#cyberoefening — Public Fediverse posts

Video met uitleg over red teaming vanaf nu online

Red teaming; wat is het en hoe werkt het? Wat is de meerwaarde? Je ontdekt het in een nieuwe video. Een handig middel om bijvoorbeeld te delen met collega’s in je organisatie.

In het kort

Een red teamingtest is een geavanceerde securitytest. Daarbij wordt een cyberaanval uitgevoerd op 1 of meerdere kritieke functies van een organisatie. Op basis van de bevindingen kun je verbeterplannen opstellen om de digitale weerbaarheid van de organisatie te verbeteren.

Zakken of slagen kan bij deze test niet. Het geeft juist inzicht in de onderdelen van je beveiligingsmaatregelen – mensen, processen én techniek. Aart Jochem, CISO Rijk en plaatsvervangend directeur CIO Rijk: “Via red teaming krijgen we meer inzicht in onze feitelijke veiligheid. En dat is nodig, zodat we onze verdediging tegen criminelen en statelijke actoren kunnen versterken.”

TIBER en ART

Bij de Rijksoverheid wordt red teaming uitgevoerd via het TIBER- en ART-raamwerk voor de Rijksoverheid. TIBER staat voor Threat Intelligence Based Ethical Red Teaming. ART betekent Advanced Red Teaming.

Meer weten? Duik dan eens in de Gereedschapskist red teaming. Daar vind je ook deze nieuwe video.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#cyberoefening #oefenen #redTeaming #testen

Wat te doen tijdens een cyberincident? 5 tips

Een cyberincident kan iedereen gebeuren. Daarom is het belangrijk regelmatig te oefenen. Kom goed beslagen ten ijs met de tips van crisisexpert Jori Kalkman (Defensie Academie). Hij analyseerde honderden crisisaanpakken om te zien hoe operationele crisisteams met dilemma’s omgingen. Hij geeft 5 tips om te handelen tijdens een cyberincident.

1. Begin met handelen, wacht niet af

“Realiseer je: informatie is een luxe tijdens een crisis. Professionals houden er vaak van om zoveel mogelijk informatie te verzamelen om een zo goed mogelijk beeld op te bouwen. Daar kun je veel tijd mee verliezen. Uiteindelijk is een crisis per definitie onzeker en onvoorspelbaar. Wanneer je denkt dat je een goed informatiebeeld hebt, is die informatie alweer achterhaald. Je moet dus heel snel besluiten en handelen op basis van informatie die achteraf misschien incompleet blijkt te zijn.”

2. Experimenteer en durf plannen en protocollen los te laten

“Als je een crisisoefening volgens de plannen kan oplossen, dan heb je geen goede oefening gehad. Gebruik een oefening daarom bewust om te experimenteren. Durf hier en daar ook protocollen en plannen los te laten, als je het gevoel hebt dat de situatie daarom vraagt. Dat gaan mensen in crisissituaties namelijk ook doen.”

3. Discussieer over wat acceptabel is

“De experimenten en het loslaten van de plannen leveren interessante discussies op. Vooral ook voor bestuurders. Bedenk welke mate van overtreding vinden we acceptabel? Hoeveel vrijheid kunnen en willen we onze medewerkers geven? Wat doen we als in de crisis normen en waarden in de knel komen die we belangrijk vinden? Overheden werken graag volgens plannen en protocollen. Daardoor kunnen ze goed bepaalde keuzes verantwoorden. Maar bij een crisis zullen diezelfde plannen en protocollen niet volstaan.”

4. Bestuurder, beperk je tot de bestuurlijke keuzes

“Houd je bij bestuurlijke keuzes: stel doelen, maar laat het hoe en de uitvoering aan anderen over. Een bepaalde mate van autonomie en vertrouwen in de mensen die het werk uitvoeren is ontzettend belangrijk. Een burgemeester kan bijvoorbeeld besluiten tot evacuatie bij een overstroming, maar moet zich niet bezighouden met de manier waarop die evacuatie uitgevoerd wordt. Dat is niet zijn taak.”

