Mijn ambitie is om uiteindelijk toe te groeien naar een situatie waar we als Rijk in staat zijn om al onze netwerken rond de klok te monitoren met één Rijksbreed netwerk van enkele professionele SOC’s.
‘Voorkomen is altijd beter dan genezen’, concludeert Van Petersen. ‘De DigiNotar-affaire heeft daarin ook het een en ander opgeleverd in termen van lessons learned. Maar ieder groot incident is weer anders. Belangrijk is dan dat je helder hebt wie waarover gaat. Juist het werken in een veranderende omgeving impliceert dat je scherp moet zijn op rollen en verantwoordelijkheden. Die veranderingen bieden daarnaast heel veel kansen nu om een aantal zaken op een goede manier te regelen.’
Dit artikel is ook te lezen in GOV magazine nummer 5.
