‘Eén gezamenlijk front tegen een zeer professionele vijand’ 

Het ministerie van Justitie en Veiligheid (JenV) is een aanlokkelijk doelwit voor cybercriminelen en statelijke actoren. Het ministerie beschikt immers over veel gegevens van burgers en bedrijven. Die moeten erop kunnen vertrouwen dat de informatie zo maximaal mogelijk wordt beveiligd. Ondertussen nemen cyberdreigingen niet alleen toe, maar veranderen ze bovendien in razend tempo.

Sylvia Cammeraat, hoofd Concern-Control Informatievoorziening en Cybersecurity bij het ministerie, zegt: “Onze toenemende afhankelijkheid van digitale processen maakt dat misbruik of uitval van digitale processen grote schade kan veroorzaken voor burgers, bedrijven, organisaties en de overheid zelf. Behalve financiële schade, schending van de privacy en de continuïteit van diensten kan dit het vertrouwen in de overheid schaden. Cybercriminaliteit is glasharde georganiseerde misdaad geworden die kan worden uitbesteed en ingekocht. Het is pure business. Dat maakt cybersecurity een essentiële randvoorwaarde voor digitaliserende organisaties.”

Een aantal jaar geleden is gestart met een compliance-gericht plan van aanpak om de informatiebeveiliging op een hoger volwassenheidsniveau te krijgen. Dat is gelukt, maar wel met een nadrukkelijke kanttekening: voor de operationele veiligheid maakte het niet voldoende verschil. Zoveel werd wel duidelijk toen het ministerie een red teaming-test liet uitvoeren, een complete doorlichting door ethische hackers.

Naar aanleiding van het red teaming-onderzoek heeft het departement een volgende stap gezet en een nieuwe visie en strategie op cybersecurity ontwikkeld, gericht op de operationele veiligheid. Cammeraat: “Het is niet de vraag óf er een cyberaanval komt, maar wanneer. Als een kwaadwillende wil, komt men binnen, zo simpel is het. Dat is niet tegen te houden met alleen defensieve maatregelen.” De kern van de visie is dan ook dat JenV integraal zicht wil hebben op het dreigingslandschap, risico’s tot een aanvaardbaar niveau wil reduceren en klaar wil zijn voor aanvallen. Daarvoor wil het departement de detectie en respons op orde hebben, in staat zijn om de schade te beperken en zich zo snel mogelijk te herstellen van een aanval.

Drie pijlers

Om de visie te realiseren is het ambitieuze Plan van Aanpak Informatiebeveiliging 2.0 vastgesteld. Alle organisatieonderdelen van JenV zijn betrokken bij het programma, dat loopt sinds 1 januari 2021. “Binnen JenV waren we gewend dat iedere organisatie voor zich zorgt dat de informatie beveiligd is en dat de cybersecurity op orde is”, zegt Cammeraat, de programmadirecteur. “Maar je bent zo kwetsbaar als die ene organisatie die niet veilig genoeg is; ook vanwege de onderlinge trustrelaties. Daarom blijven de organisaties wel zelf verantwoordelijk, maar is een integrale centrale aanpak noodzakelijk. Zeker gezien de onderlinge afhankelijkheden kunnen organisaties het niet alleen aan.”

Het Plan van Aanpak steunt op drie pijlers: de operationele veiligheid voor generieke ICT-diensten voor JenV-organisaties; bewust bekwaam gedrag bij JenV-medewerkers bevorderen en tot slot de inrichting van een duurzame IB-organisatie. Onder de eerste pijler vallen zaken als de centrale detectie- en respons­capaciteit, Logische Toegangs­beveiliging (LTB), het borgen van continuïteitsbeheer en het onder controle krijgen van IT-beheersrechten. Binnen de pijler ‘bewust bekwaam gedrag bij JenV-medewerkers bevorderen’ valt het doorlopende Programma Weerbaar JenV en het voorkomen van datalekken door betere gegevensclassificatie en Data Leakage Prevention. De duurzame IB-organisatie gaat over de uitrol van GRC-processen en -tooling (governance, risk and compliance, zie ook pagina 62); risicomanagement; incidentmanagement (waarvoor sinds kort een Computer Security Incident Response Team (CSIRT) is ingericht), en het verankeren van informatiebeveiliging in contracten met leveranciers. Daarnaast wordt binnen deze pijler ingezet op een Center of Expertise dat doorlopend red teaming-testen, Compromise Assessments en cyberoefeningen aanbiedt aan de JenV-organisaties.

Weerbaarheid door samenwerking

Doel van het meerjarige programma is te zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de informatie van JenV is gewaarborgd. Dat de Bestuursraad van JenV, het hoogste besluitvormingsgremium, hiervoor intensieve aandacht heeft en de benodigde middelen voor het ambitieuze programma beschikbaar stelde, vervult Cammeraat met trots. “Ik denk dat we met red teaming duidelijk hebben gemaakt hoeveel werk er nog op ons wacht. Cybersecurity is een vast agendapunt in de eigenaarsgesprekken geworden en komt regelmatig terug in de Bestuursraad. Het is hiermee echt chefsache geworden.”

De visie en aanpak gaat uit van één cybersecurity-ecosysteem. Binnen dat ecosysteem werken het bestuursdepartement en de uitvoeringsorganisaties intens samen door de samenwerkingsverbanden tussen de decentrale security-teams en het centrale Security Operations Centre (SOC) van JenV. Een eerste stap in de goede richting is dat het SOC uitbreidt naar een 24/7-dienstverlening. Maar hoe kom je daarnaast van ieder voor zich tot één ecosysteem? Centrale financiering helpt enorm, is de ervaring van Cammeraat. Het programma schaft de tooling centraal aan, levert diensten op het vlak van security operations en ondersteunt de organisaties met middelen om de doelstellingen vanuit het programma te realiseren. Groot voordeel is dat deze aanpak leidt tot een JenV-breed beeld van wat er speelt. Dit inzicht wordt gebruikt om aanvullend beleid te ontwikkelen. “Dat lukt alleen als alle organisaties dezelfde technologie gebruiken en op elkaar aansluitende processen en procedures volgen”, zegt Cammeraat. “Dat klinkt logisch, maar het vergt wel een cultuuromslag en samenwerking tussen centraal en decentraal.”

Centrale security-dienstverlening leidt ertoe dat er meer transparantie ontstaat over de veiligheid binnen de verschillende organisaties die onder JenV vallen. Belangrijk is dat het cybersecurity-ecosyteem zich ontwikkelt naar een samenhangende en daadkrachtige veiligheidscultuur, benadrukt Cammeraat. Ze zegt: “Wij hebben veel zelfstandige bestuurs­organisaties, die op meer afstand staan van de minister en normaal gesproken minder hoeven te rapporteren. Zij willen zelf graag meedoen, omdat ze de doelstellingen van het programma onderschrijven en ook deel uitmaken van een keten. Organisaties komen naar ons toe met het verzoek om de monitoringstool te mogen inzetten, aan te sluiten op de GRC-dienstverlening of red teaming op te starten met de programma-organisatie. Ik vind het een teken van volwassenheid dat je je kwetsbaar durft op te stellen door je te laten toetsen. We werken toe naar één gezamenlijk front tegen een zeer professionele vijand.”

Delen met andere ministeries

Transparantie ontstaat ook door intervisies die eens in de zes weken plaatsvinden. De organisaties worden uitgenodigd om hun successen te delen, maar vooral ook om te delen waar ze tegenaan zijn gelopen. “Dat is nieuw. We zien dat men dat in toenemende mate aandurft.” Vaak spreken organisaties af om na afloop van een sessie nog even door te praten, vertelt Cammeraat opgetogen. “Dat is wat je wilt! Je hoeft niet allemaal het wiel zelf uit te vinden. Zeker op het terrein van cyber­veiligheid zijn de arbeidsmarkt en de kennis schaars; ook daarin kun je delen. Vanuit het programma is er een pool van experts beschikbaar die door de uitvoeringsorganisaties aangevraagd kunnen worden om te helpen.”

Het delen van kennis en ervaringen beperkt zich niet tot het ministerie alleen. “Met het programma Weerbaarheid en met de GRC-tooling stellen we de kennis aan andere ministeries beschikbaar, met de boodschap dat ze het kunnen benutten als ze dat willen.” Dit geldt overigens ook voor de andere projecten uit het programma. Cammeraat vindt het belangrijk om te voorkomen dat men zich te veel op het papier stort. “Strategie is nu eenmaal sexyer dan de operationele veiligheid. Maar je kunt al het beleid in huis hebben en voldoen aan alle kaders, uiteindelijk is dat toch onvoldoende. Woorden blijven woorden; daarmee word je niet veiliger. Weet waar je echt kwetsbaar bent.”