5. Bestuurder, zie een crisis als een symptoom

“Bestuurder, stel ook de vraag: wanneer is een crisis opgelost? Als een gebied overstroomt, kun je mensen redden, het gebied leegpompen en weer teruggaan naar het oude normaal. Bij de eerste de beste stortbui loopt het gebied echter weer onder water. Hetzelfde geldt voor een cybercrisis(oefening). Een cybercrisis moet je zien als een symptoom; een waarschuwing dat er wellicht iets structureel mis is in je organisatie, een zwakte in je systemen. Mensen hebben het gevoel dat ze opgelucht kunnen ademhalen als de crisissituatie voorbij is. Maar eigenlijk begint dan het échte werk.”

Masterclass ‘Menselijk aspect crisisbeheersing’ met Jori Kalkman

In tijden van crisis draait alles om snelle, effectieve besluitvorming. Vaak wordt het menselijke aspect over het hoofd gezien, terwijl de impact van een crisis groot kan zijn. Hoe beïnvloeden psychologische factoren als stress, groepsdenken en communicatie de besluitvorming tijdens een incident? En hoe kunnen organisaties optimaal omgaan met de mentale impact van een crisis zoals een cyberincident? Meld je aan voor live of online deelname aan de masterclass ‘Het menselijk aspect van crisisbeheersing’ op 4 december van 14.00 tot 16.00 uur in de Prodentfabriek te Amersfoort.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#crisismanagement #cyberincident #cyberoefening #nieuwsbrief202024

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

Art de Blaauw werkte ruim 25 jaar in het bedrijfsleven, voordat hij de overstap maakte naar de Rijksoverheid als directeur CIO Rijk bij het ministerie van BZK. Hij was onder andere lid van de algemene directie van Ilionx, directeur technologie & innovatie bij Equinix en strateeg bij Microsoft en VMware. Hij studeerde econometrie aan de Erasmus Universiteit. Tijdens zijn studie volgde hij uit interesse al het keuzevak computerbeveiliging aan de TU Delft.

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

De AIVD bracht het Quantum Migratie Handboek uit. Daarin vind je concrete stappen en adviezen om de dreiging van quantumcomputers voor cryptografie te beperken.

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Oefenen, oefenen, oefenen is het devies. Daarom organiseerde het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening. Je kunt deze oefening terugkijken en het materiaal gebruiken om zelf te oefenen.

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

Art de Blaauw werkte ruim 25 jaar in het bedrijfsleven, voordat hij de overstap maakte naar de Rijksoverheid als directeur CIO Rijk bij het ministerie van BZK. Hij was onder andere lid van de algemene directie van Ilionx, directeur technologie & innovatie bij Equinix en strateeg bij Microsoft en VMware. Hij studeerde econometrie aan de Erasmus Universiteit. Tijdens zijn studie volgde hij uit interesse al het keuzevak computerbeveiliging aan de TU Delft.

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

De AIVD bracht het Quantum Migratie Handboek uit. Daarin vind je concrete stappen en adviezen om de dreiging van quantumcomputers voor cryptografie te beperken.

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Oefenen, oefenen, oefenen is het devies. Daarom organiseerde het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening. Je kunt deze oefening terugkijken en het materiaal gebruiken om zelf te oefenen.

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

Art de Blaauw werkte ruim 25 jaar in het bedrijfsleven, voordat hij de overstap maakte naar de Rijksoverheid als directeur CIO Rijk bij het ministerie van BZK. Hij was onder andere lid van de algemene directie van Ilionx, directeur technologie & innovatie bij Equinix en strateeg bij Microsoft en VMware. Hij studeerde econometrie aan de Erasmus Universiteit. Tijdens zijn studie volgde hij uit interesse al het keuzevak computerbeveiliging aan de TU Delft.

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

De AIVD bracht het Quantum Migratie Handboek uit. Daarin vind je concrete stappen en adviezen om de dreiging van quantumcomputers voor cryptografie te beperken.

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Oefenen, oefenen, oefenen is het devies. Daarom organiseerde het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening. Je kunt deze oefening terugkijken en het materiaal gebruiken om zelf te oefenen.

