BIO2 in de praktijk - BIO2-kader (deel 1 van de BIO2) - aflevering 2

Show Notes

Erik Becker (Coördinerend beleidsmedewerker informatieveiligheid bij BZK) neemt het stokje over van Kees van de Maarel. Hij gaat in op de BIO2 en vertelt je meer over deel 1 van de BIO2, het BIO2-kader. Wat is het doel van de BIO2? Wat is het verschil met de eerdere versies? Vanuit zijn rol bij BZK is hij dagelijks bezig met het beleid rond informatiebeveiliging vanuit de overheid.  

Transcript

Erik Becker: Die noodzaak komt uit onze toenemende afhankelijkheid van IT en het veranderende dreigingslandschap.

Interviewer : Dit is BIO2 in de praktijk. In deze miniserie duiken we in de gevolgen van de vernieuwde Baseline Informatiebeveiliging Overheid 2. Wat zijn de gevolgen voor betrokkenen en professionals?

Erik Becker: Ik denk dat we, ondanks de incidenten die plaats hebben gevonden, nog steeds naïef zijn op dit gebied. Een verandering hierin zit in het zelf en het samen verantwoordelijkheid nemen voor die digitale veiligheid.

Interviewer : Deze aflevering gaat over de verplichtingen die BIO2 met zich meebrengt. Erik Bekker is te gast. Hij is beleidsmedewerker informatiebeveiliging en verantwoording bij BZK. Erik is medeverantwoordelijk voor het informatiebeveiligingsbeleid van de overheid. Je bent net begonnen in deze job, Erik. Bevalt het een beetje?

Erik Becker: Jazeker. Ik ben in februari gestart en tot dusver is het een superleuke functie om te vervullen. Ik mag een bijdrage leveren aan het overheidsbrede informatieveiligheidsbeleid. Ik heb zelf de afgelopen acht jaar met de vorige versies van dat beleid gewerkt binnen organisaties. Dat is bijzonder om te mogen doen.

Interviewer : Er wordt al jaren naar die BIO gekeken en aan gewerkt. Nu komt BIO2. Wat is dat voor ding?

Erik Becker: De BIO en de BIO2 is het basisnormenkader op het gebied van informatieveiligheid overheidsbreed. Het geeft maatregelen op aan een systeem om maatregelen te selecteren waar overheidsorganisaties aan moeten voldoen om hun risico's voldoende te beheersen.

Interviewer : Jij bent nu een spin in het web om hiermee aan de slag te gaan. Kun jij uitleggen waarom het zo belangrijk is? Waarom het geen bureaucratische maatregel is die bedacht wordt waar iedereen ineens aan moet voldoen? Wat is de urgentie?

Erik Becker: Die noodzaak komt uit onze toenemende afhankelijkheid van IT en het veranderende dreigingslandschap. Je ziet dat cybercriminelen zich steeds verder professionaliseren in hun industrie en schadelijke actoren steeds actiever worden. Dat zie je in de hybride dreiging vanuit Rusland en andere landen. Het is belangrijk om verder te professionaliseren op dat gebied.

Interviewer : Zijn wij in Nederland binnen Europa een soort target? Waarom zijn wij interessant?

Erik Becker: Ik denk dat alle westerse landen in dat opzicht interessant zijn, maar Nederland in het bijzonder. We hebben een aantal bijzondere, kritieke infrastructuren die breder zijn dan onze landsgrenzen. Denk aan de haven van Rotterdam en het internetknooppunt waar we in Nederland over beschikken. Dat maakt ons een interessant doelwit.

Interviewer : In de andere afleveringen praat ik met de twee Kezen. Dat zijn de geestelijke vaders van de BIO. Jij bent een nieuwe generatie. Hoe beschouw jij jouw rol in dit proces?

Erik Becker: Het is een mooie rol die ik mag overnemen. Ik geef sinds kort sturing aan de beleidsontwikkeling voor de BIO2. Dat betekent dat we vanuit Binnenlandse Zaken de structuren neerzetten voor de ontwikkeling van de BIO als product. Ik ben als voorzitter actief voor de werkgroep BIO. Daarin doen we inhoudelijk de ontwikkeling van de BIO overheidsbreed. Daar zijn verschillende partijen in vertegenwoordigd, zoals de gemeenten, provincies, waterschappen en rijksoverheden. In het kern-IBO, dat ik voorzit, doen we de besluitvorming. Vanuit BZK zetten we de structuren neer en de inhoud van de BIO bepalen we samen.

Interviewer : Nu schets je droog jouw rol in het proces, maar het gaat over dreigingen en veiligheid. Heb je het gevoel dat je een aanjager bent om iedereen wakker te schudden en op scherp te zetten? Is dat jouw missie?

