Security bij VWS: Welzijn van Nederland veilig houden

Een departementaal team van bijna 100 securityspecialisten verdeeld over agentschappen, diensten, de inspectie, een planbureau en zelfstandige bestuursorganen (zbo’s), soms wel enkele tientallen mensen groot. Het is nogal een club die CISO Oscar Koeroo bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS) onder zich heeft. De data en systemen die zij moeten beschermen zijn eveneens indrukwekkend: van kostbare medicijninformatie tot politiek bepalende bevolkingsonderzoeken. Dichterbij het welzijn en het hart van Nederlanders kun je eigenlijk niet komen.

Natuurlijk, ze hebben niet zoveel staatsgeheimen in huis als de buren van Justitie en Veiligheid, lacht Oscar, maar de informatie die VWS in huis heeft is ook niet mals. Het gaat om informatie die direct raakt aan het welzijn, de gezondheid en het hart van álle Nederlanders. Nogal privacygevoelig dus. En dan heeft hij het nog niet eens over de informatie en systemen van organisaties die onder het departement vallen: het RIVM, het SCP, de NZa – ga maar door. Uiteindelijk zijn hij en zijn team verantwoordelijk voor de continuïteit van de dienstverlening van zowel het hele ambtenarenapparaat op het departement als van de vele organisaties en zbo’s die eronder vallen, plus voor het veilig houden van alle gegevens.

‘Een olifant eet je ook in kleine stukjes, is een bekend gezegde,’ reageert Oscar laconiek op de vraag hoe je over zo’n groot landschap het overzicht houdt. Om serieus verder te gaan: ‘Ik heb collega’s om me heen die ik echt kan vertrouwen. We maken vanuit het centrale team daarom alleen kaderstellend beleid. Dat ik mensen vertrouw, betekent overigens niet dat ik ze niet najaag. Laat maar zien welke maatregelen je neemt. Hoe je bij een incident of crisis direct de juiste acties kan inzetten. Show me!’

Kostbare medicijnen

De breedte van het werk schetst Oscar met de reis van medicijnen. ‘Medicijninformatie is zeer gevoelig én kostbaar: het is intellectueel eigendom waar grote bedragen mee gemoeid zijn. Miljoenen. Tegelijk zijn bij de ontwikkeling van medicijnen veel van onze organisaties betrokken. Zoals ZonMw, dat over subsidies en research gaat. Ons departement, dat beleid ontwikkelt. En het CBG en de inspectie, die vervolgens nieuwe medicijnen of hulpmiddelen controleren. Alles en iedereen moet in die reis veilig met elkaar kunnen praten. Bovendien zijn er ook buiten onze organisaties andere, vaak internationale partijen, bij betrokken. Informatiestromen van dat gewicht veilig houden, is een grote verantwoordelijkheid. Data-integriteit is een ander voorbeeld – ook vanwege de schaal en de reikwijdte. Wanneer het RIVM voor de bevolkingsonderzoeken of het SCP voor z’n statistieken met gemanipuleerde data werkt, dan kan het zijn dat de politiek beslissingen neemt die op verkeerde aannames gebaseerd zijn.’

Weten hoe het werkt

Hij werkt veel en graag met de cloud: de Rijkscloud, maar ook met publieke clouddiensten – in Nederland zijn er veel goede cloudaanbieders, vindt Oscar. ‘De security van de cloud managen is in wezen niet zo anders – het gaat altijd om netwerken en computers die beveiligd moeten worden. Alleen staan ze ergens anders. Daarom moet je héél goed weten hoe het werkt. Zodat je kunt controleren of bijvoorbeeld segmentatie goed doorgevoerd is. Dat netwerken echt gescheiden zijn en er niet aan de achterkant toch nog een touwtje aan elkaar is geknoopt.’ En is extra controle nodig, dan kiest Oscar voor soevereine cloudoplossingen.

Zijn technische achtergrond – als klein kind sleutelde hij al aan computers – helpt hem daar zeker bij. ‘Ik heb niet eerst een heel college nodig om te doorgronden of iets wel of niet goed geregeld is. Dus ja, mijn ervaring helpt zeker.’ Kennis, of het gebrek eraan, is bij groeiende cloudinzet een belangrijk punt, waarschuwt Oscar. ‘Want welke kennis heb je dan niet meer in huis? Wat verlies je? Je hebt wel een basisniveau aan securitykennis in huis nodig.’

Exitstrategie

‘Eigenlijk is de veiligheid van je cloudomgevingen een leveranciers- en continuïteitsvraagstuk. Leveranciers kunnen een wereld voor je oplossen, ze hebben vaak fantastische producten. Je moet alleen wel weten wat je bestelt. Ben je gevallen voor de gelikte website of omdat het product precies aansluit op je doelen? Besef dat het geen ijzer is dat je bestelt, maar een dienst. Dat betekent ook dat je zekerheden moet inbouwen voor als het tegenzit. Werkt een leverancier bijvoorbeeld mee met jouw exitstrategie? Is dat zo, dan wil ik meteen met ze werken.’

Vechtmarkt

Je kunt niet meer om uitbesteding aan leveranciers heen, beaamt Oscar. Het tekort aan goede mensen is ook bij VWS voelbaar. ‘Het is een vechtmarkt. Ik heb geluk, ik kan ons verhaal goed vertellen en ben open over de spannende dingen die we doen. Zo mocht een trainee laatst – hij kon het nauwelijks geloven – in een paar maanden tijd securitytrainingen voor de ministers maken en geven. Of denk aan voorbereidingen op verdere escalatie in het Midden-Oosten. Door al die spannende dingen loopt de werkdruk soms wel stevig op. Ik investeer daarom veel in het behoud van onze mensen. Dat het werk behapbaar blijft. En leuk. Zo mochten laatst onze interne medewerkers naar OrangeCon, een nieuw securitycongres.’ Ondanks dat ze voldoende mensen aan zich weten te binden, kiest Oscar daarom wel voor het uitbesteden van een deel van het securitywerk. Dat geeft zijn mensen de ruimte om zich te kunnen focussen.

Reversed thinking

‘Je kunt in deze wereld nauwelijks voorspellen wat je te wachten staat. En toch moet je goed voorbereid zijn op incidenten en crises. Daarom is het zo belangrijk om te experimenteren, uit te proberen en veel te oefenen. Vorig jaar organiseerden we een grote oefening. Niet alleen met onze eigen organisaties, maar met álle ketenpartners. Wat als een groot fictief ziekenhuis in Drenthe, de enige in de regio, uitvalt? Aan verschillende tafels deden ruim 100 mensen mee aan de simulatie. Zo train je dus 100 mensen tegelijk.’ Oscar wil het dan ook zeker een vervolg gaan geven. ‘Ik ben voorstander van het reversed thinking, het van achteren naar voren beredeneren. Wat als iets kapot is gegaan, hoe had je dat kunnen voorkomen? Daar kun je beleid op maken.’

Kijk vooruit

Goed voorbereid zijn is cruciaal. Zeker nu dreigingen toenemen en aanvallers steeds vaker binnen proberen te komen. Uit forensisch onderzoek bleek recent dat ook VWS te maken heeft met nieuwe aanvallen, zelfs van ‘statelijke actoren’. Oscar werkt met een horizon van 1 tot 3 jaar. ‘Onderzoek wat er op je afkomt, breng in kaart wat het voor je gaat betekenen. En niet alleen aan dreigingen, maar ook aan wetgeving. NIS2 was bijvoorbeeld geen verrassing voor mij. Kijk je vooruit, dan heb je genoeg tijd om maatregelen te nemen.’