Het was nooit rustig in de afgelopen 5 jaar. Terwijl crises elkaar opvolgden en geopolitieke spanningen toenamen, werkte Aart Jochem als CISO Rijk aan de digitale weerbaarheid van de overheid. Per 1 januari neemt hij afscheid van die rol. In dit achtergrondverhaal kijkt hij terug, wat leerde hij en wat vraagt extra aandacht? “Ik hou niet van routine. Een crisis die goed wordt opgepakt, laat zien waarom dit werk belangrijk is.”
Als eerste Chief Information Security Officer (CISO) Rijk gaf Aart Jochem sinds 2020 leiding aan de rijksbrede aanpak van informatiebeveiliging en privacy. Digitale weerbaarheid stond daarbij centraal, en daarom zat hij bij de recente Overheidsbrede Cyberoefening aan tafel als voorzitter. Jochem: “Dan ervaar je hoe belangrijk het is dat een crisisteam snel overzicht krijgt. Wat speelt er, wat kan de volgende ontwikkeling zijn en welke acties horen daarbij?”
Tijd heb je niet
Volgens hem voldoet een goed crisisteam aan een paar voorwaarden. “Je hebt verschillende disciplines nodig, een strak proces en mensen die begrijpen hoe zo’n crisisaanpak werkt. Ervaring helpt enorm. Niet omdat je keer op keer een echte crises wilt meemaken, maar omdat oefenen helpt om vertrouwd te raken met het proces. Als iedereen de stappen al kent, kun je snel het eerste overleg afronden. Met onervaren mensen kost dat veel meer tijd. En tijd heb je niet in een crisis.”
Nieuwe inzichten
De focus op herstel in de Overheidsbrede Cyberoefening bracht nieuwe inzichten. “Herstel vraagt andere keuzes dan acute crisisbeheersing. Hoe zorg je dat processen weer snel op gang komen? Leuk om dat te kunnen oefenen, dat voegt echt iets toe.” Ook de samenwerking viel hem op. “Rijk, gemeenten, provincies, veiligheidsregio’s, iedereen brengt iets anders mee. Juist daarom vond ik het relevant dat ook Caribisch Nederland meedeed. Als we investeren in weerbaarheid, moeten we die investeringen ook breder inzetten.”
Voorbereid zijn bestaat niet
Volgens Jochem kun je nooit volledig voorbereid zijn op een crisis. “Zelfs na jaren ervaring leer je telkens nieuwe dingen. Dat is geen zwakte, dat is de realiteit. Oefenen blijft daarom noodzakelijk, alleen al om te toetsen of de basis op orde is. Hebben we de juiste contactgegevens? Zijn de afspraken nog actueel? Hele praktische zaken, maar ze maken een groot verschil.” Crises helemaal voorkomen lukt niet, benadrukt hij. “Maar oefenen op handelingen, het nemen van besluiten en woordvoering is essentieel.”
Schade zit in de maatschappij
Die noodzaak om te anticiperen wordt pas echt duidelijk wanneer je kijkt naar de gevolgen van een crisis. De CISO legt uit: “De overheid werkt voor de maatschappij. Als het misgaat bij ons, zit de schade daar. Een datalek bij het bevolkingsonderzoek betekent niet alleen kosten voor herstel, beveiliging en postzegels, maar vooral verlies van vertrouwen. Als mensen afhaken, raakt dat direct de volksgezondheid. Die maatschappelijke schade is vele malen groter dan de investering die nodig is om het beter te doen.”
5 jaar crisisdynamiek
Hoe kijkt hij terug op deze 5 jaar? “Het is nooit rustig geweest, dat vraagt iets van je. Maar als je het belang ziet van het werk dat je doet, geeft dat energie. Ik begon in de coronatijd. In korte tijd moesten we veilige digitale voorzieningen rijksbreed uitrollen, zoals WebEx. Daarna volgden nieuwe dreigingen en veranderde de geopolitieke situatie, met onder meer verschuivende verhoudingen met de Verenigde Staten. Dat maakt dat je als overheid continu moet anticiperen en je aanpassingsvermogen op orde moet hebben.”
Versnellen
Dat aanpassingsvermogen is volgens hem geen abstract begrip, maar vraagt om investeringen. “We weten waar de kwetsbaarheden zitten en dat we moeten versnellen. De plannen liggen er ook. Maar die plannen moeten wel worden voorzien van de juiste middelen. Dat is nog niet vanzelfsprekend, zeker niet in een tijd waarin de overheid ook te maken heeft met bezuinigingen. Dat maakt het een puzzel die we echt moeten leggen.”
Samenwerken als 1 overheid
Dat spanningsveld tussen ambities en middelen krijgt ook vorm in wetgeving en rijksbrede strategieën, zoals de Cyberbeveiligingswet (Cbw) en de Nederlandse Digitaliseringsstrategie (NDS). “Wetgeving loopt altijd achter op de praktijk, maar helpt om stappen af te dwingen. Het vraagt van de overheid een groot adaptief vermogen. Versnellen, terwijl de context steeds verandert. De NDS helpt daarbij, omdat samenwerken als 1 overheid nu expliciet is benoemd. Ik denk dat we daar efficiënter en effectiever mee worden. Melden hoort daar ook bij. Als er iets misgaat, moet je dat kunnen delen, juist omdat de gevolgen verder reiken dan je eigen organisatie.”
Het is mogelijk
Terugkijkend op 5 jaar CISO Rijk is zijn belangrijkste les bemoedigend: “We kunnen het! Maar het kost energie. In mijn eerste week heb ik een slide gemaakt over waarom beveiliging zo belangrijk is. De overheid heeft een bijzondere rol in de maatschappij. Wij bewaren identiteiten, eigendommen en gevoelige informatie voor onze veiligheidstaak. Dat vertrouwen geven mensen niet zomaar aan een andere partij. Dit beschermen, goed inrichten en over verantwoorden is wat je van de overheid mag verwachten. De punten op mijn slide zorgden voor richting aan mijn werk. En dan blijkt dat we grote stappen kunnen zetten, zoals het rijksbrede cloudbeleid en het red-teamingprogramma.”
Digitale autonomie
Per 1 januari start Jochem als CISO bij IT-bedrijf Centric, dat veel samenwerkt met overheidsorganisaties. Daar gaat hij verder met beschermen en het versterken van digitale autonomie. “Dat thema is mij de afgelopen jaren steeds meer gaan bezighouden. Je ziet hoe afhankelijk we zijn geworden van externe partijen en hoe lastig dat is te doorbreken. Niet elke afhankelijkheid is verkeerd, maar er zijn onderdelen waar je als overheid zelf de regie moet houden.”
Bekijk de oefening en meer
Beelden van de Overheidsbrede Cyberoefening, met Aart Jochem als voorzitter, zijn te vinden op Weerbaredigitaleoverheid.nl. Daar vind je ook 20 verschillende webinars en een masterclass rondom het thema digitale veiligheid.