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

Art de Blaauw werkte ruim 25 jaar in het bedrijfsleven, voordat hij de overstap maakte naar de Rijksoverheid als directeur CIO Rijk bij het ministerie van BZK. Hij was onder andere lid van de algemene directie van Ilionx, directeur technologie & innovatie bij Equinix en strateeg bij Microsoft en VMware. Hij studeerde econometrie aan de Erasmus Universiteit. Tijdens zijn studie volgde hij uit interesse al het keuzevak computerbeveiliging aan de TU Delft.

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

De AIVD bracht het Quantum Migratie Handboek uit. Daarin vind je concrete stappen en adviezen om de dreiging van quantumcomputers voor cryptografie te beperken.

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Oefenen, oefenen, oefenen is het devies. Daarom organiseerde het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening. Je kunt deze oefening terugkijken en het materiaal gebruiken om zelf te oefenen.

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

Art de Blaauw werkte ruim 25 jaar in het bedrijfsleven, voordat hij de overstap maakte naar de Rijksoverheid als directeur CIO Rijk bij het ministerie van BZK. Hij was onder andere lid van de algemene directie van Ilionx, directeur technologie & innovatie bij Equinix en strateeg bij Microsoft en VMware. Hij studeerde econometrie aan de Erasmus Universiteit. Tijdens zijn studie volgde hij uit interesse al het keuzevak computerbeveiliging aan de TU Delft.

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

De AIVD bracht het Quantum Migratie Handboek uit. Daarin vind je concrete stappen en adviezen om de dreiging van quantumcomputers voor cryptografie te beperken.

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Oefenen, oefenen, oefenen is het devies. Daarom organiseerde het ministerie van BZK op 4 november 2024 alweer de 6e Overheidsbrede Cyberoefening. Je kunt deze oefening terugkijken en het materiaal gebruiken om zelf te oefenen.

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

Cyberoefening, van elkaar leren en weerbaarheid verhogen

Op maandag 4 november 2024 vond de 6e Overheidsbrede Cyberoefening plaats. De fictieve gemeente Zilverstede kreeg te maken met een cyberaanval waarin deepfakes en desinformatie een hoofdrol speelden. Er ontstond veel onrust onder inwoners. De dienstverlening werd afgeschaald en de burgemeester kreeg te maken met dreigementen. 

Van elkaar leren

Honderden deelnemers oefenden online mee met het crisisteam in de studio. Daarnaast oefenden vele organisaties voorafgaand aan de Overheidsbrede Cyberoefening binnen hun eigen organisatie met hetzelfde scenario.

Staatssecretaris Digitalisering en Koninkrijksrelaties Zsolt Szabó opende de oefening. “Door deze oefening leren we niet alleen van elkaar, maar versterken we ook onze digitale weerbaarheid”, aldus de staatssecretaris. “Weerbaarheid is gewoon een heel belangrijk onderwerp geworden. Als je het vroeger had over digitalisering dan had je het vooral over besparen. Maar tegenwoordig moet er juist extra geïnvesteerd worden om alle threats het hoofd te kunnen bieden”, gaf Szabó aan. Hij kondigde ook aan dat er begin 2025 een Nederlandse Digitaliseringsstrategie wordt gepresenteerd waarin cyberveiligheid een belangrijk onderdeel vormt.

Feit of fictie

Na de opening ging het crisisteam in 3 rondes onder leiding van Marco Zannoni aan de slag. Allereerst moest men bepalen wat fictie is en wat feiten zijn. Want welke informatie is nu betrouwbaar? En wanneer is er sprake van fake news? Het crisisteam ging aan de slag volgens het BOB-model (Beeld, Oordeel, Besluit). Wat weten we, hoe oordelen we daar over en welke prioriteiten en acties volgen daaruit? Kunnen we de dienstverlening continueren en op welke manier communiceren we met de inwoners? Uiteindelijk bleek dat de gemeente te maken had met een aantal vloggers die het gemeentehuis zijn binnengedrongen om daar chaos te creëren.

