Hoe goed cybersecurity ook op orde is, 100 procent veiligheid bestaat niet. Dus bereidt UWV zich net als alle andere overheidsinstanties, zo goed mogelijk voor op incidenten. CIO Maarten Jonker: “Onze uitdaging is weerbaar zijn.” CISO Alex Kooistra: “Veel mensen zijn van ons afhankelijk, we moeten voorbereid zijn.”
UWV helpt mensen met en naar werk. En als dat niet mogelijk is met een inkomen voor werkeloosheid of arbeidsongeschiktheid. Ongeveer 1,2 miljoen Nederlanders zijn voor hun bestaanszekerheid van UWV afhankelijk. Maarten Jonker, als CIO eindverantwoordelijk voor de ICT van UWV: “UWV is een mensenbedrijf, mensen maken bij ons het verschil. Toch heeft vrijwel alles wat we doen een ICT-component. Zelfs aan de balie, zoals het plannen van een afspraak via Outlook.”
Voorbereid zijn
Die inzet van ICT is belangrijk voor het geven van goede dienstverlening en biedt heel veel kansen, maar maakt ook kwetsbaar. Je kunt immers niet alles voorkomen, 100 procent veiligheid bestaat niet. Een moment van onoplettendheid is genoeg, zegt CISO Alex Kooistra, verantwoordelijk voor de cybersecurity van UWV. Hij beseft het maatschappelijke belang van werkende systemen bij UWV maar al te goed: “Veel mensen zijn afhankelijk van de diensten van UWV. Als wij door een hack bijvoorbeeld te laat zijn met betalen, kunnen veel mensen grote problemen krijgen met het betalen van hun huur, gasrekening en boodschappen. Dat heeft dus direct grote impact op de samenleving.” Jonker: “We moeten dus voorbereid zijn op de slechtste scenario’s: stel dat onze systemen niet werken, hoe zorgen we dan dat we zo weerbaar zijn, dat we er toch voor kunnen zorgen dat onze kritieke dienstverlening gewoon door kan gaan?”
Weerbaarheid op de (bestuurlijke) agenda
Dat is het terrein van resilience -weerbaarheid in het Nederlands – of Business Continuity Management; ervoor zorgen dat bij (cyber)incidenten belangrijke dienstverlening snel weer door kan gaan. “Om er voor te zorgen dat we als organisatie effectief kunnen reageren bij (cyber)incidenten, weten we dat de hele organisatie betrokken moet zijn. Het is geen ICT-feestje”, zegt Kooistra. Mede daarom staat het onderwerp dan ook regelmatig op de bestuurlijke agenda. Jonker vult aan: “In de Raad van Bestuur en in de groepsraad met alle algemeen directeuren, behandelen we het thema een paar keer per jaar. We oefenen regelmatig waarin de bestuurlijke laag ook een rol heeft. Daarnaast communiceren we met externe stakeholders om snel calamiteiten met elkaar te delen.”
Een goed gesprek
Weerbaarheid begint bij het op orde hebben van de (technische) basis, zoals het NCSC die beschrijft. “Denk aan goed patchmanagement, gebruik encryptie, zorg voor backupstrategie, goede authenticatie en monitoring, benoemt Kooistra. “Als je dan toch geraakt wordt, ben je minder kwetsbaar. We hebben draaiboeken of Business Continuity Plannen liggen en die testen we ook.”
Bij het opstellen van plannen en draaiboeken is het in kaart hebben van de belangrijkste continuiteitsrisico’s cruciaal. Jonker: “Dit is géén ICT-feestje, zoals Alex al eerder zei. Het gaat om het goede gesprek met de business om te kijken waar de grootste risico’s zitten in onze primaire processen. Dan kun je achteraf goed verantwoorden waarom je bepaalde keuzes hebt gemaakt.”
Een incident komt nooit goed uit
Die goede voorbereiding is ook belangrijk omdat een (cyber)incident eigenlijk altijd gebeurt wanneer het niet uitkomt. “Op vrijdagavond of net voor een lang paasweekend”, weet Kooistra. “Je wil dan dat de maatregelen vooraf bekend én getest zijn. Dat je met elkaar weet hoe het werkt; in de uitvoering, maar ook in de communicatie. Je wil niet in de stress van het moment nog moeten bedenken wat je communiceert naar burgers en wat naar de politiek. Dan ben je echt blij dat er draaiboeken klaarliggen. En dan nog is het spannend.”
Jonker vergelijkt de inspanningen die je moet doen om weerbaar te zijn met een verzekeringspremie: “Het kost veel geld en tijd, en mensen doen daar eigenlijk liever andere dingen mee. Maar als het fout gaat, dan heb je er nooit te veel geld aan uitgegeven.” Een kleine crisis op zijn tijd helpt wel bij de bewustwording daarvoor, ziet hij. “Maar aangezien we liever zonder crisis blijven, stoppen we vooral veel energie in het bewust krijgen en houden van mensen. Ieder van onze 20.000 collega’s bij UWV is onze eerste en sterkste schakel in het veilig houden van de systemen.”
Bredere aanpak
- Kijk de cyberwebinar: De IB&P Wijzer: het Kompas voor IB&P-management.
- Of lees dit interview Alex Kooistra en André van Alphen, directeur ICT Services van het UWV: ’Een moment van onoplettendheid is genoeg’.
Overheidsbreed cyberprogramma
Dit interview word je aangeboden door het overheidsbreed cyberprogramma. Net als de volgende verhalen:
- Hans de Vries en Aart Jochem: hoe CIO Rijk en NCSC samenwerken aan cyberveiligheid.
- Erik Akerboom: “Laat de dreiging niet uit de pas lopen met de weerbaarheid”
- Colin Voetee (het CCV): “Energyboost voor cyberweerbaarheid gemeenten”
- Peter van ’t Hoog (gedeputeerde Gelderland): “Gelderland daagt gemeenten uit met cyberchallenge”
