Eind november werd in Nootdorp de conferentie ‘Cybersecurity bij de digitale overheid’ gehouden. De door IIR georganiseerde twee daagse conferentie behandelde een onderwerp wat blijkbaar zeer ‘hot’ is maar wat niet tot uiting komt in de bezoekersaantallen.
De ministers Plasterk en Blok hebben in mei van dit jaar in een brief aan de Tweede Kamer gemeld dat in 2017 de overheid zijn dienstverlening volledig digitaal moet leveren. Een behoorlijke ambitie die ook de nodige security uitdagingen oplevert. De bewustwording van risico’s in de huidige digitale samenleving en met het oog op deze doelstelling van de ministers wekt de verwachting dat ‘Cybersecurity’ een onderwerp is dat enorm leeft binnen alle lagen van de overheid. Afgaand op de opkomst bij deze conferentie over dit onderwerp blijkt dit nog niet zo te zijn. Overigens zou het ook kunnen dat de oorzaak ligt in het feit dat deze conferentie over security volgnummer 23 had voor de maand november.
Met naar schatting ergens tussen de dertig en veertig bezoekers op de eerste dag lijkt het niet druk bezocht. Toch vindt er een goede interactie plaats tussen sprekers en publiek. Over twee dagen verspreid staan een aantal interessante sprekers en onderwerpen gepland. Het dagvoorzitterschap blijkt in de vaardige handen van John Hermans. Hij opent de conferentie met prikkelende vragen over wie nu de actoren zijn in cybersecurity: staten, criminelen of toch de scriptkiddies?
De aftrap als eerste spreker is voor Wil van Gemert, directeur cybersecurity van het ministerie van Veiligheid en Justitie. In zijn directie bevindt zich ook het Nationaal Cyber Security Centrum (NCSC). Hij schets een beeld dat naast de vier traditionele dimensies; aarde, water, lucht en vuur, een vijfde dimensie, cyber, een niet meer weg te denken plaats heeft ingenomen. Cybersecurity biedt natuurlijk niet alleen dreigingen maar ook vele kansen. Het vraagt ook om een andere vorm van samenwerking door het vormen van coalities en partnerships.
Van Gemert presenteerde aan de zaal ook de recent gepubliceerde Nationale Cyber Security Strategie 2. De NCSS2 beschrijft onder andere dat investeren in kennis, regulering en meer transparantie onderwerpen zijn die de overheid moet oppakken in haar rol. De burger daarentegen moet bewust worden gemaakt dat zij een eigen verantwoordelijkheid hebben ten aanzien van ‘cyber hygiëne’. Ook private partijen worden in de NCSS2 gewezen op hun verantwoordelijkheid dat zij meer rekening dienen te houden met veiligheid in de ontwikkeling van haar producten.
Spionage grootste dreiging
Brenno de Winter vervolgt de conferentie met een monoloog over een andere rol voor defensie in de cyberwereld. Hij maakt de vergelijking tussen conventionele oorlogsvoering, waarbij sprake is van offensief en defensie, en de digitale cyber wereld. In cyber bestaat volgens de Winter geen defensie. Offensief is een aanval op een lek en defensie kan aangewend worden om een lek te dichten maar veel interessanter in cyberoorlog is het om een lek te behouden en zelf in eigen voordeel te gebruiken.
De Winter stelt in zijn verhaal ook vraagtekens bij de overheid die nadrukkelijk een publiek-private samenwerking nastreeft in cybersecurity. Het gevolg hiervan is volgens hem namelijk dat private ondernemingen dan invloed hebben op de richtlijnen over zijn gegevens. En doen ze dat dan vanuit maatschappelijke betrokkenheid of voor eigen gewin?
Op een vraag uit de zaal over wat hij ziet als de grootste dreiging noemt De Winter zonder aarzelen spionage! Spionage heeft negatieve gevolgen voor economie en maatschappij en daarbij raakt het iedereen persoonlijk.
