Simon Sibma is voorzitter van de raad van bestuur van de Sociale Verzekeringsbank, Arnoud Bakker is er CISO. Als bestuurder heeft Sibma specialistische kennis in huis nodig om zijn rol in het versterken van de digitale weerbaarheid te kunnen vervullen. “Cyberweerbaarheid begint bij bewustwording, kennis en expertise bij de top van de organisatie”
Het belang van die digitale weerbaarheid voor de SVB spreekt eigenlijk voor zich, stelt Sibma. “De SVB draagt bij aan de bestaanszekerheid van 5,7 miljoen Nederlanders. We keren verschillende regelingen uit, zoals de AOW, de kinderbijslag en de Aanvullende inkomensvoorziening voor ouderen.” Die dienstverlening van de SVB moet altijd doorgang vinden. “Burgers moeten er blindelings op kunnen vertrouwen dat ze krijgen waar ze recht op hebben. Probleemloos en stipt. Omdat ons betalingsverkeer volledig digitaal plaatsvindt, is de digitale weerbaarheid van onze organisatie een topprioriteit.”
Programma
Jaarlijks maakt de SVB een risico-overzicht van bedreigingen voor de bedrijfsvoering. Cyberveiligheid staat daar al een aantal jaren in. Deze topprioriteit is vertaald in een programma Digitale veiligheid met verschillende projecten op het gebied van cyberveilig zijn, cyber-awareness bij medewerkers, monitoring en het reageren op cyberattacks. Een belangrijk aandachtspunt vindt Sibma het herstelvermogen van de SVB: “Als we worden aangevallen, kunnen we dan snel de betalingen weer up-and-running krijgen?” Bij het programma zijn alle organisatieonderdelen betrokken. “Het wordt aangestuurd door onze CIO, die met regelmaat rapporteert aan de raad van bestuur. We leggen er ook verantwoording over af aan het ministerie van SZW, onze eigenaar.”
Continu leren en ontwikkelen
Een dergelijk groot programma is nodig om twee redenen, vertelt Sibma. “Aan de ene kant hebben we veel te doen om digitaal veilig te blijven. Aan de andere kant zie je dat de technische wereld snel verandert, dus je hebt dat tempo bij te houden.” Bakker vult aan: “Continu verbeteren en leren hoort daarbij. Je bent eigenlijk nooit klaar met monitoren, blijft altijd in de markt op zoek. We slijpen steeds bij, soms gewoon door te kijken: wat gaat er mis bij anderen? Soms speel je dat eens na; hoe zou dat bij ons dan gaan?”
Bij cyberweerbaarheid is de hele organisatie betrokken, vertelt Sibma. “Iedere medewerker is een potentiële bewaker van die gegevens én soms ook een potentieel risico. Daar zetten we fors op in met voorlichting, informatie, trainingen, opleidingen.” Hij ziet daarin een trend. “Toen ik 7 jaar geleden begon, waren er nog een hele discussies over pasjes, lange wachtwoorden en het beveiligen van applicaties. Je ziet in de maatschappij en binnen onze organisatie dat cyberveiligheid veel meer een thema is geworden. Dat betekent niet dat we er zijn, maar ik zie een teneur die me tot tevredenheid stemt.”
Oefenen
De SVB oefent regelmatig met cyberincidenten, binnen de eigen organisatie en overheidsbreed (zoals ISIDOOR). Sibma vindt dat belangrijk: “Van oefenen leer je. Je weet dat de praktijk anders is dan de oefening, maar als je niet oefent, ben je nergens op voorbereid.” Wat regelmatig oefenen bestuurders brengt? “Je realiseert je hoe dichtbij zoiets kan komen en hoe anders de situatie is tijdens een crisis dan in het reguliere besturingsproces; het vraagt andere vaardigheden.” Naast het oefenen van crisissituaties, vindt hij het oefenen van het herstelvermogen van de organisatie ook erg belangrijk. “Als je dat nooit oefent, weet je niet dat misschien kleine belangrijke dingetjes niet goed geregeld zijn.”
Bakker ziet dat oefenen bijdraagt aan het leerproces. “Belangrijk om bestuurders af en toe even uit hun normale werk te halen om te ervaren: hoe gaat het tijdens zo’n crisis? Om de kennis daarover weer op te halen en uit te wisselen; dat draagt bij aan continu leren.” Hij geeft een voorbeeld: “We lezen bijvoorbeeld veel over ransomware. Met oefenen ondervinden bestuurders wat zoiets met het bedrijf doet en wat we daarvoor hebben voorbereid. Ze krijgen de instrumenten in handen en leren die toe te passen. Dat geeft ons het vertrouwen dat als het een keer nodig is, die instrumenten ingezet kunnen worden.”