In de oefening kwamen diverse oplossingen naar voren. Gelukkig hebben bestuurders niet wekelijks met een crisis te maken. Maar het kan iedere overheidsdienst overkomen. Daarom is oefenen zo belangrijk.

Terugkijken oefening en webinars

Kon je niet aanwezig zijn bij de Overheidsbrede Cyberoefening? Kijk deze dan terug via de website van het Overheidsbreed Cyberprogramma (eerst inloggen). Ook de webinars die werden uitgezonden in oktober zijn terug te kijken. In november en december vinden er nog een aantal webinars en een masterclass plaats. Daarnaast kun je het scenario downloaden, inclusief de video’s en rolinformatie (injects). Zo kunnen organisaties op een zelf gekozen moment de oefening (nog eens) uitvoeren.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Cybercrisis #cyberincident #cyberoefening #nieuwsbrief192024

“Grote impact op mensen die crisissen moeten oplossen”

Crisiswetenschapper Jori Kalkman (Nederlandse Defensie Academie) analyseerde honderden crisisaanpakken om te zien hoe operationele crisisteams met dilemma’s omgingen. Hoewel hij zich niet specifiek richt op cyber, zijn er veel paralellen met de crisissen waar Defensie en hulpdiensten mee te maken krijgen. “Door tegenstijdige adviezen krijgen professionals steeds met dilemma’s te maken tijdens crisissituaties.”

Karakteristieken

“Of het nou een grootschalig ongeval is op de snelweg, een oorlogssituatie of een cybercrisis: een paar karakteristieken komen steeds weer terug”, vertelt Kalkman. “Allereerst is er enorm veel onzekerheid: de situatie is onvoorspelbaar; je weet niet precies wat er aan de hand is en hoe het straks eruit gaat zien. De urgentie is hoog; wanneer je niet snel genoeg handelt, escaleert de situatie of raakt het buiten je controle. Dat brengt stress met zich mee. Voor alle crisissituaties geldt: je hebt heel weinig of beperkte informatie, moet heel snel lastige keuzes maken en de bestaande plannen, routines en protocollen voldoen niet of niet helemaal.”

Opvallend

Tijdens zijn onderzoek naar crisissen vielen een aantal zaken hem op. “Allereerst dat de kennis en aanpak van crisissen in kolommen zijn opgedeeld. Het zijn gescheiden paden: er is onderzoek dat specifiek gaat over de krijgsmacht, over hulpdiensten of over humanitaire hulpverlening en nu dus ook over cybercrisissituaties. Die verschillende kolommen praten bijna niet met elkaar. Ook de verschillende crisisprofessionals niet, terwijl ze wel vergelijkbare ervaringen hebben. Dat vind ik een gemiste kans, ze kunnen veel van elkaar leren.”

“De verschillende crisisprofessionals praten niet met elkaar. Dat vind ik een gemiste kans, ze kunnen veel van elkaar leren.”Jori Kalkman

Tegenstrijdige adviezen

Ook de tegenstrijdigheid van adviezen viel hem op. “Sommige experts adviseren bijvoorbeeld stellig: je moet de aanpak top-down organiseren, een sterke leider met het overzicht en die instructies geeft. Een andere stroming adviseert het tegenoverstelde: ‘Geef veel invloed aan de mensen in de operatie, zodat zij flexibel kunnen reageren’. Ook rondom de waarde van plannen lopen de adviezen uiteen. ‘Leg van tevoren in een plan vast wat iedereen gaat doen in een crisis’, is een opvatting. Anderen zeggen weer: ‘Maak summiere plannen en bouw veel ruimte voor improvisatie en flexibiliteit in’. Die tegenstijdige adviezen zorgen er in de praktijk voor dat crisisprofessionals steeds met dilemma’s te maken krijgen tijdens crisissituaties.”

Het 3e punt wat hem opviel is dat veel onderzoek zich richt op crisismanagement, maar nog weinig op de mensen die het werk uitvoeren. “Het is natuurlijk aantrekkelijk om een soort technische focus te hebben: hoe lossen we crisissituaties goed op? Maar we weten dat crisissen grote impact hebben op de mensen die ze moeten oplossen.”

