Weerbare medewerkers vormen de sterkste schakel
Met het doorlopende programma Weerbaar JenV wil het ministerie van Justitie en Veiligheid haar medewerkers handelingsperspectief bieden. Met een cursus, een weerbaarheidsmeting en phishingcampagnes worden de medewerkers opgeleid om onveilige situaties snel te herkennen en te melden.
Door Marjolein van Trigt
Beeld iBestuur, Jiri Büller/De Beeldredaktie
Qwerty123456, Wachtwoord, Welkom01! Zomer2021. Staat uw wachtwoord ertussen? Het kan zomaar, want uit onderzoek blijkt dat een groot deel van alle beveiligingsincidenten te wijten is aan de menselijke factor en door gebruik van zwakke of gestolen wachtwoorden. Het cliché luidt niet voor niets dat de mens de zwakste schakel is in cyberveiligheid. Bij het ministerie van Justitie en Veiligheid willen ze van de medewerker juist de sterkste schakel maken. Medewerkers van JenV werken met gevoelige informatie en zijn bij uitstek degenen die verdachte zaken kunnen opmerken en melden. Maar dan moeten ze wel goed getraind zijn, weten waarop ze moeten letten én waar ze kunnen melden.
“Ons ideaal is een eigen noodnummer voor onveilige situaties, zoals 112 maar dan voor ICT”, zegt Frances van Luxemburg, coördinator van het programma Weerbaar JenV. “Zolang we nog geen hotline hebben, proberen we te zorgen dat alle medewerkers precies weten waar ze terecht kunnen: voor privacy-incidenten bij de privacy officers, voor informatieveiligheidsincidenten bij de chief information security officers (CISO) en voor fysieke dreiging bij de beveiliging en de receptie. Daarnaast is er een integriteitsofficer voor ethische aspecten.”
Frances van Luxemburg
Op cursus
Het doorlopende programma Weerbaar JenV is gestart in 2018, omdat het ministerie haar medewerkers in staat wilde stellen om op een veilige en verantwoorde manier om te gaan met gegevens en voorzieningen. De strategie is gericht op het bevorderen van het risicobewust handelen van medewerkers, het optimaal faciliteren door de organisatie en het monitoren van de weerbaarheid. Daarvoor zijn drie instrumenten beschikbaar. Zo is er een online cursus ontwikkeld met verschillende modules, waarvan de eerste twee modules verplicht gesteld zijn in het personeelsreglement. Iedereen die in dienst komt volgt de introductiecursus. De tweede module in de basiscursus wordt jaarlijks aangepast aan de actualiteit en aan actuele risico’s en moet dan ook jaarlijks opnieuw worden doorlopen.
Naast de verplichte basiscursus zijn er modules beschikbaar voor diverse doelgroepen, waaronder leidinggevenden en medewerkers met specifieke werkzaamheden, zoals systeembeheerders. Iedere cursus is aangepast aan het type organisatie, want een uitvoeringsorganisatie als Dienst Justitiële Inrichtingen heeft met andere zaken te maken dan het bestuursdepartement.
Een eigen noodnummer, zoals 112 maar dan voor ICT
Van Luxemburg bespreekt regelmatig de resultaten met de organisaties. “Over het algemeen zijn de uitvoeringsorganisaties heel blij dat wij hierin faciliteren. De verplichtstelling in het personeelsreglement is een mooie stok achter de deur. Zelf zijn de organisaties verantwoordelijk voor de inbedding in de organisatie.”
Het aantal meldingen van veiligheidsincidenten is aanzienlijk gestegen sinds de medewerkers de cursus volgen. Het succes van de aanpak komt volgens Van Luxemburg doordat ze een handelingsperspectief krijgen aangereikt. Dit is één van de belangrijkste speerpunten binnen het programma. Ook essentieel voor het succes is de verplichtstelling, die zorgt voor commitment.
Weerbaarheidsmeting en phishingmails
In de jaarlijkse weerbaarheidsmeting monitort het programma hoe het staat met de kennis van medewerkers en hoe veilig werken met informatie bij JenV wordt ervaren. Medewerkers geven aan of ze het eens of oneens zijn met stellingen als ‘ik schrijf weleens wachtwoorden op’. Leidt dat niet tot sociaal wenselijke antwoorden? “Dat proberen we te ondervangen doordat het anoniem is en doordat iedereen dezelfde meting ontvangt. De methodiek is wetenschappelijk onderbouwd.”
Een derde instrument binnen het programma is de phishingcampagne. Het percentage medewerkers dat op een link in een phishingmail of sms’je klikt, daalt gestaag. Inmiddels ligt het veertig procent lager dan toen de eerste phishingmails werden verstuurd. Van Luxemburg: “De aanpak van het management in de verschillende organisaties werkt door in de resultaten. Wanneer het commitment hoog is, zie ik dat de resultaten sneller bereikt worden en dat de klikpercentages lager liggen. Veel aandacht maakt mensen alerter, is onze ervaring.”
De juiste mensen betrekken
Tijdens de netwerklunch van I-Partnerschap ondertekende Doc-Direkt een intentieverklaring om samen te werken op het gebied van informatiehuishouding met drie onderwijsinstellingen: ROC Mondriaan, Hogeschool Saxion en Erasmus Academie. Doc-Direkt is de eerste Rijksorganisatie die de krachten bundelt met onderwijs in de volle breedte: zowel mbo, hbo als wetenschappelijk onderwijs. I-Partnerschap is een netwerkorganisatie die overheid en onderwijs bij elkaar brengt om duurzaam samen te werken op het gebied van IT en informatiemanagement.
Rijksbreed
Toen Weerbaar JenV in 2018 van start ging, was er nog niets vergelijkbaars bij de departementen voorhanden. Het vinden van een marktpartij met ervaring in creatief en innovatief ontwikkelen voor de overheid was niet eenvoudig. Inmiddels voert Van Luxemburg veel gesprekken met andere ministeries over de aanpak. “Veel departementen gebruiken ons als voorbeeld.” Het Programma Weerbaar heeft een sterke link met thema 2 uit de I-strategie Rijk, Versterken digitale weerbaarheid. De ambitie is dat het programma een inspiratiebron wordt voor een rijksbrede digitale weerbaarheidscultuur. JenV deelt daarom graag haar kennis en ervaring.
Deel dit artikel: