Tekst BKB
Foto ANP

Sinds een aantal jaar werkt het NCSC samen met het Digital Trust Center (DTC) aan het versterken van de digitale weerbaarheid van Nederland. Zo vanzelfsprekend als dit klinkt, was dat niet per se. Want hoewel de doelstelling gelijk is, zijn er ook verschillen tussen beide organisaties. Met relatiemanagers Kees Boerkamp (NCSC) en Kim van der Veen (DTC) bespreken we hoe de samenwerking tot stand is gekomen, welke resultaten zijn bereikt en wat de wensen en verwachtingen voor de toekomst zijn.

Cybersecurity bewustzijn

Kim: “Het DTC is ontstaan vanuit een behoefte om ondernemend Nederland weerbaarder te maken tegen cyberdreiging. Het NCSC bestond al voor vitaal en rijk, maar voor de rest was er weinig. En met de rest bedoel ik 1,7 miljoen organisaties. Vergeleken met het NCSC is onze doelgroep zo veel groter en onze capaciteit juist zo veel kleiner, dat we niet dezelfde werkwijze kunnen hanteren.”

“Het niveau van bewustzijn over cybersecurity is binnen onze doelgroepen ook erg verschillend. De bewust of onbewust bekwamen, weten wat ze moeten doen. Maar je hebt ook een grote groep bewust of onbewust onbekwamen. En juist die laatste zijn het lastigst te bereiken. Dat is bijvoorbeeld de eigenaar van een koffiezaak die denkt dat er bij hem of haar niets te halen valt, maar zich niet bewust is dat hij een risico loopt via de systemen van zijn leveranciers. En dat als hij klantgegevens verzamelt voor een winactie, die op straat kunnen komen te liggen. Ik denk dat het NCSC daar wat minder last van heeft.”

Kees: “Binnen onze doelgroep zijn er ook organisaties waar aan bewustzijn gewerkt kan worden. Nog niet altijd heeft het de aandacht op het juiste niveau. Security in het algemeen is in veel organisaties een sluitstuk. Het kost geld en levert niet meteen iets op. Je zag dat de NotPetya aanval op een maritiem bedrijf een positief effect heeft gehad op de bewustwording van de héle maritieme sector. Daar is het nu een agendapunt op het niveau van de board en krijgt het de aandacht die het nodig heeft. Zo’n incident helpt het bewustzijn van cybersecurity te vergroten.”

“Een incident helpt het bewustzijn van cybersecurity te vergroten.”

Samenwerkingen

Kim: “Ondanks onze beperkte capaciteit hebben we manieren gevonden om zoveel mogelijk bedrijven en organisaties te bereiken. We hebben een website waar relevante informatie te vinden is voor de gehele doelgroep. Er is een community voor organisaties die meer volwassen zijn op gebied van cyber, waar ze dieper op de inhoud kunnen ingaan. Daarnaast stellen we subsidies beschikbaar voor samenwerkingsverbanden die in heel Nederland helpen om doelgroepen te bereiken, zodat een olievlekwerking ontstaat. Het voordeel van deze samenwerkingsverbanden is dat zij dichtbij de doelgroepen staan en hen beter kunnen aanspreken. Ze kennen elkaar en spreken dezelfde taal. Als ik naar een bedrijf toestap, hebben ze vaak het idee dat ze iets opgelegd krijgen vanuit de overheid.”

“Vanwege de doelgroep, ondernemend Nederland, is het DTC bij het ministerie van Economische Zaken ondergebracht. Eerst als projectorganisatie maar inmiddels zijn we een vast organisatieonderdeel, dus dat is goed nieuws voor de continuïteit. Daar zit nog een verschil met het NCSC,dat onder het ministerie van Justitie valt. Dat merkten we in de samenwerking: de mentaliteit van ondernemers is snel actie ondernemen, zo goed mogelijk resultaat tegen zo min mogelijk kosten. Justitie is begrijpelijkerwijs bedachtzamer en heeft een sterke focus op wet- en regelgeving. Dat was in het begin voor beide partijen wennen denk ik. Wij waren voor het NCSC natuurlijk ook een vreemde eend in de bijt. En volgens het DTC ging alles veel te langzaam. Maar wij konden ook gewoon sneller, want we zijn een kleinere organisatie. Gaandeweg hebben we dit soort zaken overwonnen en weten we wat we aan elkaar kunnen hebben.”

Informatie delen

Kees: “Het was in het begin zoeken inderdaad, maar op verschillende niveaus weten we elkaar nu goed te vinden. Op managementniveau is besproken waar we naartoe willen en dat is uitgewerkt tot een samenwerking waarin iedereen zijn eigen rol kan innemen en aanhouden. Kim en ik praten elkaar wekelijks bij en ook op operationeel niveau zijn de lijntjes kort. Onze cybersecurity experts hebben nauw contact en delen waar mogelijk relevante informatie.”

Kim: “Daar raken we een gevoelig punt waar ook door de politiek vragen over worden gesteld: het delen van informatie. Hoe kan het dat de overheid bepaalde dreigingsinformatie heeft en die niet deelt met het bedrijfsleven?”

Kees: “We willen graag zoveel mogelijk delen, maar op grond van de Wbni (red. Wet beveiliging netwerk- en informatiesystemen) waarin de wettelijke taken worden beschreven van het NCSC en de AVG (red. Algemene verordening gegevensbescherming), mogen we bepaalde informatie niet delen met het DTC. Voor de overheid gelden immers hele strenge eisen rondom het delen van persoonsgegevens en dat is terecht. Ik begrijp heel goed dat dit tot onbegrip leidt. Het is gelukkig een signaal en een probleem dat heel serieus wordt opgepakt binnen het ministerie van Justitie en Veiligheid en dat hopelijk snel wordt opgelost. Het DTC is een traject gestart om OKTT te worden, een samenwerkingsverband dat objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren. Dan is er een wettelijke grondslag, op basis waarvan we meer informatie met ze mogen delen, zoals IP-adressen als persoonsgegevens gericht op dreigings- en risico-informatie. Maar het delen van informatie zorgt altijd voor nieuwe uitdagingen. Om een voorbeeld te geven: het DTC beschikt dan over informatie, maar om die te mogen delen moet de afscherming bij de ontvangers op orde zijn. OKTT worden is een eerste stap waarop er nog vele zullen volgen. Ondertussen werken we waar mogelijk zo goed mogelijk samen en pakken we de uitdagingen steeds weer op.”

Kansen pakken

Kim: “Waar de samenwerking bijvoorbeeld heel goed ging, was tijdens de Citrix crisis. Daar ben ik best trots op. We hadden superkorte lijntjes en stonden allemaal paraat om onze doelgroepen zo goed mogelijk te informeren.” Kees: “Wij stemden met het DTC af wanneer we informatie naar buiten brachten, zodat we min of meer tegelijkertijd onze doelgroepen informeerden. Dat ging in het begin niet altijd goed, maar al doende leert men. Dan zie je dat die korte lijntjes werken.”

Kim: “Nog steeds stemmen we af wanneer we bepaalde informatie uitsturen, zodat we parallel optrekken. We stemmen ook onze jaarplannen met elkaar af. Het DTC is aangesloten bij het proces van de NCSC maandmonitor en we onderzoeken in hoeverre we gezamenlijke producten kunnen maken. Voor komend jaar staat bijvoorbeeld voorlichting over phishing op de planning. Dat soort praktische samenwerkingen ontstaan soms vrij ad hoc. Waar we een kans zien, zijn we van plan die te pakken. Ik merk dat het verbindend werkt, omdat je elkaar beter leert kennen, van elkaar leert en elkaars werk respecteert. We hebben binnenkort een coronaproof teamuitje om die verbinding te versterken.”

“Waar de samenwerking heel goed ging, was tijdens de Citrix-crisis.”

Kees: “Elkaar fysiek ontmoeten, helpt inderdaad in de samenwerking. Door corona is dat nu ingewikkeld, maar we willen binnen het Fusion Centre een plek maken waar we fysiek kunnen samenwerken met mensen van het DTC. Onlangs hebben we uitgebreid onze toekomststrategieën besproken. Het feit dat er nu een toekomstvisie 2023 ligt, die we met elkaar delen en zoveel mogelijk afstemmen, toont dat er vertrouwen is. De cyberwereld is klein en je komt steeds dezelfde personen tegen. Het is dus goed om samen te werken, alleen al om niet twee keer hetzelfde te verzinnen. Met respect voor elkaar kijken we hoe we ons gezamenlijke doel kunnen bereiken.”