Beslissingen bij de uitvoering leggen

Organisaties hebben voorkeuren in hoe ze opereren in crisissen. “Publieke organisaties en zeker Defensie houden van een zekere mate van bureaucratie en hiërarchie. Dat heeft voordelen voor de verantwoording achteraf, om verantwoordelijkheid te nemen en het gevoel van overzicht te houden. Tegelijkertijd weten we dat dat niet goed werkt in complexe crisissen. Als je strikt aan het top-down-model blijft vasthouden, kan dat de effectiviteit van de aanpak in de weg staan.” Vaak werkt het beter om meer beslissingen bij de operatie te leggen, stelt hij.

“Als je strikt aan het top-down-model blijft vasthouden, kan dat de effectiviteit van de aanpak in de weg staan.”

De meerwaarde van plannen

In hoeverre is de aanpak van crisissen te plannen? ”Sommige organisaties hebben crisisplannen van 300 pagina’s, met een aanpak voor elk mogelijk scenario. Is er eenmaal een crisis dan staat dat scenario er vaak niet in of heeft niemand die plannen ooit gelezen.” Plannen hebben zeker waarde, ziet Kalkman. “Het brengt mensen bij elkaar en ze dwingen na te denken over wat er moet gebeuren als het misgaat.” Belangrijk is voldoende ruimte voor flexibiliteit en improvisatie in te bouwen. Plannen zijn volgens Kalkman vooral nuttig wanneer ze als basis dienen voor training en oefening. “Mensen lezen meestal geen plannen, maar ze kunnen wel oefenen met protocollen of werkwijzen. Mijn visie op plannen is: het schrijven is 1 stap, de volgende stap is ze door te vertalen naar wat het betekent voor de mensen die ze moeten uitvoeren. Daar zit de grootste meerwaarde.”

(On)mogelijkheid van samenwerking

Bij cyberaanpakken ligt vaak sterk de nadruk op samenwerking: meestal op informatiedeling tussen organisaties en afstemming van de acties. “Als wetenschapper vind ik dat interessant: als we hier allemaal vóór zijn, waarom lukt het dan vaak niet?” Organisaties hebben natuurlijk redenen om samenwerking te vermijden, ook in crisissituaties. “Samenwerking betekent afhankelijkheid van anderen: heb je de wil en durf om op ze te rekenen? Daarnaast willen velen coördineren, maar weinigen willen gecoördineerd worden.”

Vertrouwen creëren

Om de samenwerking te verbeteren, worden meestal informatie- of communicatiesystemen opgetuigd. Kalkman zet vraagtekens bij de effectiviteit daarvan: “Een technologische oplossing voor een sociaal probleem werkt zelden goed. Het is zinvoller te kijken naar waarom mensen samenwerking vermijden; de barrières die ze ervaren.” Verbeteren van samenwerking vraagt doorgaans om een combinatie van formele afspraken en het creëren van (meer) wederzijds vertrouwen. “Vertrouwen creëer je door elkaar beter te kennen.” Daarom is het aan te bevelen medewerkers tijdens crisis uit te wisselen, of om tijdens een crisis bij elkaar in dezelfde ruimte te zitten. “Zo kun je elkaar ook informeel zien, al is het 5 minuten bij het koffiezetapparaat. Bij grote langdurige crisissen – zoals Covid – kun je tijdelijk een nieuwe crisisorganisatie opzetten met mensen van verschillende organisaties. Zo voelen ze zich onderdeel van een collectief, met een gedeelde identiteit, visie en gevoel van verantwoordelijkheid.”

Weerbaarheid en veerkracht

De focus van de crisisaanpakken verschuift, ziet Kalkman. “Het gaat steeds meer over resilience, binnen organisaties, maar ook in de maatschappij. Dat is een lastige term, want het betekent in het Nederlands zowel veerkracht als weerbaarheid; 2 verschillende zaken. Bij cyberbedreigingen gaat het vaak over veerkracht. Stel, we krijgen te maken met een cyberaanval vanuit een andere staat, hebben we dan voldoende systemen om terug te vallen? Anders gezegd: als er een disruptie is, kunnen we dan snel weer terug naar het oude normaal? Die mate van veerkracht: hoe organiseer je dat dan op een zo effectief mogelijke manier?”

