Programmalijn Bedrijfsvoering

Informatie Knooppunt Cyber Security

Nienke van den Berg is extern projectleider voor het project ‘Informatie Knooppunt Cyber Security van de Interprovinciale Digitale Agenda. “Het doel is om de provincies als bestuurslaag zo goed mogelijk te wapenen tegen cyberaanvallen en cybercriminaliteit. Dat geef ik samen met de security officers van de provincies vorm.”

Beeld iBestuur, ANP

“Mijn opdracht is - eenvoudig gezegd - na te gaan op welke manier de gezamenlijke provincies en BIJ12 (uitvoeringsorganisatie provincies) kunnen aansluiten op bestaande structuren van beveiliging om beter voorbereid zijn op dreigingen”, zet Van den Berg uiteen. “Daarbij hoort een gecoördineerde aanpak ingeval van incidenten en preventie. Tegelijkertijd willen we voldoen aan de Europese richtlijn NIS-2 voor bescherming van vitale infrastructuur. De provincies die voorzieningen hebben voor verkeer en waterbeheer krijgen daarmee mogelijk van doen.”


In de Interprovinciale Digitale Agenda is opgenomen dat er een businesscase moet worden opgesteld met de scenario’s voor de provincies en BIJ12 om aan te sluiten op het bestaande Landelijk Dekkend Stelsel (LDS).

Praktisch gezien is het belangrijkste doel het verkrijgen van toegang tot actuele dreigingsinformatie vanuit het Nationaal Cyber Security Centre (NCSC) van het ministerie van Justitie en Veiligheid. Op dit moment hebben provincies nog geen directe toegang tot deze informatie, vanwege het ontbreken van een schakelorganisatie.


Van den Berg: “Daarom werk ik nauw samen met de security officers van de twaalf provincies en BIJ12 om het dienstenpakket en de vormen van samenwerking en het organiseren van de diensten te verkennen. Het resultaat kan zijn het oprichten van een nieuwe, eigen organisatie specifiek voor deze bestuurslaag, maar ook het andere uiterste is mogelijk: extern bij een bestaande organisatie of een marktpartij beleggen. Een hybride model is ook mogelijk.”

Gecoördineerde aanpak ingeval van incidenten en preventie

Nienke van den Berg

IP-ISAC

Voorbeelden van dergelijke sectorale organisaties zijn de Informatiebeveiligingsdienst (IBD) van gemeenten, Z-CERT voor de zorgsector, CERT-WM voor de waterschappen en SURF-CERT voor het onderwijs. Zij sluiten hiermee aan op het Landelijk Dekkend Stelsel, een structuur voor nationale samenwerking tussen de publieke en private partijen, met als doel digitale ontwrichting te voorkomen en Nederland beter bestand te maken tegen cyberaanvallen. Wel is er al een Interprovinciaal-Information Sharing and Analysis Centre (IP-ISAC) ingesteld om vertrouwelijke uitwisseling van informatie te vergemakkelijken en te formaliseren. Een ISAC is een overlegvorm over cybersecurity waarin organisaties uit dezelfde sector gevoelige en vertrouwelijke informatie uitwisselen over incidenten, dreigingen, kwetsbaarheden en maatregelen.


Van den Berg: “Denk bijvoorbeeld aan aanvallen met ransomware en hun verwoestende uitwerking zoals de aanval op de Universiteit van Maastricht of VDL. Of recent, de drie jeugdige hackers - van wie er een nota bene werkzaam was als ethische hacker - die duizenden bedrijven, waaronder Ticketcounter, chanteerden voor bedragen tussen de 100.000 en 700.000 euro.”

Bord bij de ingang van de universiteits­bibliotheek geeft uitleg over de cyberaanval op het computersysteem van de Universiteit van Maastricht.

Geen centrale verantwoordelijkheden

Inmiddels is de basis van een goed samenhangend dienstenpakket op papier gezet met alle provincies samen. Van den Berg: “Het belangrijkste in de aanpak is – naast het ontwikkelen van de scenario’s - het creëren van draagvlak. Het is cruciaal dat de business case de steun heeft van alle betrokkenen.”


Het Informatie Knooppunt Cyber Security krijgt een adviserende en coördinerende taak in de operationele informatie­beveiliging van de provincies, maar zal geen bevoegdheid hebben tot disciplinaire of repressieve maatregelen als een provincie qua beveiliging een scheve schaats rijdt. Immers, het Knooppunt neemt geen centrale verantwoordelijkheden over, die blijven bij de afzonderlijke provincies en BIJ12. Die blijven ook soeverein in hun beleid. Is dat verstandig? Van den Berg: “Dat is het bestuurlijke en democratische uitgangspunt. Je ziet wel, net als bij andere projecten van het IPO, zeker binnen IDA, dat provincies meer op één lijn komen en van elkaar leren.”

Deel dit artikel: