Tekst BKB
Foto NCSC, BKB & Manon van der Zwaal
Middenin de coronacrisis geeft unithoofd Operatie Frank Grandia een inkijkje in het hart van de operatie van het NCSC: het nieuwe Fusion Centre. Hoe gaan ze daar te werk? Is er sinds het uitbreken van de coronacrisis veel veranderd? En wat kunnen we in de toekomst van het NCSC verwachten?
NCSC in operatie, wat betekent dat?
‘Kenmerkend voor de unit Operatie is dat we sinds enkele maanden werken met een Fusion Centre. Het Fusion Centre staat 24/7 in verbinding met partijen die ons van data voorzien over mogelijke kwetsbaarheden en mogelijke dreigingen. Wij vertalen die data naar relevante informatie voor doelgroepen, voorzien hen van adviezen en verlenen eventueel bijstand op locatie. Hierin zijn we niet uniek, maar onze plek in het Nederlandse stelsel en onze informatiepositie is dat wel. Wij zijn informatiepartner van nationale en internationale organisaties, van ethische hackers, onderzoekers op universiteiten, individuele bedrijven en organisaties, van inlichtingendiensten, CERT’s en nationale cybersecurity centra. Doordat we geen inlichtingen- of opsporingstaak hebben, zijn organisaties eerder bereid om informatie met ons te delen. Dat maakt ons zo goed in staat om de vinger aan de pols te houden en zoveel mogelijk het overzicht te bewaren.
Om een metafoor te gebruiken: je kunt ons vergelijken met de brandweer. We zoeken continu naar mogelijke oorzaken van brand, voorkomen dat er brand ontstaat en zorgen dat organisaties zelf kunnen blussen als er onverhoopt toch brand uitbreekt. Daar waar dat echt nodig is, rukken we uit voor ondersteuning ter plaatse. Net als de brandweer doen we niet aan daderonderzoek, maar worden we door de politie en inlichtingendiensten wel ingeseind als er een pyromaan actief is. Daardoor zijn we in staat om op de juiste plekken het bos nat te houden zogezegd.’
Werkwijze Fusion Centre
Het Fusion Centre ontvangt jaarlijks ongeveer 450.000 berichten over mogelijke dreigingen en kwetsbaarheden uit verschillende bronnen. Het verwerken van al die informatie gaat volgens een drielaags model, onder regie van een operationeel coördinator:
- Triage: informatie wordt deels geautomatiseerd en deels handmatig beoordeeld. Als er iets tussen zit wat op een dreiging of kwetsbaarheid voor NCSC-doelgroepen duidt, gaat de informatie door naar laag twee.
- Duiding: een duidingsspecialist maakt, samen met collega’s uit relevante disciplines (o.a. dreigingen, bestuurlijk en doelgroepspecifiek), een inschatting van de kans op misbruik en de mogelijke impact ervan. Een incident handler doet daarvoor eventueel nader technisch onderzoek. Samen adviseren ze de operationeel coördinator of vervolgstappen nodig zijn. Als dat blijkt, komt laag drie in actie.
- Is de kans op misbruik en de mogelijke impact groot, dan worden organisaties fysiek geïnformeerd. Als de getroffen partij daarom vraagt, kan een incident responder ook ter plaatse gaan voor ondersteuning. Afhankelijk van het incident kan de operationeel coördinator in overleg met een MT-lid besluiten om op te schalen. Als de dreiging minder urgent is, gaat de informatie naar een expert die een advies schrijft voor de doelgroepen.
Je werkte eerder bij Defensie. In hoeverre kun je de operatie bij NCSC vergelijken met een militaire operatie?
‘Bij Defensie heb ik geleerd dat micro-managen niet werkt in crisissituaties en dat je zaken aan professionals moet durven overlaten. Tijdens militaire operaties ben je namelijk vaak niet in staat om te overleggen met de eenheid naast je. Je bespreekt vooraf uitgebreid hoe en waarom je dingen doet, zodat je als eenheid zelfstandig kunt opereren, terwijl je toch naar het gezamenlijke doel toewerkt. Ik zeg vaak tegen mijn collega’s: ‘jullie zijn veel meer een militaire eenheid dan jullie denken.’ We werken weliswaar in een andere omgeving, zonder uniform of gevaar voor eigen leven, maar de operatie bij het NCSC is als een militaire operatie. We spreken vooraf af wie waar op welk moment van is. Vanuit eigen rollen, taken en verantwoordelijkheden proberen we crises en dreigingen in de kiem te smoren. Ik probeer niet voor een ander te denken en te bepalen of een zeker specialisme nodig is, maar nodig de specialisten uit aan tafel en vraag hen zelf die inschatting te maken. Je loopt natuurlijk het risico dat je er een Poolse landdag van maakt, daarom is discipline noodzakelijk. Maar als dat lukt, merk je ook dat je heel snel op een gestructureerde manier tot de kern van een probleem komt.’
Nederland is in de ban van het coronavirus. Wat betekent dat voor jullie?
‘De coronacrisis is een nationale crisis, maar in wezen geen digitale crisis. Al raakt ze onze organisatie natuurlijk wel. We zagen de intelligente lockdown aankomen. In de dagen vooraf hebben we een skelet samengesteld van functies die we minimaal nodig hebben om de operatie draaiend te houden. Sinds de lockdown werken we met die zogenaamde skeleton crew: een groep van 15 man die fysiek aanwezig is op kantoor. Dat is handig voor overleg en om snel te schakelen, maar ook nodig omdat niet alle informatie deelbaar is langs alle kanalen. De rest van onze collega’s werkt thuis. En dat is nodig, want alledaagse dreigingen laten zich door een coronavirus niet tegenhouden. We krijgen jaarlijks ongeveer 450.000 meldingen van kwetsbaarheden in hard- en software en geven 15 tot 20 concrete adviezen per dag. Het is ons vaste aanbod om het zo maar te zeggen en dat is de afgelopen tijd niet minder geworden.
