Cybersecurity voor overheidsorganisaties in 2023

In 2022 hadden cybercriminelen het steeds vaker gemunt op de publieke sector. De focus op cybersecurity is dan ook belangrijker dan ooit, en dat gaat de komende jaren niet veranderen. Investering in de beveiliging van data blijft onverminderd belangrijk. Als overheidsorganisatie is de nieuwe cyberstrategie voor de overheid waarschijnlijk voor jou van belang. Deze strategie houdt rekening met de technologische, economische, en geopolitieke veranderingen.

Dit is een goed moment om je ict en security aan te pakken. Security-expert Eward Driehuis geeft in dit visiestuk zijn mening over de vernieuwde cyberstrategie en hoe je de nieuwe strategie toepast voor jouw overheidsorganisatie.

Wat vind je van de nieuwe cyberstrategie van de overheid? 

“Ik ben heel positief over de vernieuwde cyberstrategie, en veel cyberexperts met mij. Ik heb nog nooit zo’n inhoudelijk document gezien dit jaar; het is de meest volwassen cyberstrategie tot nu toe. Het is een ambitieuze strategie die de huidige situatie in de wereld als uitgangspunt neemt. Daarmee is deze strategie een goede reactie op de huidige cyberdreigingen. 

De cyberstrategie benoemt een aantal dingen heel goed:

• De strategie is realistisch over verschillende aspecten van cybersecurity. Tegenwoordig is het steeds moeilijker om verschillende soorten aanvallen, zoals met gijzelsoftware of spionage, van elkaar te onderscheiden. De overheid onderkent dit. Voor de publieke sector betekent dit dat het verhogen van de weerbaarheid tegen allerlei soorten aanvallen helpt.
• De overheid verhoogt de budgetten aanzienlijk en ziet cybersecurity niet als een kostenpost maar als een investering in de toekomst. Dat is natuurlijk superpositief.
• De veranderingen die de overheid doorvoert ten aanzien van governance zijn positief. Meerdere overheidsorganisaties worden samengevoegd, om zo een gecentraliseerde aanpak bij cyberdreigingen uit te voeren. Minder versnippering betekent meer slagkracht. De overheid is zo beter in staat om de kwaliteit en de consistentie te monitoren. Op deze manier borgt de overheid de samenhang en transparantie beter rondom de nieuwe security-aanpak.”
  

Ik hoor ook een maar. Waar heb jij je nog je vraagtekens bij?

“Er zijn grote verschillen tussen overheidsorganisaties. Ministeries, de belastingdienst en defensie hebben de resources, mensen en het budget om de strategie om te zetten in implementatie. Maar veel kleinere gemeentes moeten hun eigen boontjes doppen. Zo’n document is dan best een ver-van-je-bed-show. Bij middelgrote en kleinere gemeentes vraag ik me dus echt af hoe ze deze strategie gaan vertalen naar actie. 

Andere dingen waar ik nog mijn vraagtekens bij heb:

• Het verminderen van versnippering is positief, maar dit heeft met name effect op het ‘brandjes blussen’. Bij een crisis wordt het gemakkelijker om slagkracht te tonen. Een belangrijk deel van de strategie gaat dan ook om weerbaarheid, of preventie. Maar de maatregelen hier omheen zijn minder nauwkeurig bepaald. Onlangs waarschuwde de Onderzoeksraad voor Veiligheid dat de weerbaarheid niet snel genoeg verbetert. Ik ben het hier mee eens.
• De cyberstrategie wil de bewustwording van cybersecurity onder burgers vergroten. Hoe ze dat gaan uitvoeren is mij niet duidelijk. Bij bedrijven is bewustwording vergroten al een hele kluif. En dan heb je te maken met een kleinere, gefocuste groep die vaak helemaal achter je standpunt staat. Voor een heel land is dat een nog veel grotere opgave.
• Het document spreekt over beter beveiligde software of digitale autonomie. Het lijkt alsof ze het liefst alleen nog gebruik maken van Europese softwareproviders. Dat vind ik niet realistisch. We hebben niet echt een andere keuze dan Amerikaanse software en Chinese hardware te gebruiken. Deze zijn gewoon het grootst. Men wil in Europese context een vuist maken en met regulering de internationale softwaremarkt dwingen om veiligere software af te leveren. In de praktijk is dat een stuk ingewikkelder. Kun je je bijvoorbeeld nog herinneren dat we in Europa cookie-waarschuwingen afdwongen? Toen hebben veel Amerikaanse websites gewoon een geo-block op Europa gezet.

Het is een strategisch stuk maar hoe je het praktisch gaat uitvoeren, wordt de vraag. De partijen die echt baat bij deze strategie hebben, zijn rijksoverheden. Voor middelgrote en kleine gemeentes is het al een stuk ingewikkelder.” 

Blog: 10 securitymaatregelen die iedere werkplek moet hebben

Wat kunnen middelgrote en kleinere gemeentes dan doen met de cybersecurity-strategie?

“Als gemeente moet je wat met de securitystrategie, maar het is de vraag hoe je het implementeert. Ikzelf vind dat je als vooruitstrevende gemeente moet nadenken over hoe je kijkt naar de realiteit van vandaag. Je moet dit alleen wél doen binnen de randvoorwaarden die je hebt. Je hebt natuurlijk te maken met allerlei uitvoerende taken en verantwoordelijkheden richting de burgers. 

Gemeentes werken met de BIO (baseline informatiebeveiliging overheid). Hierin staan praktische handvatten. De cybersecuritystrategie kan je daar weer in meenemen. Houd je dus bezig met de vraag: wat betekent de cybersecuritystrategie voor richtlijnen in de BIO? Als de cyberdreiging verhoogd is, overweeg dan om meer BIO-richtlijnen te implementeren. 

De BIO geeft je organisatie handvaten, maar je moet het niet als vinkenlijst gebruiken. Implementeer geen richtlijnen met de gedachte om het minimale te implementeren. Gebruik de BIO om over je eigen situatie heen te leggen. Schat daarbij jouw risico in: wat is je risico? Hoeveel risico accepteer je? Hoe ga je om met risico’s die je niet accepteert? Gebruik op basis hiervan maatregelen uit de BIO om actie te ondernemen.

Er wordt gewerkt aan een nieuwe versie van de BIO, en ook zal er meer gecontroleerd worden of organisaties BIO-compliant zijn." 

Wat wil je meegeven over de cyberstrategie aan elke gemeente?

“Elke gemeente zou de nieuwe cybersecurity-strategie moeten lezen. De meeste cyberexperts vinden het een goede samenvatting van hoe de wereld in elkaar zit. De wereld is gewoon veranderd met de geopolitieke spanningen, het grote personeelstekort, technologie en de klimaatcrisis.  De securitystrategie is een goede inspiratiebron om te kijken of jouw maatregelen voldoende zijn. Kijk vooral naar gijzelsoftware, spionage, infrastructuur, de dreiging van oorlog en economische problemen door de oorlog. Al die zaken zijn relevant. 

Want het zijn nu echt unieke tijden. Geopolitieke en klimaatproblemen zijn economische problemen geworden. Hoe vervelend ook, het zorgt wél voor gedragsverandering. Dat geldt ook voor de cybersecurity. Geopolitieke problemen zijn een enorme katalysator voor de cybertransitie. 

Het is verstandig dat je als overheidsorganisatie gebruikmaakt van de voorgeschreven cybersecurity-strategie, en voor duizenden extra organisaties gaat het noodzaak worden. Naar deze strategie hebben veel security-experts gekeken. Maak gebruik van hun kennis. Lees daarom de cybersecuritystrategie goed door als je dat nog niet gedaan hebt en kijk met die ogen naar het document wat je nu hebt.” 

“Je zou gek zijn niet te kijken naar de cybersecurity-strategie.” 

Wat is de eerste stap die gemeentes kunnen zetten rondom het toepassen van de security-strategie?

 Als je de strategie hebt gelezen en je beleid bekijkt, moet je beslagen ten ijs komen om je leidinggevende te overtuigen. Het is belangrijk om goed te omschrijven dat je in controle van ict bent.

Laat je leidinggevende zien dat je ‘in control’ bent door cijfers, trends en getallen mee te nemen. Data verzamelen en KPI’s opzetten is een stap die ik iedereen aanraad. Zorg dat je datarapportages op orde zijn. Dat is de beste manier om een punt te maken. Begin daarmee. 

Conclusie: een stevig cyberfundament in een dynamische wereld

De wereld is dynamischer dan ooit. Maar iedereen die met ict en security bezig is er meer draagvlak dan ooit tevoren. Als je ooit dingen hebt willen doorvoeren op het gebied van cybersecuritystrategie, dan is dit nu je kans. 

Wil je meer weten over hoe je je security klaar voor 2023 maakt? Lees dan deze whitepaper. Je leest hier onder andere: