Matthijs van Amelsfort (directeur Nationaal Cyber Security Centrum bij JenV) en Martijn de Hamer (plaatsvervangend CISO Rijk bij BZK)

Digitale weerbaarheid

’Doorgrond de risico's, ken de gevolgen’

Digitale weerbaarheid gaat over meer dan alleen ICT. Gedrag, een sterke veiligheidscultuur én leiderschap zijn minstens zo belangrijk. Wat vragen deze thema's van topambtenaren, in een geopolitiek tijdperk waarin de digitale risico's steeds groter worden?

Het aantal datalekken en cyberaanvallen neemt toe, ook bij de Rijksoverheid. Voor Martijn de Hamer is de weerbaarheid daartegen dagelijkse kost. Hij is plaatsvervangend CISO Rijk bij BZK. Als het om digitale weerbaarheid gaat, maakt Martijn een duidelijk onderscheid tussen preventie en herstelvermogen. ’Dat zijn voor een deel technische vraagstukken, maar als topambtenaar moet je medewerkers en processen daar allereerst op voorbereiden.’ Matthijs van Amelsfort, directeur Nationaal Cyber Security Centrum bij JenV, onderschrijft dat. ’Weerbaarheid begint aan de voorkant. Want de vraag is niet óf, maar wannéér het een keer misgaat.’

Sturing geven

De aanstaande Cyberbeveiligingswet moet de digitale weerbaarheid rijksbreed vergroten. Hierin staan onder andere tien zorgplichtmaatregelen waar overheidsorganisaties aan moeten voldoen. De eerste maatregel: een risicoanalyse. ’Anders weet je niet waar je een organisatie tegen moet wapenen’, aldus Matthijs. ’Naast die tien maatregelen draait het om intrinsieke motivatie om met digitale weerbaarheid aan de slag te gaan. Die motivatie ontstaat alleen als ook topambtenaren de risico's doorgronden en de gevolgen kennen: voor de eigen organisatie, het maatschappelijk vertrouwen en de nationale veiligheid.’ Voor de uitvoering van de Cyberbeveiligingswet zijn logischerwijs middelen en mensen nodig. ’Maar een ICT-manager kan niet bepalen wat preventie of bijscholing mag kosten’, vindt Martijn. ’Het is aan topambtenaren om die verantwoordelijkheid te pakken en sturing te geven. Stel middelen beschikbaar voor risicomanagement, maak er medewerkers voor vrij en zorg dat je bij de beoordeling van de grootste risico's zelf actief betrokken bent. Daarmee creëer je de cultuuromslag die nodig is om de Rijksoverheid digitaal weerbaarder te maken.’

‘Een ICT-manager kan niet bepalen wat preventie of bijscholing mag kosten, het is aan topambtenaren om die verantwoordelijkheid te pakken’

‘Detectie door de één, is preventie voor de ander’

Een open gesprek

Voor de cultuuromslag die Martijn benoemt, is het open gesprek essentieel. ’En dan niet alleen het gesprek met je directieteam of CISO. Geef digitale weerbaarheid intern aandacht in bijvoorbeeld nieuwsbrieven en op intranet. Sluit aan bij hackdemonstraties en awareness-sessies. Hoe meer betrokkenheid topambtenaren tonen, hoe meer medewerkers zich gesterkt voelen in hun opdracht om met digitale weerbaarheid aan de slag te gaan.’ Matthijs vult aan: ’Het open gesprek is ook van grote waarde ná een cyberincident. Creëer een veilige omgeving waarin medewerkers zich niet hoeven te schamen en altijd een melding durven te maken als ze bijvoorbeeld in phishing zijn getrapt. En zorg dan voor een goede opvolging met een e-learning of informatiebijeenkomst. Die transparantie verhoogt onze digitale weerbaarheid pas echt. Detectie door de één, is preventie voor de ander.’

DGABD-curriculum Digitaal leiderschap

Digitale weerbaarheid vraagt om publiek leiders die de rust weten te bewaren, richting geven en keuzes durven te maken. Namens de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) begeleidt Lykle de Vries interactieve sessies die het digitaal vakmanschap van onder anderen topambtenaren versterken. Een van die sessies begint voor de deelnemers met een crisissimulatie, legt Lykle uit. ’De simulatie is bewust zo ontworpen dat alle deelnemers binnen tien minuten hoog in hun adrenaline zitten. De tijdsdruk zorgt voor een gevoel van urgentie. Uit de groepsevaluatie na afloop blijkt altijd weer hoe waardevol een crisisplan is. Alle deelnemers zullen digitale weerbaarheid serieus nemen, maar ze beseffen niet altijd wat hun organisatie dan precies kwetsbaar maakt en welk gedrag leidt tot digitale risico's. Daarom is leiderschap zo belangrijk. Digitale weerbaarheid gaat over lenigheid, over een goede voorbereiding op het onverwachte. Kan jouw organisatie een aanval of lek opvangen?’

Klik hier voor meer informatie over het curriculum Digitaal leiderschap. Hieronder valt ook de sessie Sturen onder druk: leiderschap bij een cybercrisis, die Lykle begeleidt.