Naast onze normale werkzaamheden besteden we veel aandacht aan organisaties die Nederland erdoorheen moeten slepen. In het buitenland is gebleken dat ziekenhuizen ook tijdens de coronacrisis doelwit waren van cyberaanvallen. Een organisatie die draait op de toppen van zijn kunnen, kan er geen cybercrisis bij hebben, dus dat willen we hier voorkomen. Maar de zorgsector behoort niet tot onze primaire doelgroepen. Daar lag dus een uitdaging: hoe zorgen we ervoor dat ziekenhuizen toch informatie kunnen ontvangen waar ze baat bij hebben? We hebben veel contact met het ministerie van VWS en we hebben Z-CERT in sneltreinvaart aangesloten op het landelijk dekkend stelsel, waardoor we bepaalde gevoelige en relevante informatie met ze mogen delen. Als computercrisisteam voor de zorg informeert en adviseert Z-CERT zorginstellingen, waaronder ziekenhuizen, over digitale dreigingen en kwetsbaarheden. Gesprekken met Z-CERT en de aansluiting op het landelijk dekkend stelsel liepen al, maar de corona crisis heeft dit proces flink versneld. Naarmate de crisis vordert gaat onze aandacht ook uit naar andere organisaties die een belangrijke rol spelen, zoals farmaceuten en onderzoeksinstellingen die een vaccin ontwikkelen.’
Waar ben je het meest trots op?
‘Ik ben er trots op dat we onszelf hebben kunnen bewijzen de afgelopen tijd. In de samenwerking met Z-CERT en eerder dit jaar bij de Citrix- crisis hebben we laten zien dat we er zijn als het nodig is. We hebben het technisch en operationeel kunnen waarmaken, maar ook bestuurlijk: voor een technische briefing aan de kamer achteraf draaien we onze hand niet om. Het is prettig om te merken dat dit wordt gewaardeerd. Natuurlijk is er ook weleens frustratie over het NCSC, als we tegen de grenzen van onze wettelijke bevoegdheden aanlopen of om andere redenen relevante informatie niet kunnen delen. Die frustratie voelen wij ook. Het raakt ons als we informatie niet kwijt kunnen. We zijn gedreven om Nederland digitaal veilig te houden en zouden het liefst alles met iedereen delen die hetzelfde doel nastreeft, om zoveel mogelijk mensen te beschermen. Maar uiteindelijk is het ook onze taak om onze informatiepositie te bewaken en is het misschien maar goed dat je in Nederland als overheidsorganisatie niet zomaar de wet kunt aanpassen.’
Kun je uitleggen wat die informatiepositie inhoudt?
‘Wil je in Nederland de vitale processen zo goed mogelijk beschermen, dan heb je de allerbeste informatiepositie nodig. Daarvoor is vertrouwen essentieel en moet je de balans tussen transparantie en vertrouwelijkheid continu bewaken. Iedereen die ons informatie aanreikt, blijft eigenaar en bepaalt wat we daarmee mogen doen. Soms krijg je informatie die voor andere partijen relevant is, maar waarvan de melder niet wil dat het voor meer wordt gebruikt dan voor het helpen van de eigen organisatie. Dan ga je een goed gesprek aan op zoek naar een oplossing waarbij de integriteit van de melder in stand blijft. Soms blijkt ook dat we informatie hebben over dreigingen of kwetsbaarheden waar ook andere instanties onderzoek naar doen. Met elkaar moet je dan afwegen welk belang voorgaat. Ook dan moet je continu met elkaar in gesprek blijven en een oplossing vinden die voor iedereen past. Je kunt informatie dus nooit een op een doorzetten, maar bepaalt steeds samen welk deel je deelt, op welk moment en met wie.’
Wat kunnen we de komende tijd van het NCSC verwachten?
‘Vorig jaar zijn we verzelfstandigd, hebben we een transitie doorgemaakt en hebben we heel veel nieuwe collega’s welkom mogen heten. We zijn de afgelopen periode dan ook erg druk met onszelf geweest. Nu de organisatie staat, willen we meer interactie met doelgroepen opzoeken. Onze primaire vraag aan hen: waar zit de toegevoegde waarde van het NCSC voor jouw organisatie? Met de unit Samenwerking en Kennisuitwisseling werken we aan strategisch accountmanagement. Momenteel leveren we namelijk vooral generieke diensten en adviezen waarvan we denken dat ze zinvol zijn. We willen toe naar een situatie waarin we maatwerk leveren. Want kleine organisaties zijn misschien gebaat bij onze expertise in het opzetten van een veilige infrastructuur, maar veel grote vitale dienstverleners zijn al heel volwassen op het digitale front. Met hen willen we onderzoeken hoe we, naast het uitwisselen van informatie, meer op strategisch niveau kunnen samenwerken en van elkaar kunnen leren. Ik wil dat in de toekomst ook fysiek mogelijk maken, door vertegenwoordigers van doelgroepen een aanlandplek te geven in het Fusion Centre. Dat is nog niet op korte termijn mogelijk, maar de uitnodiging staat bij deze.’