In 2020 werd de digitale samenleving en ook de overheid zwaar op de proef gesteld. Uit verschillende incidenten bleek hoe inventief, veerkrachtig maar tegelijk ook kwetsbaar de Rijksoverheid is. Het begon met de Citrixcrisis in januari. Softwarebedrijf Citrix maakte begin van het jaar bekend dat er een ernstige kwetsbaarheid was ontdekt, waardoor het mogelijk was om op het interne netwerk van verschillende organisaties te komen. Helaas was er niet direct een oplossing om het lek te dichten. Uit voorzorg schakelden veel bedrijven, overheden en instellingen de Citrix-omgeving volledig uit. De medewerkers konden daardoor tijdelijk niet vanuit huis werken.
Cyberaanvallen
Vervolgens kwam daar de coronacrisis achteraan. Al vrij snel na het uitbreken van de Covid-19 pandemie waren er aanwijzingen dat cybercriminelen de situatie misbruikten om cyberaanvallen uit te voeren. Hoe kijken Bas den Hollander, directeur van de directie Digitale Overheid bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en Désirée Geerts, MT-lid bij diezelfde directie hier tegenaan? En wat is volgens hen het belang van overheidsbrede samenwerking, het leren van incidenten en overheidsbreed oefenen?
Veilige digitale dienstverlening
Een veilige digitale dienstverlening aan burgers en ondernemers is ook in crisistijd van essentieel belang. “Vanaf de start van de coronacrisis bleef de overheid 24/7 online bereikbaar” vertelt Den Hollander. “Door samenwerking tussen verschillende bestuurslagen en door de verschillende maatregelen die al voor het uitbreken van de crisis zijn genomen, bleken voorzieningen van de digitale overheid voldoende opgewassen tegen aanvallen. Tijdens Citrix en de coronacrisis heeft de overheid laten zien hoe krachtig grenzeloze samenwerking is op het gebied van cybersecurity. Goede en veilige digitale dienstverlening is en blijft een belangrijk punt van aandacht” aldus Den Hollander. In de agenda Digitale Overheid NL DIGIbeter werd al eerder de focus gelegd op cyberveiligheid en worden concrete acties benoemd om die samenwerking te bevorderen.
Een taal bij informatieveiligheid
Eén van de acties uit NLDIGIbeter die valt onder de pijler informatieveiligheid is de implementatie van de BIO, de Baseline informatiebeveiliging overheid. “Door één gezamenlijke taal op informatieveiligheid te hanteren, creëer je betere afstemming binnen ketens van overheden en andere relevante partijen”, voegt Geerts toe. “De BIO bundelt de afzonderlijke baselines per overheidslaag (Rijk, provincies, waterschappen en gemeenten) en is in feite de kapstok voor informatiebeveiliging”. De implementatie van de BIO bij alle overheden is gestart in januari 2019. De BIO vervangt de bestaande baselines voor Rijk, Gemeenten, Waterschappen en Provincies. Van BIG, BIR, IBI en BIWA naar BIO. Hiermee ontstaat één basisniveau voor informatiebeveiliging binnen de gehele overheid. Eén gezamenlijke taal voor alle overheidsorganisaties. “Een enorme winst op het gebied van informatieveiligheid” aldus Geerts.
Oefenen, ervaren, ontmoeten
Geerts: “Wil je je rijbewijs halen? Bij het Centraal Bureau Rijvaardigheidsbewijzen (CBR) leg je een theorie-examen én praktijkexamen af. Je laat zien dat je alle vaardigheden onder de knie hebt. Datzelfde geldt ook als het om informatieveiligheid gaat. Oefenen, ervaren, het “praktijkexamen” doorstaan”. Den Hollander voegt daar aan toe: “Met regelmatig oefenen verhogen overheden hun digitale weerbaarheid. Leren van elkaars ervaringen versterkt de samenwerking, dan zijn we beter voorbereid op potentiële ontwrichting bij een incident in het digitale domein. Want, hoe je het ook wendt of keert: het is niet de vraag óf een overheidsorganisatie gehackt wordt of anderszins getroffen, maar wanneer”. Hoe hard we ook werken om dit met z’n allen te voorkomen. Goed voorbereid zijn als overheid is dan ook van cruciaal belang volgens beiden. Om digitale ontwrichting te voorkomen. Om alle digitale dienstverlening veilig en bereikbaar te houden. Zodat de maatschappij en de economie blijven draaien.
Overheidsbreed oefenen
Om die reden vindt dit jaar de tweede Overheidsbrede Cyberoefening plaats. Den Hollander: “Uit de evaluatie van vorig jaar bleek dat ruim 96% een tweede overheidsbrede cyberoefening wilde. Dan vind ik dat we daar ook werk van moeten maken.” Dat enthousiasme vernam Den Hollander ook in de zaal en tijdens de diverse breakoutsessies. “Naast het meegeven van handelingsperspectief biedt zo’n bijeenkomst ook gelegenheid om te netwerken en kennis te delen. Dat maakt een initiatief als de Overheidsbrede Cyberoefening ook zo waardevol”, voegt Den Hollander toe. Geerts vult aan: “Ik zie het ook als de leerfasen van Maslow. Uiteindelijk willen we als overheid bewust-bekwaam worden in de aanpak van incidenten en crises. Door structureel te oefenen worden we als overheid behendiger in het aanpakken van dergelijke situaties. Je moet het een paar keer hebben gedaan en ervaren, om beter te weten hoe je moet handelen wanneer het zich echt voor doet.”
Online event
Dit jaar vindt de Overheidsbrede Cyberoefening geheel virtueel plaats op 26 oktober. Daarnaast organiseren diverse overheden in oktober een aantal cyberwebinars. Alle informatie is te vinden op www.weerbaredigitaleoverheid.nl.