Samenredzaam

Weerbaarheid komt erop neer dat mensen meer zelfredzaam of samenredzaam zijn in een crisissituatie. “We doen zoveel mogelijk om onze vitale infrastructuren veilig te houden. Maar het kan gebeuren dat we een keer geen energie, internet, water of telecom hebben. Als je wil dat mensen weerbaarder worden, zouden ze actief deel moeten nemen aan een oefening. Dat je bij wijze van tegen een school zegt: nu heb je een hele ochtend geen elektriciteit, wat doe je dan? Dat ze ervaren wat het betekent wanneer ze geen toegang te hebben tot internet, elektriciteit of DigiD. Dat soort oefeningen dragen bij aan bewustzijn en mensen gaan zich meer verantwoordelijk voelen voor hun eigen rol.” Dat gebeurt nog te weinig, ziet hij.

Overheidsbrede Cyberoefening 2025

Oefenen, oefenen, oefenen is het devies. De Overheidsbrede Cyberoefening vindt dit jaar plaats op maandag 3 november 2025 in Amersfoort. Noteer deze datum alvast in je agenda! Ook kan je in oktober en november weer deelnemen aan de webinars en Masterclass. Je kunt je gegevens alvast registreren via de website

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Cybercrisis #cyberincident #cyberoefening #nieuwsbrief182024

Voorbereiden op digitale dreigingen met de Cyberoefening

Chantal Bennink (BZK) en Bill Kuipers (ICTU) staan aan het roer van de 6de Overheidsbrede Cyberoefening. Ze vertellen waarom oefenen cruciaal is, hoe het oefenscenario tot stand komt en wat de deelnemers dit jaar kunnen verwachten.

Met de groeiende dreiging van cyberaanvallen zoals ransomware en phishing is digitale weerbaarheid belangrijker dan ooit. De Overheidsbrede Cyberoefening, geïnitieerd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), biedt overheidsorganisaties de kans om hun reactie op een cyberaanval te ontdekken. Chantal Bennink, beleidsmedewerker informatieveiligheid bij BZK, benadrukt het belang: “Zo’n wereldwijde CrowdStrike computerstoring toont het belang van oefenen en goede voorbereiding weer aan. Door regelmatig te oefenen breng je als organisatie onder andere de risico’s in kaart. Je krijgt inzicht in de verschillende taken en verantwoordelijkheden van de medewerkers en het wordt duidelijk hoe lijnen binnen de organisatie functioneren. Dit draagt bij aan de effectiviteit van crisisbeheersing en het verhogen van de digitale weerbaarheid. Daarnaast is het vanwege de grens overstijgende effecten en onderlinge afhankelijkheden belangrijk om zowel de interne en externe samenwerking te versterken. Een cyberincident kan snel uitgroeien tot een cybercrisis met organisatie overstijgende gevolgen.”

“De oefening draagt bij aan de effectiviteit van crisisbeheersing en het verhogen van de digitale weerbaarheid.”Chantal Bennink – Beleidsmedewerker informatieveiligheid

Realistisch oefenscenario

ICTU is verantwoordelijk voor de organisatorische uitvoering van de Overheidsbrede Cyberoefening. Projectleider Bill Kuipers begint al in februari met verschillende stakeholders met het bedenken van een realistisch oefenscenario: “KPMG maakt een analyse van dreigingen om te zorgen dat het scenario actueel en relevant is. Eerder stond een ransomware-aanval centraal; dit jaar zijn AI en deepfakes relevant en spelen een rol. Ook besteden we meer aandacht aan de psychologische factor in crisisbeheersing. Zodra het scenario is geschetst, toetsen we het uitvoerig bij stakeholders zoals VNG, het CIP, provincies en veiligheidsregio’s om te zorgen dat de oefening relevant en uitvoerbaar is. Met de speciale toolkit kunnen deelnemers vervolgens hun eigen crisisoefening opzetten. Vorig jaar deden ruim 130 organisaties mee.”