TNO
Het derde optreden op deze eerste dag is gereserveerd voor Ida Haisma van TNO. De titel van haar bijdrage is ‘Veilig cyberspace bevordert innovatie, de economie en de nationale Veiligheid’. Die boodschap komt echter in de presentatie niet echt uit de verf. Wel volgt er een herhaling van de al veelvuldig gehoorde stelling dat cyber veel risico’s met zich meebrengt en dat we daar met zijn allen wat aan moeten doen. Van de gelegenheid wordt nog wel even gebruik gemaakt om voor te lezen hoe TNO georganiseerd is en welke programma’s en ontwikkelingen, zoals het Cyberlab, er binnen het instituut lopen.
Paneldiscussie
De drie sprekers van de eerste dag kunnen vervolgens aan een vragenvuur onderworpen worden in de paneldiscussie. De discussie komt niet echt los. Er volgt een herhaling, misschien in andere bewoordingen, over alles wat er die ochtend ook al is gezegd. De prikkelende stelling of vraag ontbreekt.
Na de lunch wordt in een parallelsessie de ‘hacking skills’ van KPMG gedemonstreerd. Een beetje eenvoudige demo maakt bij het, veelal niet echt security technisch onderlegde, publiek wel indruk. Jammer dat de beschikbare tijd en de inhoud niet echt op elkaar afgestemd waren.
De tweede parallelsessie waarvoor ik heb gekozen gaat over de DigiD assessments, althans die verwachting wekt de titel. In werkelijkheid gaat het over de manier van auditen en een raamwerk dat door UWV gebruikt wordt om audits reproduceerbaar en de resultaten vergelijkbaar te maken.
Dag twee
Dag twee van de conferentie start veel belovend. In een ontbijtsessie, een verassend leuk initiatief, kan men aanschuiven bij een drietal tafels waaraan door de organisatie een consultant met een vooraf bepaald onderwerp plaats heeft genomen. Ik kies voor de tafel waaraan Dennis de Geus van KPMG risico management ingaat op de vraag: ‘Wie is nu echt @ risk?’ Dennis weet het gesprek goed op gang te houden en er ontstaat tussen de gaandeweg uitbreidende deelnemers een leuke discussie over risicomanagement bij gemeenten.
CBP
In de plenaire zaal wordt de dag voortgezet door Wilbert Tomesen van het College Bescherming persoonsgegevens (CBP). Hij oreert over het fundamentele recht van bescherming van persoonsgegevens en dat bescherming op een zo hoog mogelijk bestuurlijk niveau belegd moet worden. De grootste zorg van het CBP op dit moment is de ‘decentralisatie beweging’ van bijvoorbeeld jeugdzorggegevens naar gemeenten. Ter onderbouwing schildert Tomesen een beeld dat slechts 4 procent van de 483 gemeenten in Nederland in staat is om de beveiliging van SUWInet op orde te krijgen en bij één op de vijf gemeenten ongeautoriseerde medewerkers dossiers van bekende Nederlanders hebben ingezien.
X-Force
Het vervolg van de tweede dag is voor Harry van Dorenmalen, voorzitter van IBM Europe, die een samenvatting van de meest opvallende zaken presenteert uit hun X-Force-rapport. De meeste feiten over actoren, dreigingen en slachtoffers zijn geen verassingen.
De tijd voor de lunch wordt gevuld door de Taskforce BID, BID staat voor Bestuur en Informatieveiligheid Dienstverlening. De taskforce is geïnitieerd door minister Plassterk mede naar aanleiding van de Diginotar-incidenten. Het doel is om informatieveiligheid op de agenda van bestuurders te krijgen. In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd. De grote vraag van de aanwezigen in de zaal bestaat uit ‘hoe dwing je dat af?’ Gebruik je een ‘stok’ om mee te slaan of een ‘wortel’ om voor te houden, zodat men in beweging komt?
De taskforce BID wil geen ‘stok’ hanteren maar stimuleren. Toch is er in de presentatie, zoals een aanwezig raadslid terecht opmerkt, geen ‘wortel’ te herkennen in de aanpak. Volgens de leden van de taskforce moet dit gezocht worden in het feit dat meer veiligheid leidt tot een betere dienstverlening. De metafoor die gebruikt wordt is een beetje ongelukkig en geeft een gezocht antwoord, namelijk: de steeds betere en uitbreidende veiligheidsmaatregelen in auto’s zorgen er voor dat we in de loop der jaren ook steeds harder konden gaan rijden.
