Zeeuwse strijd tegen de criminele elementen

In maart 2022 werd de Intentieverklaring ‘Zeeuwse norm weerbare overheid’ ondertekend door de dertien Zeeuwse gemeenten, het waterschap en de provincie. Ze willen samen één front vormen, om het criminelen zo moeilijk mogelijk te maken in Zeeland hun slag te slaan. De intentieverklaring bestaat uit negen thema’s, waaronder informatiebeveiliging. In dit kader vond in april de eerste Zeeuwse CISO-dag plaats, een bijeenkomst van chief information security officers (CISO’s) om de Zeeuwse norm voor het digitale domein te concretiseren.

CISO-dag

Op de CISO-dag willen de deelnemers komen tot een gedegen plan van aanpak. Plaats van handeling: SintAnna, een voormalige rooms-katholieke kerk in Yerseke. Op het programma: een hoogmis van weerbaarheid, bewustwording en meerfactorauthenticatie. Naast de dertien gemeenten, het waterschap en de provincie is ook de Informatie Beveiligingsdienst (IBD) van de partij. Speciale gast is cybersecurityspecialist Brenno de Winter.

Verantwoordelijkheid

In een voorstelronde vertellen de CISO’s waar ze trots op zijn en waar ze hulp bij kunnen gebruiken. Veel deelnemers noemen het opzetten van een bewustwordingscampagne – al dan niet met behulp van cyberoefeningen, een escaperoom, een quiz of bordspel – als iets waarmee ze binnen hun organisatie flinke stappen maken. Steeds meer medewerkers en bestuurders nemen informatiebeveiliging serieus, stellen ze vast.

De implementatie van de Baseline Informatiebeveiliging Overheid (het normenkader voor informatieveiligheid) en de nieuwe Europese NIS2-richtlijn levert de nodige uitdagingen op. De CISO’s willen elkaar hiermee helpen en samenwerken, onder meer door gezamenlijk IT-specialisten te betrekken. Een ander onderwerp waarbij hulp en samenwerking gewenst is, is eigenaarschap bij bestuurders op dit thema. Veelgehoord binnen de muren van de kerk: ‘Bestuurders voelen niet altijd voldoende de verantwoordelijkheid voor informatiebeveiliging. Ze denken al snel: dat is iets voor de ict’ers.’

Beveiliging is noodzaak

Voormalig onderzoeksjournalist De Winter, tegenwoordig in dienst bij Volksgezondheid, Welzijn en Sport, heeft meteen de lachers op zijn hand als hij beschrijft hoe moeilijk het kan zijn om bestuurders mee te krijgen. ‘Het is niet dat we het leuk vinden om beveiliging te doen, het is noodzaak’, benadrukt hij. Die boodschap vindt in dit gezelschap natuurlijk onmiddellijk weerklank. ‘Ik zeg altijd: als je denkt dat privacy duur is, bedenk dan eens hoe duur een veiligheidsincident is.’ Begin tegen hem dan ook niet over risk appetite. ‘Op het moment dat het misgaat, denkt geen bestuurder meer terug aan het moment dat-ie zei, het risico wel te durven nemen. Dan is het: waarom is dit niet geregeld?’

Op het moment dat het misgaat, denkt geen bestuurder meer terug aan het moment dat-ie zei het risico wel te durven nemen.

Liever geitenpaadjes dan structureel investeren

Wat is dat toch met bestuurders die blijkbaar nog steeds liever geitenpaadjes zoeken dan structureel te investeren in informatiebeveiliging? Een deel van het antwoord zit vermoedelijk in het idee dat informatiebeveiliging en privacy kostenposten zijn die ten koste gaan van het primaire proces: de dienstverlening aan inwoners en ondernemers. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten beschrijft de IBD de preventieparadox: als je investeert in veiligheid, gebeurt er niets. Dus volgt de vraag: waarom hebben wij ons geld hieraan besteed?

Ver-van-mijn-bed-show

Marga Vermue, die als burgemeester van Sluis de rol van bestuurlijke trekker van dit thema op zich neemt, vermoedt desgevraagd dat het onderwerp voor sommige van haar collega’s nog steeds een ver-van-mijn-bed-show is. ‘Het komt pas echt binnen op het moment dat je ervaringen deelt met een collega. Lochem en Hof van Twente liggen vanuit hier gezien toch wat verder weg. We moeten voortdurend benadrukken waarom we dit doen, anders blijft informatiebeveiliging voor veel bestuurders vooral een lastige extra handeling om de computer in te komen.’

Lochem en Hof van Twente liggen vanuit hier gezien toch wat verder weg.

Geadopteerde thema's

Over alle negen thema’s binnen de Zeeuwse Norm zullen de komende tijd bijeenkomsten zoals deze plaatsvinden. Om te zorgen dat de Zeeuwse Norm niet door één partij wordt getrokken, zijn de thema’s geadopteerd door de gemeenten, en is de gemeentesecretaris actief bij de samenwerking. Het thema informatiebeveiliging is geadopteerd door de gemeenten Sluis en Borssele en de provincie.

Jeroen de Graaf, strategisch adviseur informatiebeveiliging van Sluis, is blij met de hoge opkomst op deze eerste CISO-dag. ‘Het is zaak dat we alle partijen goed met elkaar weten te verbinden, zodat we de driehoek (burgemeester, districtchef politie en de officier van justitie – red.) van betrouwbare data kunt voorzien’, zegt hij, ‘of het nu gaat over uitbuiting, cybercriminaliteit of de bewegingen die plaatsvinden op de havens.’

Gezamenlijk aan de slag

Aan het einde van de bijeenkomst bepalen de CISO’s met welke onderwerpen zij op korte termijn gezamenlijk aan de slag willen gaan in het kader van de Zeeuwse Norm. Dat zijn bewustwording, commitment en training van bestuur en management; de versnelde implementatie van BIO en NIS2, gezamenlijk testen en oefenen; en vaart maken met kennisdeling.

Een volgende CISO-dag laat niet lang op zich wachten, belooft De Graaf. Er komt een digitaal platform voor kennisdeling. In het najaar volgt een gezamenlijk georganiseerde Zeeuwse maand van de weerbare overheid.

Lees het hele artikel in Binnenlands Bestuur nr. 11 (inlog)