“Samen met verschillende stakeholders, ontwikkelen we een realistisch oefenscenario”Bill Kuipers – Programmamanager Overheidsbrede Cyberoefening

Kies je eigen oefenmoment

Met wat aanpassingen hopen de organisatoren dat de oefening nog meer leermomenten bevat. Bennink licht een verandering toe: “In plaats van simultaan oefenen, moedigen we organisaties aan om de week voorafgaand aan de centrale oefening zelf aan de slag te gaan. Dit geeft deelnemers de flexibiliteit om een geschikt oefenmoment te kiezen. Tijdens het live moment op 4 november kunnen ze vervolgens in de studio zien hoe experts de crisis aanpakken. We hopen zo meer betrokkenheid en flexibiliteit te bieden.”

Meer dan de cyberoefening alleen

Naast de Overheidsbrede Cyberoefening worden ook diverse cyberwebinars en een masterclass georganiseerd. Kuipers legt uit: “De masterclass en webinars zijn een belangrijk onderdeel van het Overheidsbreed Cyberprogramma. Met verschillende partners zoals het CIP,  Logius, UWV en de AIVD komen onderwerpen aan bod zoals NIS2. Zo wordt er veel kennis gedeeld. Op de website weerbaredigitaleoverheid.nl staat het hele programma en zijn ook de webinars en de oefening van voorgaande jaren terug te kijken. Dit geeft organisaties die nog niet hebben meegedaan een goed beeld van wat ze kunnen verwachten.”

Groter bewustzijn

Voor de toekomst hopen de organisatoren op een bredere deelname. Bennink: “We willen blijven groeien en uitbreiden en streven ernaar om steeds meer bewustzijn te creëren. Mijn wens is om organisaties uit Caribisch Nederland te laten aansluiten. We zien veel terugkerende deelnemers die aangeven dat oefenen helpt bij gesprekken met het bestuur en het bewustzijn binnen de organisatie vergroot. Hierdoor worden plannen daadwerkelijk aangepast en verbeteringen doorgevoerd. Dan is ons doel bereikt.”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#cyberincident #cyberoefening #cybersecurity #nieuwsbrief132024

Basisboek effectief herstellen van cyberincident

Het Nationaal Cyber Security Center (NCSC) heeft het basisboek Herstel van een cyberincident online gezet. In het document licht het NCSC toe wat het belang van herstel is, hoe je dat inricht en welke maatregelen je kunt nemen om effectief te herstellen van cyberincidenten.

4 stappen

Het vermogen te herstellen van cyberincidenten is een voorwaarde om digitaal weerbaar te zijn. Maar herstel omvat meer dan back-ups. Weten wat je moet beschermen, welke middelen je daarvoor nodig hebt en hoe je je herstel uitvoert en oefent is noodzakelijk. Daarom is het goed om je voor te bereiden in 4 stappen.

Stap 1: Weet wat je moet beschermen

Het is onmogelijk om je organisatie volledig te beschermen tegen elke vorm van uitval of dreiging. Het is daarom verstandig potentiële dreigingen en de effecten daarvan op je organisatie vroegtijdig te identificeren. Maak een bedrijfsimpactanalyse (BIA).

Stap 2: Ontwikkel een herstelplan

Met de inzichten uit de BIA heb je de tools in handen om te bouwen aan het herstelplan. Een herstelplan is een document waar richtlijnen in staan die beschrijven hoe je na een cyberincident snel weer de werkzaamheden kunt hervatten. Het herstelplan is als het ware het draaiboek dat tijdens een cyberincident gebruikt wordt om effectief en snel te kunnen herstellen. Er staan onder andere rollen en verantwoordelijkheden, scenario’s en een back-up strategie in beschreven.

Stap 3: Oefen, test en train het herstel

Wanneer je alles op papier hebt gezet is het van belang om de plannen te oefenen en testen. Oefenen zorgt ervoor dat de mensen die het herstel uitvoeren ook leren hoe zij als team effectief kunnen optreden. Oefenen kan in diverse vormen. Denk aan een tabletop oefening, oefening met live herstel of meedoen aan de Overheidsbrede Cyberoefening.