Erik Becker: Ja, ik denk dat we daar als Binnenlandse Zaken inderdaad een rol in hebben. Dat kunnen we niet alleen doen. Dat is iets wat we gezamenlijk oppakken als overheid.

Interviewer : Ik las dat het belangrijke aan BIO2 een streven is naar een hoger volwassenheidsniveau als het gaat over cyberveiligheid binnen de overheid. Wat moet ik me voorstellen bij een hoger volwassenheidsniveau?

Erik Becker: Een stukje historie is belangrijk. De vorige BIO werkte met een drietal basisbeveiligingsniveaus. Op basis van een risicoafweging kwam je tot een bepaald basisbeveiligingsniveau. Daar zaten dan maatregelen die je zou moeten treffen. In de huidige BIO laten we die niveaus los. Je moet zelf, op basis van een risicoafweging, nadenken over welke maatregelen dit vraagt om die risico's in voldoende mate te beheersen.

Interviewer : Dat vraagt een mentaliteitsverandering binnen betrokkenen bij allerlei overheidslagen. Dat kan gaan over gemeentes of andere organisaties. Dat betekent dat mensen zelf aan de slag moeten. Wat moeten ze doen?

Erik Becker: Je zult zelf na moeten denken over de risico's die je loopt in jouw werkzaamheden. Stel, je hebt een nieuw project om een bepaalde applicatie op te zetten als gemeente of provincie voor de burger. Dan moet je nadenken over wat de functie van deze applicatie is. Wat zit daarin wat van waarde is? Dat kunnen gevoelige gegevens zijn of persoonsinformatie. Het kan zo zijn dat de beschikbaarheid daar belangrijk van is, want het vervult een bepaalde functie. De volgende stap is dat je nadenkt over wie er geïnteresseerd zou zijn in die applicatie. Wat voor een aanvallen zouden ze kunnen uithalen? Daarna moet je de afweging maken welke maatregelen nodig zijn om te voorkomen dat zo'n aanval succesvol is. Als het plaatsvindt, hebben we dan de middelen om het te detecteren of daar effectief op te reageren?

Interviewer : Ik kwam ergens in die tekst de opzet, bestaan en werking tegen. Ik snapte niet zo goed wat daarmee bedoeld werd. Kun je dat uitleggen?

Erik Becker: Ja. Eén van de vereisten van de BIO2 is dat je die alle drie aan moet kunnen tonen. De opzet betekent dat je gepland hebt om maatregelen te treffen. Het bestaan daarvan is duidelijk dat je ze één keer hebt uitgevoerd. Het belangrijkste is die aantoonbaarheid van de werking van maatregelen. Dat zit in dat plan, do, check en act denken. Dat je verifieert of de maatregelen functioneren, zoals je ze bedoeld hebt en dat ze effectief zijn. Dat is cruciaal, want je wilt niet in een incident erachter komen dat je back-ups het niet doen.

Interviewer : Dat betekent dat je meer ruimte krijgt om zelf uit te zoeken wat er nodig is in jouw project of organisatie. Het is niet vrijblijvend, want je moet wel kunnen aantonen dat het werkt.

Erik Becker: Ja. het draait niet alleen om de aantoning op papier, maar ook om het aantonen van de feitelijke veiligheid binnen je organisatie.

Interviewer : Dat betekent oefenen, trainen en iedereen mee laten doen?

Erik Becker: Dat klopt helemaal.

Interviewer : Wat is hier het nieuwe aan? Dat je nadenkt over dreigingen, lijkt me vanzelfsprekend. Wat komt er op de betrokkenen af, als je kijkt naar die BIO2, waarvan jij zegt dat dat nieuw is? Dit maakt het anders of strenger voor jou. Wat gebeurt daar dan?

Erik Becker: Je hebt gelijk. Het risicodenken is iets wat al langer moet binnen de overheid. In de vorige versie zat je meer vast aan die basisbeveiligingsniveaus. Nu moet je meer maatwerk leveren, om die risico's te beheersen. Dat kan zijn dat je de maatregelen treft, zoals we die voorschreven uit de ISO-standaard. Die pas je risicogedreven toe. In de BIO-overheidsmaatregelen wordt een verplichte lijst met maatregelen opgegeven. Het kan zijn dat je tot de conclusie komt dat de applicatie die je maakt, heel vertrouwelijk is; dat statelijke actoren daar geïnteresseerd in zouden kunnen zijn; dat je aanvullende maatregelen zult moeten treffen. Dingen die we in de BIO voorschrijven zijn dan niet voldoende.

Interviewer : Je moet een beter informatiebeveiligingssysteem hebben?

Erik Becker: Ja, inderdaad. Het draait om het ISMS, Information Security Management System. Dat is iets wat de BIO2 verplicht aan de hand van de ISO 9001 standaard. Dat is de gedachte dat je dit risicomanagement niet eenmalig doet, maar cyclisch, volgens een plan, do, check, act principe. Je komt steeds terug. Hebben we de juiste risico's nog op ons netvlies? Treffen we de juiste maatregelen? Doen we voldoende? Dat je de randvoorwaarden die daarvoor noodzakelijk zijn, meeneemt in de organisatie van je security management. Denk aan het organiseren van de juiste middelen en de juiste managementondersteuning.

Interviewer : Er is sprake van een wens voor een hoger volwassenheidsniveau. De uitstraling is dat wij het niet meer voor jou gaan bedenken. Je moet per organisatie, per project zelf beter in kaart brengen wat de potentiële gevaren en dreigingen zijn. Wat moeten we doen? Wat betekent dat voor de betrokkenen, bijvoorbeeld de bestuurder, de manager en de CISO? Kun je schetsen wat dan op hen afkomt? Waardoor moeten ze allemaal op gaan letten, omdat dit wat voor ze betekent?

Erik Becker: De primaire verantwoordelijkheid voor informatiebeveiliging binnen de organisatie ligt bij het lijnmanagement. Zij zijn verantwoordelijk voor een bepaald proces, bepaalde systemen of informatie. Dat betekent dat ze ook verantwoordelijk zijn voor de informatiebeveiliging daarvan. Uiteindelijk ligt de eindverantwoordelijkheid bij de bestuurder. Hij moet een actievere rol gaan spelen, om dat voor zijn organisatie te organiseren. Denk in het goedkeuren van bepaalde maatregelenpakketten of dat hij er vertrouwen in heeft dat het voor zijn organisatie veilig is. De CISO heeft daar een coördinerende rol in, drijft dat managementsysteem aan en ondersteunt de organisatie in het risicodenken.

Interviewer : Ik heb het gevoel dat een heleboel van die lijnmanagers altijd denken dat we daar een CISO voor hebben. Ik ga met mijn project aan de slag. Ik ga die applicatie bouwen. Als de CISO het niet oké vindt, merk ik het vanzelf. Ik merk dat die lijnmanager zelf wat bewuster zal moeten zijn. Wat ben ik aan het doen en wat zijn de eventuele gevaren? Is dat wat je nu zegt?

Erik Becker: Ja, zeker. Als je een project hebt om een brug te bouwen in het fysieke domein, zou je ook niet achteraf denken aan welke veiligheidsvoorschriften deze brug moet voldoen. Je zou van tevoren nadenken over wat er mis zou kunnen gaan bij deze constructie. Wat voor een draagconstructie moet ik bouwen? Wat voor maatregelen moet ik treffen om ervoor te zorgen dat die brug niet instort? Het lijnmanagement zal ook op voorhand moeten nadenken over de maatregelen die getroffen moeten worden om de veiligheid te garanderen. Ze moeten meer indalen dan momenteel het geval is.

Interviewer : De CISO gaat zich dan meer bezighouden zijn met de toezichthoudende rol binnen de organisatie. Wat komt er op die bestuurder af in dit geval?

Erik Becker: Die bestuurder is eindverantwoordelijk voor de informatiebeveiliging van de organisatie. Onder de Cyberbeveiligingswet die eraan komt, wordt die verantwoordelijkheid explicieter gemaakt. Daarvoor moeten ze op training, om die goed in te kunnen gaan vullen. Dat betekent dat die bestuurder goed zal moeten luisteren naar zijn CISO, over de risico's waar hij over geïnformeerd wordt en hoe dat verloopt binnen de organisatie.

Interviewer : Bij elke wekelijkse of maandelijkse vergadering waar ambtenaren bij elkaar komen, is er altijd wel eentje bij die zegt dat we daar AI voor kunnen gebruiken. Dat kan bij een gemeente of ministerie zijn waar gebrainstormd wordt over een nieuw project. Over hoe we burgers kunnen helpen of een nieuw project starten. Wat wordt jouw rol binnen dit proces als jij een ambtenaar bent met een origineel en mooi project en wat bewuster met de risico's bezig wilt zijn?

Erik Becker: Als je zo'n project wilt starten, is de eerste vraag wat je wil ontwikkelen en wat daarbij komt kijken qua gevoelige informatie of het belang voor continuïteit. De volgende vraag is wat voor dreigingen zijn er. Dat kan in de vorm van externe factoren zijn, die een aanval ergens op lanceren. In het geval van AI zou het ook kunnen zijn dat informatie via het algoritme zelf weglekt. Vervolgens moet je maatregelen treffen en risicoafwegingen maken. Is dat iets is wat je zou willen initiëren? Hoe wil je dat doen op een manier die veilig is?

Interviewer : Kun je schetsen wat de kern van het verschil is met BIO1?

Erik Becker: De kern van het verschil zit erin dat je niet langer vastzit aan die basis beveiligingsniveaus, maar meer maatwerk kunt gaan leveren.

Interviewer : We gaan het niet meer voor je bedenken. Je moet het zelf bedenken. Is dat wat er nu gaat gebeuren?

Erik Becker: Dat klinkt weer erg los. We hebben gezegd dat je de maatregelen die in de ISO-standaard worden voorgeschreven, op basis van je risicoafweging toe moet passen. Als het risico erom vraagt, implementeer je ze. Als er sprake is van een lager risico, kun je ze wellicht weglaten. Als er sprake is van een hoger risico, zul je aanvullende maatregelen moeten treffen. In deel twee van de BIO hebben we een lijst met overheidsmaatregelen opgenomen. Die moet je als organisatie implementeren, ongeacht je risico. Dat doen we omdat het belangrijk is om een basisniveau aan een beveiliging te garanderen voor de hele overheid. Dat maakt samenwerking tussen overheidsorganisaties en leveranciers makkelijker. Je hebt al bepaalde afspraken gemaakt over wat je moet doen qua informatieveiligheid.

Interviewer : Wie gaat er straks op toezien dat dat hogere volwassenheidsniveau daadwerkelijk wordt bereikt?

Erik Becker: BIO2 wordt straks wettelijk verankerd onder de Cyberbeveiligingswet. Dat betekent dat daar toezicht op komt. Voor de overheidssector is dat de Rijksinspectie Digitale Infrastructuur. Die gaat toezien op de naleving daarvan.

Interviewer : Hoe ga je met je leveranciers om? Ik kan me voorstellen dat dit kwartje gaat vallen bij allerlei overheidsmedewerkers, maar zij zijn constant bezig met software inkopen en partijen van buitenaf naar binnen halen. Hoe kan je verifiëren dat zij diezelfde standaard als jij hanteren?

Erik Becker: Feitelijk hoeven de leveranciers niet rechtstreeks de BIO op te volgen. Zij moeten dat doen via de inkoopeisen die overheidsorganisaties verplicht zijn aan hen te stellen. De gemeente of de provincie moet bepaalde eisen opnemen in het contract met de leverancier. Daar moet de leverancier zich dan aan houden.

Interviewer : Dat wordt een spannende tijd, Erik. Ik hoor nu vooral over er wat allemaal moet gebeuren? Ik kan me voorstellen dat een heleboel mensen het nog een beetje abstract vinden. Is er nog beetje hulp bij hoe we dat gaan doen?

Erik Becker: Daar heb je gelijk in. De BIO stelt de normen waar het aan moet voldoen, maar laat een deel van de implementatie over aan de organisaties. Dat is ook zinnig, want die moeten dat organiseren op een manier die past voor hen. We gaan wel samen met het Centrum voor Informatiebeveiliging en Privacybescherming een ondersteuningsprogramma starten. Die is deze maand gestart. Daar zitten een aantal themamaanden in. Denk aan een themamaand risicomanagement en een themamaand ISMS. Per maand proberen we met ondersteuningsprojecten, podcasts en events organisaties te helpen met het maken van die transitie.

Interviewer : Je zit nu zelf in die podcast. Ik denk dat ik in een andere aflevering ga kijken wat dat tijdspad is en wat er op ons afkomt. Wat kun je allemaal verwachten? Hoe ziet die agenda eruit? Jij bent net begonnen aan deze klus, Erik. Ik merk dat het in zekere zin gaat over een collectieve mentaliteitsverandering. Wat is jouw beeld? Hoe staat overheidsland er voor als het gaat over cyberveiligheid?

Erik Becker: Ik denk dat we, ondanks de incidenten die plaats hebben gevonden, nog steeds naïef zijn op dit gebied. Ik denk dat een verandering echt zit in het zelf samen verantwoordelijkheid nemen voor die digitale veiligheid. Niet kijken naar wat een ander zou kunnen en moeten doen, maar zelf taken oppakken. Zelf nadenken over risico's. Zelf zorgen dat je veilig gedrag vertoont. Ik denk dat we met de BIO2 een mooie basis hebben om dat te professionaliseren binnen organisaties.

Interviewer : Een wachtwoord als Welkom2025 volstaat niet meer?

Erik Becker: Nee, dat is verleden tijd, maar dat zou het al tien jaar moeten zijn.

Interviewer : Erik, ik wens je veel succes als aanjager van dit proces. Ik hoop dat we met zijn allen wat veiliger worden. Wil je meer weten over de BIO2 en wat het voor jou kan betekenen? Luister ook de andere afleveringen in deze podcast terug of ga naar BIO-overheid.nl.