Tekst Redactie NCSC
Foto Paul Voorham
Hoe versterk je een organisatie in een domein dat continu verandert? Hans de Vries trad op 1 januari 2019 aan als directeur van het verzelfstandigde NCSC, los van de NCTV. Hij vertelt over het cyberdomein, de missie van het NCSC en zijn eigen ambities.
Het NCSC houdt Nederland digitaal veilig
Wij verbinden partijen, kennis en informatie. Als overheidsorganisatie zijn we de verbindende schakel in een netwerk van nationale en internationale partners. Daarnaast bevorderen wij de digitale weerbaarheid en staan paraat bij incidenten.
Het cyberdomein is continu in beweging.
“Dat klopt. De wereld is enorm aan het digitaliseren. En let wel, veelal zonder analoge back-ups. Tel daarbij op dat onze afhankelijkheid van ICT groter is dan ooit tevoren. Daarom moeten we kennis, kunde en herstelvermogen met elkaar delen. Dus scherp opletten wat er speelt in de wereld, partijen informeren, adviezen publiceren om zo handelingsperspectief te bieden en te oefenen voor die dag dat het echt nodig is.”
Kunnen we het wel bijhouden?
“Het eerlijke antwoord? Het is lastig. Dat komt door een paar zaken tegelijk: de snelheid van innovatie, de snelheid waarin misbruik van technologie zich ontwikkelt, en dan natuurlijk ook hoe regelmatig wij mensen zelf fouten maken als we technologie gebruiken.
Ik vind de uitdrukking ‘The S in Internet-of-Things (IoT) stands for security’ zo goed. Je denkt er even over na, en beseft dan: ‘huh? Er is helemaal geen S.’ En dat is precies het punt. Sinds het internet hebben we alles digitaal aan elkaar verbonden. Cybersecurity wordt daarin vaak niet meegenomen, of op zijn best pas als sluitstuk. Terwijl de kans op aanvallen op, en uitval van, systemen steeds groter wordt. Met als mogelijk gevolg ernstige maatschappelijke ontwrichting. Stel je voor dat de elektriciteit uitvalt, je niet meer kunt bellen en er geen water meer uit de kraan komt. De vraag is niet of dat kan gebeuren, maar wanneer.”
Begrijpen - verbinden - voorkomen. Daarmee vatten jullie de kern van de missie van het NCSC.
“Wij werken bij het NCSC 24/7 aan digitale weerbaarheid. Ons werk is een soort continuüm. Begrijpen gaat niet alleen over techniek snappen, maar ook onze doelgroepen kennen en weten wat ze nodig hebben. En dat we door dat begrip op tijd, en liefst nog eerder, actie kunnen ondernemen als dat nodig is.
Wij zijn het nationale informatieknooppunt op het gebied van cybersecurity. Als we het hebben over verbinden dan gaat het over dat wij soms gevoelige informatie en kennis hebben die organisaties een beeld geeft wat er speelt. En dat niet alleen, we geven direct handelingsperspectief voor preventie, detectie, respons en herstel. In- en buiten crisissituaties om samen de digitale weerbaarheid in Nederland te verhogen.”
Wat is jouw grootste ambitie als directeur?
“Ten eerste: ik geloof in onze rol om te verbinden, en minder om alles zelf te doen. Het is van belang dat iedereen, echt iedereen – van bedrijf tot jij persoonlijk in je privéleven - eigen verantwoordelijkheid neemt om zelf je digitale veiligheid op orde te brengen en te houden.
Daarom bouwen we aan een stelsel van CERTs en andere samenwerkingsverbanden voor informatie-uitwisseling en samenwerking in heel Nederland, waarbij publieke en private partijen uiteraard hun verantwoordelijkheid moeten en kunnen pakken om zich goed te beveiligen. Of we ooit komen tot 100% dekking? Die ambitie hebben we zeker. Van het Digital Trust Center voor alle ondernemers tot de Zorg-CERT voor zorginstellingen en de Informatiebeveiligingsdienst voor gemeenten. Vooral het MKB heeft een belangrijke hulpvraag, daarom werken we nauw samen met het Digital Trust Center dat ondernemers helpt met veilig digitaal ondernemen.
Daarnaast zie ik een grote kans om de kennis die wij in huis hebben beter te laten zien aan de buitenwereld. Daar werken we nu hard aan met nieuwe kennis- en beveiligingsproducten en ook de nieuwe website is daar een voorbeeld van.”
Wat kunnen we van jullie verwachten de komende jaren?
“Het belang van cybersecurity is evident. We zijn het afgelopen jaar gegroeid zodat we meer aankunnen. We moeten klaar zijn voor het grootst mogelijke incident. Daarom wordt oefening en training steeds belangrijker. Zowel bij ons intern als samen met organisaties binnen heel Nederland (of binnen ons netwerk) werken we daaraan.
Ten tweede zijn we altijd bezig met de balans tussen transparantie en vertrouwelijkheid. Een belangrijk deel van ons werk vindt plaats onder de radar. We zijn net als een klok: je ziet hem tikken, maar er zitten ook veel radertjes achter. Dat geldt ook voor ons werk. We werken aan een digitaal veilig en weerbaar Nederland, vertrouwelijk waar nodig, transparant waar mogelijk.
We gaan meer tijd steken in duiding geven aan welke incidenten er zijn, en welke adviezen of richtlijnen publieke en private partijen dan kunnen volgen. Dat is een gesprek dat twee kanten op gaat: wij moeten daarvoor ook de kennis van onze partners krijgen zodat we de meest up to date informatie hebben. En daarmee onze partners weer beter van dienst kunnen zijn.
Is dat een oproep aan het veld?
“Jazeker! En laat ik daar dan gelijk een tweede oproep aan toevoegen. Ga meer organiseren in je eigen sector. Het NCSC biedt daar allerlei adviezen en hulpmiddelen voor aan. Cybersecurity zou nooit een onderwerp moeten zijn waar je over gaat concurreren. Binnen je sector moet je daarop juist samenwerken.”
Wat betekent dit alles voor jullie stakeholders en partners?
“We weten dat één plus één drie is: als je informatie van verschillende partijen samenbrengt kan dat veel oplossen. Nu werken we bijvoorbeeld aan een nieuwe driemaandelijkse dreigingsanalyse, waarmee organisaties de laatste informatie over dreigingen krijgen. Daarnaast voegen we via het NDN (Nationaal Detectie Netwerk, red.), dat gebruikt wordt door meerdere stakeholders bij het Rijk en in de Vitale Infrastructuur, inzichten en veiligheidsadvies toe op de stappen die organisaties zelf al zetten om digitaal veiliger te zijn. De nadruk ligt dan op risicomanagement. Organisaties weten lang niet altijd waar hun achilleshiel zit.”
Waar staan we over tien jaar in het cyberdomein?
“Laat ik hardop dromen. Het digitaal polderen moet in ons DNA gaan zitten. Dat begrijpen internationale partners ook bij ons. Ik zou zeggen dat het over tien jaar heel normaal is dat partijen, privaat en publiek, nationaal en internationaal, nauwer samenwerken in dit domein, onder één dak waar alle informatie samenkomt. Bij het NCSC zijn we onlangs gestart met een fusion centre dat kan uitgroeien tot meldpunt van verschillende organisaties bij elkaar. Als Nederland kunnen we dat als geen ander trekken. Wij zijn historisch gewend om te polderen.”