De namiddag is ingeruimd voor een oefening in het managen van veiligheidsincidenten. De simulatie zit goed in elkaar en het spel geeft op een vermakelijke manier een beeld van de actoren in een incident en de stappen die noodzakelijk zijn om te nemen en dus in te richten door een organisatie.
Resumé
Overall was de conferentie goed georganiseerd. De locatie is aantrekkelijk gelegen naast de A12 en de catering en ruimtes zijn goed verzorgd. Achteraf is de doelgroep van deze conferentie te bepalen op bestuurders met weinig kennis van wat zij met cybersecurity zouden moeten aanvangen. Raakt dit hen en welke rol hebben ze. De al wat meer inhoudelijk op de hoogte zijnde bestuurder of ambtenaar kan beter naar een andere conferentie, tenzij het programma voor een volgende keer aangepast en met name gevarieerder is. Om op te vallen tussen de talrijke conferenties en symposia over security in oktober en november is het aan te bevelen om meer te profileren op een specifiek aandachtspunt binnen cybersecurity door bijvoorbeeld in te zoomen op privacybescherming of beveiliging van ketens.
Ik moet de kritiek van Peter Westerveld helaas onderschrijven. Ik heb weinig vernomen in de fora en symposia over het uit handen geven van de overheid van pure private data aan andere overheden. Niets van de vooraf informatie die men doet wanneer passagiers met een NL nationaliteit naar landen zoals de VS, Canada en Israël vliegen.
Ik heb niets gehoord over het vrijelijk ter beschikking stellen van persoonlijke data aan Brussel en de voorbereidingen die zij aan het treffen is alle data van Nederlands staatsburgers integraal kenbaar te maken aan Brussel bijvoorbeeld.
Plasterk en Blok
Beiden hebben geen enkele achtergrond of affiniteit met de materie en processen IT. Van Opstelten en Donner hadden dat ook niet. Toch ‘houden, hielden’ zij zich er met een gewichtig gezicht mee bezig. Over het falen van Diginotar en C2000 verder geen woord, ook niet helder hoe men dit in de nabije toekomst denkt te zullen gaan doen.
Veel geneuzel in de matge en weinig echte concrete zaken waar mensen op aan konden haken of aan konden sluiten. Discussies lokte alleen maar minder ter zake doende discussie uit en vrijw einigen waren werkelijk in de lead.
Weinig kritische geluiden en de gegeven symposia wervelde in cirkeltjes alsof het allemaal was voorgekauwd. Niets van wezenlijke waarde van de demonstraties en niets over mensen zoals Snowden en het inzoomen over hetgeen Snowden in de openbaarheid heeft gebracht.
Niemand bij de overheid neemt verantwoordelijkheid
Er is werkelijk niemand bij de overheid die op staat en met de vuist op tafel slaat en zegt, genoeg! Nu gaan we het zo doen. Resoluut en doordacht, in de lead, met kennis van zaken en vooral die sterke persoonlijkheid die stelt wat de merites zijn die je gezamenlijk na zou moeten streven.
Waarom niet?
Dat is eenvoudig. Zou die persoon er zijn, die werkelijk die stap zou durven zetten, die zou dan ook meteen diezelfde overheid op het matje roepen. Niet alleen die overheid maar ook de luchtvaartmaatschappijen en al die ambtenaren die volkomen ongeauthoriseerd grasduinen in privégegevens van bekende Nederlanders.
Het zou een ommekeer betekenen van de weg die Balkenende, Bos, Donner, Rutte, Dijsselbloem aan het inzetten zijn. Het overleveren van uw en mijn gegevenas aan diegenen die het beste weet te chanteren. Verder niets er toe doende op het gebied van de persoonlijke data van u of mij.
Dat is de realiteit en klaarblijkelijk zijn er steeds minder mensen die door hebben dat u over uw persoonlijke data, domweg steeds minder te zeggen heeft.
Dat is de realiteit. Die twee dagen? Hebben mij niet echt tot een helder beeld of visie gebracht. Al helemaal niet IT wise.