‘Het is continu een race tegen de klok’

LEESTIJD: 7 MIN

Digitalisering heeft een enorme impact op Nederland. Niet alleen op het individu, maar zeker ook op de economische en maatschappelijke ontwikkelingen. Franc Weerwind maakt zich als portefeuillehouder Informatievoorziening in het Veiligheidsberaad hard voor het op de kaart zetten van de noodzakelijke digitale weerbaarheid. Samen met Steven van de Looij, CI2O bij de veiligheidsregio Amsterdam-Amstelland, bespreekt hij de kansen en bedreigingen van de digitalisering.

Wat waren uw drijfveren om met digitale ontwrichting aan de slag te gaan?

Van de Looij: ‘Automatisering is mij met de paplepel ingegoten. Als gezin hadden we als eerste een computer in het dorp en al snel begon ik met programmeren. Ik ben altijd actief gebleven in de wereld van digitalisering. De laatste jaren ben ik me meer bewust geworden van de impact hiervan op de samenleving. Het biedt kansen, maar we worden er ook steeds afhankelijker van. Grote techreuzen in de VS weten alles van ons. Omdat het vakgebied constant uitdijt en verweven raakt met onze samenleving, moeten we veel meer gaan nadenken of we dit nog wel willen.’

Weerwind: ‘Als je naar deze COVID-crisis kijkt, zie je dat data ontzettend belangrijk zijn om overzicht en inzicht te behouden, maar tegelijkertijd laat het GGD-lek zien dat er ook risico’s aan vast zitten. Een aantal gemeentes is al getroffen door gijzelsoftware. Digitale ontwrichting komt steeds dichterbij. We hebben maar zicht op het topje van de ijsberg. We weten namelijk niet wat er gebeurt bij de bedrijven die losgeld betalen om van de gijzelsoftware af te komen. Daar moeten we ons bewust van zijn.’

‘We realiseren ons steeds meer dat digitale verstoringen in dezelfde categorie thuishoren als een pandemie: grote kans en grote gevolgen’

Het vergroten van het bewustzijn - bestuurlijke awareness - is één van de prioriteiten genoemd in het Bestuurlijk routeboek digitale ontwrichting van het Veiligheidsberaad. Hoe staat het op dit moment met die bestuurlijke awareness?

Weerwind: ‘Het feit dat we er nu over spreken en dat het op de agenda staat van het Veiligheidsberaad laat zien dat het een evident onderwerp is. We moeten er continu oog voor hebben en het moet dus continu op de agenda van bestuurders staan. Om te inventariseren waar de 25 veiligheidsregio’s nu staan, is er een Versnellingsplan informatieveiligheid vastgesteld. Een van de doelen is om meer kennis uit te wisselen tussen de veiligheidsregio’s - bovenregionaal samenwerken dus - zoals we nu ook tijdens de coronacrisis doen. Want je bent net zo sterk als de zwakste schakel.’

Van de Looij: ‘We realiseren ons steeds meer dat digitale verstoringen in dezelfde categorie thuishoren als een pandemie: grote kans en grote gevolgen.’

Weerwind: ‘We komen van ver, maar we zijn op de goede weg. Vijf jaar geleden was ik als burgemeester van Velsen samen met Rijkswaterstaat bij het sluizencomplex. Toen ik vroeg hoe het complex digitaal beveiligd was, keken ze me aan alsof ik Armeens sprak.’

Namens de veiligheidsregio’s pleit u er beiden voor dat de informatienetwerken aangesloten worden op de Nederlandse vitale infrastructuur. Waarom is dat essentieel?

Weerwind: ‘Kijk naar de cyberaanval op de Veiligheidsregio Noord- en Oost-Gelderland afgelopen jaar waardoor systemen platgelegd werden, gelukkig uitgezonderd P2000 en C2000. Stel dat de meldkamer, de ambulance-aansturing, de brandweervoertuigen en noodverordeningen allemaal niet meer gebruikt kunnen worden, dan krijg je een ongelooflijke maatschappelijke ontwrichting. De veiligheidsregio’s spelen dus een cruciale rol en behoren onderdeel te zijn van de vitale infrastructuur.’

Van de Looij: ‘We willen dat het Rijk ziet dat de producten die wij leveren onderdeel zijn van de vitale infrastructuur. Sterker, we zíjn de vitale infrastructuur. Dat laten we ook zien tijdens de coronacrisis. Het is niet voor te stellen dat we daar tussenuit zouden vallen. Maar onderdeel zijn van die vitale infrastructuur betekent ook dat we er als veiligheidsregio’s voor moeten zorgen dat onze eigen organisaties veilig zijn. Helaas voldoen de meeste regio’s nog niet aan de landelijke standaard als het om informatiebeveiliging gaat. Daar ben ik niet trots op.’

Weerwind: ‘Ik zie inderdaad verschillen in niveau tussen de veiligheidsregio’s. In mijn optiek scoren een paar regio’s een voldoende, maar gaat de rest niet over naar de volgende klas. We moeten er dus met het gezamenlijke Versnellingsplan informatieveiligheid flink de schouders onder zetten.’

‘De hardware, software én de menselijke kant moet in balans zijn. Het is een drieluik, waarbij je op alle drie de aspecten moet investeren’

Hoe staat veiligheidsregio Amsterdam-Amstelland ervoor?

Van de Looij: ‘Het moet en kan beter! We moeten zorgvuldiger omgaan met digitale veiligheid en er meer tijd aan besteden. Vaak kies je ervoor om snel iets neer te zetten, maar als je het veilig en robuust wilt doen, heb je meer tijd nodig. Als organisatie worstelen we continu met het spanningsveld tussen snel schakelen en zorgvuldigheid. Kijk naar de GGD tijdens de COVID-crisis: met alle druk op de GGD-organisaties kun je dit soort problemen er eigenlijk niet bij hebben. In die casus werd ook weer eens duidelijk dat de menselijke kant van informatiebeveiliging cruciaal is.’

Weerwind: ‘De hardware, software én de menselijke kant moeten in balans zijn. Het is een drieluik, waarbij je op alle drie de aspecten moet investeren. Goede IT-mensen zijn moeilijk te vinden. Mensen als Steven zijn goud waard voor het bedrijfsleven, want die hebben natuurlijk ook te maken met digitale ontwrichtingen. We kunnen die menskracht veel meer gaan delen door elkaar op te zoeken en meer te gaan samenwerken, met bijvoorbeeld de Rijksoverheid, de veiligheidsregio’s, onderwijsinstellingen, overheden en het bedrijfsleven.’

‘De menselijke kant van informatiebeveiliging is cruciaal’

Hoe ziet die samenwerking er dan uit tussen het Rijk en de veiligheidsregio’s?

Van de Looij: ‘Als veiligheidsregio schaken we op twee borden. Met Franc en een aantal topambtenaren overleggen we veel om het Rijk en de regio bij elkaar te krijgen. Daarnaast is er een ambtelijke werkgroep Cyber en digitale ontwrichting gestart met afgevaardigden van de 25 veiligheidsregio’s. Inmiddels zijn er al 39 deelnemers. Hogescholen, lectoraten, ministeries en VNG doen nu ook mee. Het bedrijfsleven nodigen we regelmatig uit en ook instellingen die al met cybercriminaliteit te maken hebben gehad, zoals Maastricht UMC. Het mooie is dat we elkaar nu ontmoeten en een gezamenlijke agenda maken. Wat kan een ieder bijdragen aan een veilige digitale samenleving? Dan gaat het bijvoorbeeld over planvorming, nationale oefeningen of het bijwerken van het Nationaal Crisisplan Digitaal.’

Wat levert deze samenwerking op?

Van de Looij: ‘Het levert sowieso een lijst met telefoonnummers op, zodat we elkaar weten te vinden als het fout gaat. We maken verbindingen, we nemen elkaar nu serieus als gesprekspartner en er is geen discussie meer over het feit dat we dit samen doen. Het komt de kwaliteit ten goede, omdat we allemaal net een iets andere blik hebben. We zijn te gast geweest op een driedaagse conferentie bij Rijkswaterstaat. We vonden het enorm inspirerend om te zien hoe medewerkers onderling de successen deelden die ze behaald hebben op het gebied van informatietechnologie. Dat idee hebben we meegenomen. Hoe mooi zou het zijn om alle initiatieven in je bedrijf op een open en transparante manier met elkaar te delen? Dat zouden we als veiligheidsregio’s ook naar elkaar toe moeten doen.’

Ook de bestuurlijke verantwoordelijkheden en bevoegdheden moeten beter in kaart gebracht worden?

Weerwind: ‘Ook dat is een groot spanningsveld. Want wie is er verantwoordelijk als de pinautomaten van de bank als gevolg van een hack niet meer werken? Ben ik dat als voorzitter van de veiligheidsregio? Die verantwoordelijkheden hebben we niet goed uitgewerkt.’

Van de Looij: ‘Of je als veiligheidsregio vergunningen moet afgeven die gebaseerd zijn op digitale veiligheid? Lastig. Als een bedrijf zich ergens vestigt, stellen we vragen over de robuustheid van de brandblusinstallatie, maar we stellen nog geen vragen over de robuustheid van de firewalls. Terwijl de grootste dreiging misschien wel zit in dat glasvezelkabeltje dat onder dat hek doorgaat. Daarover moeten we in ieder geval met elkaar het gesprek voeren.’

‘Vroeger was het overzichtelijk: er was een brand of een sneeuwstorm en de brandweer kwam. Als er nu digitaal iets misgaat in een bedrijf, komt niet direct een digitale brandweer langs. De digitale problemen van nu zijn namelijk niet meer zo makkelijk te ordenen. Bij een digitale verstoring duurt het een tijd voordat we door hebben wat er aan de hand is. Bedrijven melden het laat, omdat ze zich schamen en bang zijn voor imagoschade. Daarbij kunnen wij het probleem niet oplossen, maar we hebben wél te maken met de gevolgen.’

‘Het is continu een race tegen de klok omdat we ons voorbereiden op de vragen van nu, terwijl de uitdagers steeds sneller gaan’

Hoe is het over tien jaar gesteld met de digitale veiligheid in de veiligheidsregio’s?

Weerwind: ‘We zijn dan een nog meer informatiegestuurde samenleving, waar dus ook informatiegestuurde veiligheid bij hoort. Onze digitale weerbaarheid ligt dan op een hoger niveau.’

Van de Looij: ‘Het is continu een race tegen de klok omdat we ons voorbereiden op de vragen van nu, terwijl de uitdagers steeds sneller gaan.’

Kun je cybercriminelen überhaupt inhalen?

Van de Looij: ‘Als je reëel bent, kun je ze nooit echt inhalen. Het is, zoals Franc zegt, een samenspel tussen techniek, mensen en middelen. Als je je medewerkers bewuster maakt van risico’s, kun je meer veiligheid creëren. Een simpel voorbeeld: mensen kiezen nog steeds voor een kort wachtwoord, omdat een langere variant te veel tijd kost om steeds in te typen. In de preventie kunnen we nog veel winnen. Kijk hoe het aantal branden is afgenomen sinds er digitale rookmelders zijn. Tegelijkertijd brengt zo’n innovatie ook risico’s met zich mee. Bij het ontwerp daarvan zou je daar dus al over na moeten denken: privacy by design. Dát is de toekomst, de eerste stappen zijn daarvoor gezet.’

Steven van de Looij Chief Information & Innovation Officer (CI2O) bij de veiligheidsregio Amsterdam-Amstelland.

Franc Weerwind bestuurlijk portefeuillehouder informatievoorziening en digitale ontwrichting Veiligheidsberaad en burgemeester Almere en voorzitter VNG-commissie Informatiesamenleving.

OOK INTERESSANT VOOR U:

Button doorklik naar pagina 'De digitale wereld moet in ons DNA terechtkomen'

De impact van de digitale weerbaarheid op de crisisbeheersing in NL

Button doorklik naar pagina 'We kunnen niet op ons eiland blijven zitten'

Lessen uit de cybercrisis bij de VNOG

Button doorklik naar pagina 'Kennishoek'

Meer leren over digitale weerbaarheid?


deel deze pagina: