Vroeger was er het wassende water, nu zijn er de cybercriminelen
Net als andere overheidsorganisaties, heeft ook de provincie Zeeland te maken met toegenomen cyberdreigingen. Hans Quist is CISO bij deze provincie. ‘Ons bewustzijn van het belang van goede beveiliging zou best wel eens te maken kunnen hebben met onze historie. Met de eeuwenlange bescherming tegen de zee.’ Hoe ze ervoor zorgen dat hun beveiliging tegen cybercriminelen goed op orde is? Door samen te werken, vertelt Hans, én met support van directie en bestuur.
Sinds een paar jaar heeft de provincie Zeeland het ISO 27001-certificaat voor de héle organisatie – als eerste overheidsorganisatie. En natuurlijk, dat papiertje is mooi, zegt Hans Quist, maar veel mooier is waar het voor staat. Een goed beschermde overheidsorganisatie, die serieus werk maakt van haar informatiebeveiliging. Dat ging – en gaat – niet zonder slag of stoot. Want zo’n ISO-norm is niet een kwestie van een lijst acties afvinken, het is een continu proces van plan, do, check en act. Van beheren, monitoren en verbeteren. Van continuous improvement.
Soms doet het pijn, gaat Hans verder. Zoals laatst, toen bestuurders ontdekten dat er beperkingen zaten in het e-mailgebruik vanuit de cloud. Of het toch niet mogelijk was om die beperkingen eraf te halen? Op zo’n moment legt Hans rustig uit wat er dan op het spel staat. Dat die beperkingen er zijn om zwakke punten te dichten die een hoog risico op misbruik met zich mee brengen. Haal je die beperkingen weg, dan zou de provincie niet meer voldoen aan de ISO-norm. En dat is iets waar de bestuurders nu erg trots op zijn.
Mensen opvoeden
Hans vindt zijn werk ‘het leukste werk dat er is. Want het gaat over techniek, organisatie én mensen opvoeden.’ Jaren geleden kwam hij, een geboren en getogen Zeeuw, als programmeur bij de provincie werken. Toen het programmeren werd uitbesteed, rolde hij de informatiebeveiliging in, om er nooit meer uit te komen. De afgelopen jaren heeft hij veel bereikt, met het behalen van de ISO-norm als hoogtepunt. Dat heeft hij natuurlijk niet alleen gedaan, benadrukt hij. Zo was het veiligheidsbewustzijn bij zijn provincie altijd al heel aanwezig. Mensen spreken elkaar bijvoorbeeld aan op slordig gebruik van de personeelspas. En bij de recente DDos-aanvallen op overheden, hoefde Hans maar naar beneden te lopen en een collega ernaar te vragen – die had al op het DarkWeb uitgeplozen dat ze niet op het lijstje stonden van de criminele bende die achter de aanvallen zat.
Inmiddels zijn er nu andere provincies die zijn hulp vragen bij het behalen van de ISO-norm. De CISO’s daar hebben nu de wind mee. ‘Vanwege NIS2 en de Cbw, de Cyberbeveiligingswet die dichterbij komt, krijgen directies en bestuurders het benauwd. Jarenlang had cybersecurity weinig belangstelling bij de meeste provinciebesturen. Wie zou er nou geïnteresseerd zijn in de informatie van een provincie? Inmiddels daagt, door de geopolitieke situatie en de Cbw, het besef dat er partijen zijn die daar zeker in geïnteresseerd zijn. En dat cybersecurity dus belangrijk is, juist voor overheden.’
Risicoverantwoordelijk
Tot nu toe is Hans CISO en ISO inéén, binnenkort krijgt hij er een securityofficer bij. ‘Dat kan alleen omdat bij ons proces- en contracteigenaren risicoverantwoordelijk zijn. Ik heb alle managers bij ons training gegeven in informatiebeveiliging. Samen doen we risicoanalyses, verder controleer en adviseer ik vooral. Wanneer een leverancier gecontracteerd wordt, loop ik bijvoorbeeld de certificaten na. Dat moet wel, willen we blijven voldoen aan de ISO-norm. Daarom hebben we ook een knock-out criterium: voldoen leveranciers niet aan de criteria, dan doen we geen zaken.’
Grootste risico’s
‘Wat ons grootste risico is? Verlies van imago. Het vertrouwen in de politiek is al laag. Je wilt niet verder zakken. Zeeland is een compacte provincie, met veelal kleine gemeentes. Mensen kennen elkaar en onze gedeputeerden. De afstand is klein, je wordt er direct op aangesproken als er iets niet goed gaat. Een extra reden dus om onze kroonjuwelen heel goed te beschermen. Dat zijn bijvoorbeeld politiek gevoelige gegevens over burgemeestersbenoemingen of juridische gegevens, zoals integriteitsbeoordelingen bij vergunningen en subsidieaanvragen.’
Naast IT, informatietechnologie, heeft de provincie ook operationele technologie (OT). Denk aan bruggen en sluizen – en die zijn er veel in Zeeland. ‘Onze OT is in de regel heel goed beveiligd, met eigen glasvezelnetwerken, niet aangesloten op het internet. Ook de laptops die we daar gebruiken zijn niet aangesloten. Updates worden alleen ter plekke gedaan, in de sluis- of brughuizen. Die brughuizen zelf zijn fysiek heel goed beveiligd, daar kom je niet zomaar in.’
Voldoen aan de Cbw
Is de ISO-norm voldoende om aan de Cbw te voldoen? ‘Voldoe je aan de BIO-regels en de ISO-norm, dan heb je de zorgplicht in elk geval aardig op orde. De meldplicht zijn we nu met meerdere overheidsorganisaties aan het onderzoeken. Dat doen we samen met de RDI, de rijksinspectie digitale infrastructuur. Want wanneer is een calamiteit ernstig genoeg om te moeten melden? Wanneer heb je te maken met een significant incident? Bij de AVG is dat relatief eenvoudig: een datalek is een datalek. Maar bij cybersecurity? Een dodelijk slachtoffer door een ongeluk met een brugsysteem vinden wij absoluut een significant incident. Maar Rijkswaterstaat heeft op hun wegen regelmatig te maken met verkeersongelukken met dodelijke afloop. Hoe vreselijk ze het ook vinden, voor hen is het geen significant incident.’
Samen pentesten en oefenen
‘Met de RDI zijn we daarom een lijst aan het samenstellen, zodat we straks allemaal hetzelfde verstaan onder het begrip significant incident. En dat je als overheidsorganisatie dus weet wanneer je iets moet melden.’ Aan samenwerking zijn ze in Zeeland wel gewend. Met de 13 Zeeuwse gemeentes, het waterschap en andere overheidsorganisaties werkt de provincie samen aan de ‘Zeeuwse norm voor een weerbare overheid’. Eén van de 9 veiligheidsthema’s waar ze aan werken, is cybersecurity. Zo deden alle 23 organisaties mee aan een pentest en kregen ze mystery guests over de vloer. Nu bereiden ze ‘de Zeeuws ramp’ voor, een gezamenlijke oefening.
Support van bestuur
Ook landelijk werkt Hans samen met andere overheidsorganisaties. In het CIBO, het overleg van 12 CISO’s van de provincies en de CISO van BIJ12, beantwoordt Hans steeds meer vragen van zijn collega’s over het behalen van de ISO-norm. ‘Bijzonder in Zeeland is de betrokkenheid van besturen en de bestuurlijke aandacht voor cybersecurity. Als je niet de volledige support hebt van je directie en je bestuur, dan kun je het wel vergeten. Het is ook aan hen om te beslissen welke risico’s wel en welke niet aanvaardbaar zijn. Dat noemen we risicogebaseerd werken. Je moet goed kunnen uitleggen waarom je besluit een bepaald risico te nemen. En daarvoor heb je elkaar nodig.’
Kom naar het webinar over cybersecurity bij de overheid
Overheden hebben te maken met allerlei securityrisico’s. Maar wat pak je nou als eerste op en waarom? Op 27 november praten de experts van KPN je in een webinar bij. En natuurlijk staan we stil bij de maatregelen die juist bij overheden zo hard nodig zijn. Leer van de experts en
KPN en de provincie Zeeland
Wij verzorgen voor de provincie Zeeland onder meer de incident repons-processen.