Deelnemen aan de Overheidsbrede Cyberoefening
De impact van een cyberincident is vaak enorm. Het is de kunst om onder tijdsdruk de juiste beslissingen te nemen. Oefenen, oefenen, oefenen is het devies. Daarom organiseert het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening.
Overheidsorganisaties kunnen online deelnemen, maar ook simultaan meeoefenen. Het crisisteam van de organisatie komt voor dezelfde uitdagingen te staan als het crisisteam in de studio. Doe ook mee!
Balans tussen uitvoering en security
Met cybersecurity als bestuurlijke topprioriteit is het onderwerp ook ‘chefsache’. Er is een duidelijke rolverdeling, vertelt Sibma. “De raad van bestuur heeft als taak om kaders te stellen, overzicht te houden, te toetsen of gemaakte besluiten zijn uitgevoerd en waar nodig processen bij te sturen. De SVB-directies zijn gezamenlijk verantwoordelijk voor het verhogen van de digitale weerbaarheid. Het CIO Office helpt de RvB bij het vaststellen van het beleid voor digitale weerbaarheid en het rapporteren daarover.” Het kost tijd om dat samenspel goed op de rit te krijgen, vertelt Bakker: “Als je begint staan de belangen van de uitvoering en de cybersecurity-mensen vaak nog haaks op elkaar.” Daarin ziet hij een belangrijke rol voor de bestuurder: “Om uitvoering en security samen te brengen. Zo van ‘Goh, we moeten er wel uitkomen met die verschillende belangen.’ Zodra dat meer tot elkaar komt, zie je dat die samenhang veel logischer en natuurlijker wordt.”
Topprioriteit
Sibma vult aan: “Naar de geluiden uit de uitvoering hebben we natuurlijk te luisteren. Maar als de praktijk blijft zeggen ‘we moeten ons werk kunnen blijven doen zoals we het altijd deden’: dat kan natuurlijk niet. Denk aan een wachtwoord van 6 tekens. Je zult daar op een gegeven moment doorheen moeten. Dat is ook het interessante van ons werk – van Arnoud en van mij – om die dingen met elkaar te verenigen. Waarbij ik belangrijk vind dat Bakker aan de kant van de veiligheid zit; dat is zijn topprioriteit, daar is hij voor aangenomen. Dat zet ik naast de prioriteiten van de uitvoering. Zo wordt dat spel op een goede manier gespeeld. Dat proberen wij met een goed en eenvoudig governancemodel te organiseren.”
Cyberwebinars 2024
Wat de bestuurder nodig heeft
Bestuurders hebben om hun rol goed te kunnen pakken ondersteuning nodig. “Je hebt specialistische kennis in huis nodig. Onze CISO Arnoud Bakker heeft weer veel mensen in zijn interne netwerk die in de verschillende directies actief zijn met informatiebeveiliging. Er is bestuurlijke betrokkenheid, kennis en expertise nodig; al mijn collega’s in de top van de SVB moeten iets van cybersecurity weten. Ook belangrijk is dat ook het ministerie – onze eigenaar – zich bewust is van dit belang en zichzelf ook organiseert op dit gebied, zodat onze CISO en CIO binnen het ministerie een peergroup hebben met mensen waarmee ze op inhoudelijk niveau kunnen schakelen.”
De betrokkenheid bij de top van de organisatie is ook voor Bakker prettig. “Inmiddels is cyberveiligheid eigenlijk overal in het bedrijf ingebouwd en zijn er instrumenten voorhanden. Je hebt een stem, er wordt naar je geluisterd, dan kun je het over de uitdaging hebben die eronder ligt, helpen de problemen die spelen zichtbaar te maken en deze gezamenlijk op te lossen.” Sibma: “Ik vind een goeie connectie met de CISO en zijn security-collega’s belangrijk, wil dat blijven waarderen. Zo kunnen we langzamerhand stappen zetten in het tempo dat de organisatie aankan. Want het heeft geen zin om grote papieren stelsels te bedenken die we niet kunnen realiseren. We zijn er zeker nog niet. Er is nog genoeg te doen en we moeten altijd mee proberen te bewegen in wat de technische wereld van ons vraagt.”