Stap 4: Leer van het incident

Cyberincidenten zijn leerzaam. Als het puin is geruimd, het incident verholpen is en de bedrijfsprocessen weer door kunnen, is het tijd om na te gaan welke lessen daaruit getrokken kunnen worden.

Het gehele basisboek Herstel van een cyberincident is te raadplegen via de website van het NCSC.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#cybercriminaliteit #Cybercrisis #cyberoefening #cybersecurity #nieuwsbrief92024

“Cybergame vaak eyeopener voor bestuurder”

CISO Esther Zijlstra (gemeente Nijmegen) over cybergames bij gemeenten

Gemeenten oefenen steeds vaker met cyberincidenten. VNG Connect ontwikkelde een game voor bestuurders en biedt een train-de-trainer opleiding aan. Esther Zijlstra (CISO gemeente Nijmegen) begeleidde verschillende games in verschillende gemeenten – waaronder haar eigen Nijmegen. Wat zijn haar ervaringen? Wat leert ze er zelf van? En wat zijn haar tips?

Hoe helpt een game om te gaan met cyberincidenten?

“Het is een leuke manier om met cybersecurity aan de slag te gaan. Het gaat om het ervaren van een crisis. Op papier kun je een mooi proces hebben in de verwachting dat het werkt. Maar in de praktijk blijkt dat je lang niet alles weet en keuzes moet maken op basis van onvolledige informatie. De eerste vraag is vaak: ‘Zijn we gehacked?’ Dat weet je vaak helemaal niet, en toch gebeuren er rare dingen… Daar leren mensen veel van.”

Wat is jouw rol als spelleider?

“Ik begeleid het spel zodat alles goed loopt. Zodat deelnemers keuzes kunnen maken en actie ondernemen. Ik zorg dat mensen niet te veel door elkaar heen gaan praten en dat duidelijk wordt wat ze wel en niet willen doen. Ik bewaak dat maar één actie tegelijkertijd gedaan wordt. In de praktijk kan ook niet alles tegelijkertijd, in het spel dus ook niet. Natuurlijk maak ik er ook een mooi verhaal van.”

Je volgde een train-de-trainer-opleiding van een halve dag bij VNG Connect. Wat hield die in?

“Je speelt het spel eerst zelf. Daarna krijg je informatie over de bedoeling en de context van zo’n oefening. Je krijgt het draaiboek met het scenario en mogelijke keuzes. Ook leer je welke impact bepaalde keuzes in het spel hebben.”

Wat levert het begeleiden van een game jou als begeleider op?

”Ik vind het heel interessant om de discussies te volgen. Om te zien hoe de mensen met elkaar overleggen. Hoe dat verschilt tussen organisaties. Het is leerzaam om te horen hoe andere gemeenten dit soort problemen oplossen. En wat hun ervaringen zijn. Doordat ik de game geef bij meerdere gemeentes, breid ik ook nog eens mijn netwerk uit.”

Helpt zo’n game om informatieveiligheid op de bestuurlijke agenda te krijgen?

“Als mensen de game gespeeld hebben, is het vaak een eyeopener. Maar in hoeverre het beklijft, hangt samen met de affiniteit die bestuurders hebben. Het kan een zetje zijn om de deur iets verder open te krijgen naar de tafels waar de besluiten worden genomen.”

Heb je tips voor collega’s die ook een game willen verzorgen?

“Zorg dat een game een context heeft; dat het niet zomaar uit de lucht komt vallen en daarna verdwijnt. Plan de game bijvoorbeeld tijdens een campagne, zoals Alert Online. En dat je ook een concreet onderwerp of maatregel hebt, dat je daarna kunt inbrengen, bijvoorbeeld het wachtwoordenbeleid. Refereer dan steeds naar de ervaringen tijdens de game. Dan blijft het op het netvlies.”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#bewustwording #cyberincident #cyberoefening #informatieveiligheid #nieuwsbrief162020 #oefenen