Conferentie Sturen op veiligheid: Hoe zetten we risico’s om in actie?

Hoe zetten de overheid en het bedrijfsleven de geopolitieke risico’s om in actie? Dit is een van de thema’s die centraal staan op de conferentie Sturen op Veiligheid op 6 november op de Universiteit Twente. Welke concrete stappen kunnen we zetten? Kerndocent en medeorganisator Jan van Leede, en Roeland Reijers, CISO bij de Universiteit van Amsterdam en de Hogeschool van Amsterdam geven alvast een sneak-preview.

Snel veranderende geopolitieke verhoudingen en toenemende cybercriminaliteit zorgen voor risico’s waar zowel organisaties als burgers zich vaak niet voldoende van bewust zijn. Risicomanagers hebben de taak die dreiging concreet te maken en proactief actie te ondernemen om de risico’s te beperken. Wat gaan we doen als er een cyberaanval plaatsvindt? Hoe kan een organisatie zo goed mogelijk blijven functioneren bij de uitval van infrastructuur?

“Gaat het alleen om bewustwording of moet je paraatheid ook oefenen, en zo ja met wie?”, schetst Jan de Leede, kerndocent Human Resource Management van de Universiteit Twente, de centrale vraag van de conferentie Sturen op Veiligheid. Jan is medeorganisator van de jubileumconferentie naar aanleiding van het 35-jarig bestaan van de masteropleiding Publiek Management en het 15-jarig bestaan van de master Risicomanagement.

Inzet reservisten
Het oplopende spanningsveld raakt beide opleidingen: De impact van de veranderende wereld op Nederland vraagt om grote personeelsuitbreidingen, maar tegelijk is er sprake van forse bezuinigingen en krapte op de arbeidsmarkt. Jan: “Defensie wil de komende jaren groeien van ongeveer 50.000 naar 200.000 mensen. Ook de douane en politie zoeken veel nieuwe mensen. Daarnaast zorgt de vergrijzing ervoor dat veel ervaren krachten wegvallen.” Die situatie vormt een enorme uitdaging voor capaciteitsmanagement.

Het tekort aan vast personeel in de veiligheidsberoepen kan worden opgevangen met de inzet van reservisten. Dat betekent voor organisaties dat medewerkers vaker niet beschikbaar zijn voor hun reguliere werk. Ze moeten regelmatig op training en bij een crisis moeten werkgevers hun expertise voor langere tijd missen. “Daar moet je als organisatie wel rekening mee houden en kunnen opvangen. Dat is geen makkelijke opgave. We krijgen nu al vaak van werkgevers te horen dat een opleiding al veel tijd kost.”
Jan noemt als intrigerende nieuwe ontwikkeling de inzet van AI en humanoïde robots als een mogelijke oplossing voor de personeelstekorten in de beveiliging. “Zou een humanoid bepaalde beveiligingstaken goed kunnen doen? Er zit ook een ethische kant aan. Willen we die taken wel overdragen aan apparaten?”

Proactief risicomanagement
Tijdens de conferentie gaan burgemeesters en chief risico officers in een panelsessie in op deze vragen. In andere sessies komen ook verschillende aspecten van cybersecurity aan de orde als onderdeel van risicomanagement. Zo behandelen deskundigen de psychologie van de aanvallers en eindgebruikers, en delen ze hun ervaringen met de rol van AI in risicomanagement en de forensische aspecten van cybersecurity.

Roeland Reijers, Chief Information Security Officer (CISO) van de Universiteit van Amsterdam en de Hogeschool van Amsterdam, is een van de panelleden. De twee onderwijsinstellingen waarvoor hij actief is, zetten sterk in op proactief risicomanagement. Essentieel onderdeel daarin is de rapportage aan het bestuur: “Ik ben vorig jaar gestart met het opstellen van een strategisch en tactisch dreigingsinformatiebeeld, dat ik om de vijf maanden bijwerk. Daarbij richt ik me specifiek op de context van de UvA en de HvA omdat de dreigingsbeelden van bijvoorbeeld het Nationaal Cybersecurity Centrum (NCSC) en SURF te generiek zijn en niet ingaan op de situatie in een grootstedelijke onderwijsorganisatie.”

Evolutie ransomware-aanvallen
Roeland gebruikt het eigen dreigingsinformatiebeeld om het bestuur en de organisatie te informeren over de actuele risico’s en de ontwikkeling daarin, zodat de beleids- en beveiligingsprogramma’s daarop kunnen worden aangepast. “Je ziet dat de trend van aanvallen met ransomware een steeds dreigender en persoonlijker karakter krijgt.” Hij noemt een voorbeeld uit Engeland waar studenten onder druk zijn gezet om het bestuur van de universiteit te overtuigen dat ze de aanvallers moeten betalen. “Het is natuurlijk de vraag of zo’n bende daadwerkelijk tot uitvoering daarvan kan komen. Want als je fysieke schade bij iemand wil aanrichten, moet je die persoon opzoeken, en neemt de kans toe dat je wordt opgepakt. Toch is de dreiging er en je moet daar iets mee doen. Het beeld dat daaruit naar voren komt, is dat dit de volgende stap is in de evolutie van ransomware-aanvallen.”

Het opstellen en regelmatig aanpassen van draaiboeken voor verschillende situaties is erg belangrijk, maar niet voldoende. De acties moeten ook regelmatig worden geoefend. De UvA en de HvA doen mee aan de grootschalige oefeningen die SURF periodiek organiseert. Daarnaast zet Roeland ook kleinere, interne oefeningen op om scenario’s te bespreken en de rollen en procedures scherp te houden. “Die zijn heel nuttig. Enige tijd geleden deden we bij een afdeling zo’n tabletop-oefening en drie maanden later vond daar een incident plaats. Iedereen wist meteen wat er moest gebeuren.”

Samenwerking is belangrijk
Roeland vindt het in de samenwerking tussen overheid, onderwijs en commerciële partners erg belangrijk om de risico’s goed in kaart te brengen en draagvlak te houden voor de noodzakelijke maatregelen. Er zijn directe lijnen met de CISO’s van andere onderwijsorganisaties. Zo werden zij bij de grote cyberaanval op de Universiteit Maastricht in 2019 op dezelfde avond al geïnformeerd. “Iedere organisatie heeft zijn crisismanagement op een eigen manier georganiseerd. Maar door zulke dreigingsinformatie snel met elkaar te delen, kun je jezelf weer beschermen. Dat gaat heel goed in deze sector.” Ook SURF, de ict-coöperatie van onderwijs en onderzoek, speelt daarin een belangrijke rol.

Een goede interactie met de overheid is nodig voor het uitwisselen van algemene dreigingsinformatie, de wet- en regelgeving en voor het onderzoek dat samen met de commerciële partners gedaan wordt naar beveiligingsmaatregelen. “Het gaat er niet alleen om hoe we als organisatie weerbaar kunnen zijn, maar het gaat ook over het effect op de samenleving. Daarbij willen wij onze maatschappelijke verantwoordelijkheid nemen.”