Inge Bryan maakt zich ernstig zorgen over het ict-beleid in de periode na Rutte III. De nieuwe topvrouw van Fox-IT, een van de grootste cyberbeveiliger van Nederland, ziet geen politici met kennis van ict naar voren stappen. De controle op het technologiebeleid en aanpak van securityproblemen zal onvoldoende zijn.
Ze sprak onlangs tijdens de podcast Cyberhelden van security-expert Ronald Prins haar twijfels uit over het kennisniveau van de Tweede Kamer na de verkiezingen in maart. Bekend is dat een handvol huidige parlementariërs die wel verstand van ict heeft, straks niet meer in de groene bankjes terugkeert. Daarmee is de leegloop compleet.
‘Er komen geen Kamerleden die het licht gaan brengen’, stelt Bryan die als directeur Europa van de Britse NCC Group, waar Fox-IT onder valt, veel met Nederland te maken krijgt. Ze is ook teleurgesteld over de nieuwe verkiezingsprogramma’s. Volgens haar lees je hierin alleen maar terug wat externe experts hebben ingefluisterd. Een duidelijke visie, met name op gebied van cybersecurity, ontbreekt.
Bryan vreest ook dat een nieuw kabinet straks weer bewindslieden krijgt die weinig kaas van ict hebben gegeten. Op zichzelf hoeft dat geen ramp te zijn zolang ministers maar de juiste adviseurs hebben en knopen durven door te hakken. Helaas is de laatste jaren gebleken dat de meeste ministers alleen maar taken voor zich uitschuiven dan wel verantwoordelijkheden naar collega’s afschuiven, aldus de recent aangestelde directeur van Fox-IT.
Lees ook het profiel over haar: Offline: Inge Bryan, de ‘mama’ van Fox-IT
Mevrouw Bryan maakt zich zorgen?
Over iets dat al bijna 40 jaar – al vóór de BIOS-nota 1984 – gemeengoed is?
Gezien haar argumenten had ze intussen beter in de politiek kunnen gaan.
Eehhmm …… wacht even.
De CES-Keynote van Brad Smith van Microsoft was een regelrechte wake-up call aan regeringen inzake wat er in December inmiddels allemaal gebleken was m.b.t. het Solarwinds incident. Hij trok alles erbij, de maanlanding, de koude oorlog, NATO. Hij drong aan op veel meer gezamenlijke aanpak. Hopelijk zal dit in ieder geval niet gemist worden door parlement en regering of zijn er toch nog wel een paar op toegelegde diensten die dit gaan oppakken. Gelukkig staan regering en parlement altijd wel te trappelen als ze door de five eyes weer ergens bij betrokken worden, weer voor een soort ‘privileged status’ e.d. in aanmerking komen.
Ik vrees dat mevrouw Bryan gelijk heeft, maar van de politiek hebben wij het ook in de komende regeerperiode waarschijnlijk niet veel te verwachten. Die komt het ‘worteltjestaart-niveau’ niet te boven. Waarom slaan bedrijfsleven en (uitvoerende) overheid de handen niet in elkaar en nemen we gezamenlijk het initiatief om onze IT-inspanningen veiliger, robuuster en effectiever te maken?Constateren dat er een probleem is: te gemakkelijk. Daar hoef je geen IT-specialist voor te zijn. Oplossingen aandragen vraagt meer creativiteit. Samenwerking tussen IT-industrie en overheid is hard nodig. Het moet voorkomen dat onze dagelijkse werkelijkheid verder dichtgetimmerd wordt met allerlei wet- en regelgeving en daarmee verbonden audit-, verantwoordings- en handhavingssystemen á la GDPR, BIO, etc.. Wet- en regelgeving is ook op IT-gebied nodig, maar die moet dan ook worden vertaald naar technische oplossingen.
De uitdaging voor bijvoorbeeld privacy beveiliging is dat de verordeningen worden doorvertaald naar technische oplossingen (by design): dan hoef je minder controles e.d. uit te voeren en kun je niet anders dan compliant werken. In de discrete industrie hebben ze die aanpak al een paar decennia geleden omarmd. In de IT kan dat ook, als de bedenkers van wet- en regelgeving gaan samenwerken met de uitvoerders. Daar heb je geen IT-opgeleide kamerleden voor nodig.
Ik deel de zorgen over het IT-denken bij de overheid.
Zie ook het drieluik over digitalisering van de overheid: https://www.itexecutive.nl/wp-content/uploads/2021/01/Drieluik-Digitalisering-Overheid.pdf
Het bijzonder om te lezen dat de IT-leveranciers denken er rol te moeten spelen. Daar waar nodig ja, maar besef voor eenieder dat bijna alle systemen bij overheidsorganisaties door diezelfde IT-leveranciers al meer dan 40 jaar zijn gebouwd. Natuurlijk is er bij de overheid ook het e.e.a. niet goed geregeld. Dat is namelijk dat het wat en hoe door elkaar lopen bij IT. Dat is ook zoals het hoort, maar het wat ligt bij de overheid nu bij de politiek en het hoe bij de ambtenaren. Het idee dat er zuivere vertalingen gemaakt kunnen worden tussen het wat en het hoe op het gebied van IT is theoretisch zelfs onmogelijk.
Niet politici moeten verstand hebben van IT, maar juist de ambtenaren. Een minister, een dijkgraaf of wethouder zit echt niet aan de knoppen bij zijn of haar organisatie. En het idee dat je alles kunt uitbesteden is zoals reeds aangegeven niet de oplossing. Er moet meer kennis, geld en bevoegdheden lager in de overheidsorganisatie worden neergelegd. De ambtelijke top is net zoals de politiek niet terzake kundig. Ze vinden al gauw iets te complex of te duur. Terwijl de totale kosten van IT een schijntje is van het geld dat uitgegeven wordt aan uitkeringen, de zorg of andere zaken. Laten we zaken in perspectief houden. Natuurlijk kan de IT goedkoper (zeker als het fout gaat), maar dan zal je wel echte beslissingen moeten durven nemen en niet in een afwachtende houding achterover blijven leunen.
Besef ook dat beveiliging maar een aspect is van de overheids-IT. Er bestaan ook nog zaken als data, infrastructuur, privacy, werking van applicaties, etc….. Het is echt een vak, niet een bezigheidstherapie. IT is dermate verknocht met de processen dat er ook geen onderscheid bestaat. Daarom bestaan er ook geen IT-projecten, maar projecten, waar naast IT, ook de processen, de dienstverlening zelf, en de wetgeving samenkomen. De relatie tussen die vakgebieden is echt geen gemakkelijke kost. Eenieder die denkt dit vanaf de kansel te kunnen verbeteren stel ik voor om bij een overheidsorganisatie te gaan werken. Dan praten we verder.
Ik moet zeggen dat de reacties hier tot nog toe net zo weinig zeggend zijn als die van mevrouw Bryan.
Het besluitvormend niveau – ambtelijk en politiek – komt al 40 jaar niet verder dan ‘bewust onbekwaam’. Alle werkconferenties, seminars en workshops ten spijt.
Maar in dat geval dien je de uitvoering van je verantwoordelijkheid te leggen bij de bewust bekwamen.
Echter, zoals vaker gezegd, ziet het besluitvormend niveau zich niet als verantwoordelijk, tegen beter weten en wet- en regelgeving in. Laat staan dat men zich als ‘accountable’ ziet.
Maak het besluitvormend niveau accountable in de zin van ‘hoofdelijk aansprakelijk’. Dan is het snel afgelopen met de pret.
Het is niet mijn bedoeling om op de vrouw te spelen maar ik ben eerst begonnen met het lezen van het profiel van Inge die niet alleen een indrukwekkende staat van dienst heeft maar ook interessante nevenfuncties:
Bestuurslid Global Forum on Cyber Expertise
Lid Raad van Advies Nationaal Archief
Lid Raad van Advies Politieacademie
Lid Raad van Advies The Hague Security Delta
Lid Raad van Advies Executive Master Legal Technologies (Universiteit Leiden)
Lid Toetsingscommissie Digital Trust Center (Ministerie Economische Zaken en Klimaat)
Mogelijk dat ik achterloop op de situatie en heeft Inge met het aanvaarden van haar nieuwe baan wat nevenfuncties neergelegd maar over het algemeen is het spel van samenwerking tussen private en publieke partijen een complexe belangenverstrengeling waardoor er geen herleidbaarheid is naar de degene die adviseerde. Oftewel na het wisselen van pet schuif je uiteindelijk gewoon weer aan bij dezelfde tafel om te adviseren zodat het spel ongewijzigd door kan gaan.
I think what is most important is they listen to the advice they are given, and understand how important ICT is to the functioning of a country. And know that cyber criminals are becoming more organised, have more funds at their disposal and are driven by more successes in spreading malware.
How many advisory boards and oversight committees does it take to convince the strategic importance of ICT? The answer, my friend, is blowin’ in the wind….
Een gewoon kamerlid ontvangt een bruto jaarsalaris van 117 duizend euro, inclusief alles. Daar komt natuurlijk geen echte ICT expert voor opdraven. Nu denk ik ook niet dat kamerleden en andere politici noodzakelijkerwijs diepgaand verstand van ICT nodig hebben; we lezen toch ook geen berichten dat politici te weinig weten van chemie, natuurkunde, de medische wetenschap, geologie en wat dies meer zij, terwijl zij toch ook beslissingen nemen op die gebieden.
De vraag is veeleer waarom wij nog steeds zo’n enorme prutsindustrie zijn waardoor iedereen van alles moet weten over ICT om het goed en veilig te kunnen gebruiken.