BIO2 in de praktijk - BIO-Overheidsmaatregelen (deel 2 van de BIO2) - aflevering 3

Show Notes

In deze aflevering bespreken “de Kezen” met elkaar deel 2 van de BIO2, namelijk de overheidsmaatregelen. Kees van der Maarel (RE RO, Coördinerend beleidsmedewerker informatieveiligheid bij BZK) en Kees Hintzbergen (Adviseur Informatiebeveiliging bij de Informatiebeveiligingsdienst (IBD) en secretaris Werkgroep-BIO bij CIP). Welke maatregelen zijn er zoal? Hoe kun je starten met de implementatie van de BIO2? Wat zijn belangrijke eerste stappen? Hoe kijken zij naar risicomanagement? 

Transcript

Kees van der Maarel: We moeten anders gaan kijken naar onze afhankelijkheid van IT. Ik denk dat veel organisaties dat in de gaten hebben. Ze beseffen nog niet wat ze daarvoor moeten doen, om dat op een veilige manier te doen.

Interviewer  : Dit is BIO2 in de praktijk. In deze miniserie duiken we in de gevolgen van de vernieuwde Baseline Informatiebeveiliging Overheid 2. Wat zijn de gevolgen voor betrokkenen en professionals?

Kees Hintzbergen: Realiseer je wel dat de BIO geen incidenten gaat voorkomen. Er zullen altijd incidenten zijn. Als je die BIO toepast, zorg je er aan de preventiekant voor dat de kans dat het gebeurt, veel kleiner wordt. Dat je de juiste dingen doet, als het gebeurt.

Interviewer  : Deze aflevering gaat over de maatregelen die betrokkenen kunnen nemen. Ik mag daarover praten met Kees van der Maarel, coördinerend beleidsmedewerker bij het ministerie van Binnenlandse Zaken en Kees Hintzbergen. Hij is adviseur bij de informatiebeveiligingsdienst bij de VNG. Hij is ook secretaris bij de werkgroep BIO. Twee Kezen zijn samen de geestelijk vaders van de BIO. We hebben van tevoren afgesproken dat Kees van der Maarel Proces Kees is. Wie ben jij ?

Kees Hintzbergen: Maatregel Kees.

Interviewer  : Kees Hintzbergen is Maatregel Kees. Jullie werken al jaren samen aan cyberveiligheid.

Kees Hintzbergen: Ja, dat klopt.

Interviewer  : Maatregel Kees, waarom is het zo belangrijk voor jou?

Kees Hintzbergen: Dit is een grote groep van veel organisaties, Als je in een grote organisatie werkt, kun je niet meer toe met iedereen alles laten verzinnen. Dan moet je afwachten of het goed verzonnen wordt. Het is belangrijk dat je daarvoor minimaal een basisnorm neerzet, zodat je zeker weet dat iedereen hetzelfde doet.

Interviewer  : Proces Kees, Kees van der Maarel, jullie werken hier al jaren aan. Jij wilde graag iets vertellen over dat proces. Leg eens uit.

Kees van der Maarel: Dat proces is heel zorgvuldig uitgevoerd. Dat is belangrijk, want veel organisaties moeten ermee aan de slag. We hadden een BIO1 en niet iedereen was daar enthousiast over. Op het moment dat wij in de evaluatieperiode kwamen, moesten we nadenken of die BIO nog het goede instrument was. Er kwam nieuwe dreiging en ellende op ons af, nieuwe standaarden, ISO 7001 en 7002. We hebben Berenschot daar een onderzoek naar laten doen. Daar kwam klip-en-klaar uit dat die BIO2 twee er moest komen. De bestuurders hebben daar vertrouwen in als instrument om sturing te geven. Dat was voor ons het moment om aan de slag te gaan. We gaan weer breed binnen de overheid kijken waar behoefte aan is. Hoe kunnen we die BIO2 verbeteren ten opzichte van 1.

Kees van der Maarel: Zo hebben we een aantal slagen gemaakt, om dat een goed product te maken. Er is nog veel aan te verbeteren. We gaan weer de beheerfase in. We hebben nu een BIO2 waarmee we aan de slag gaan en een stap mee vooruit hebben gezet. Informatiebeveiliging binnen de overheid is daarmee gediend.

Interviewer  : Kees Hinsbergen, Maatregel. Kees, ik heb die BIO2 doorgelezen. Als je niet beter zou weten, zou je denken dat hier een ambtelijk stuk ligt. Mensen moeten weer van alles. Het gaat daadwerkelijk ergens over. Het gaat over hacken. Het gaat over informatieveiligheid. Het gaat misschien over privacy. Dit gaat over echte wereldse problemen die we, jullie als geestelijk vaders van de BIO2, mede helpen oplossen.

Kees Hintzbergen: Ja, dat klopt. De BIO bevat een aantal basismaatregelen die direct bijdragen aan feitelijke veiligheid. Daarnaast bevatten ze maatregelen die ervoor zorgen dat we zeker weten dat je dat gaat doen. Als je al nadenkt over dat je bezig bent met risicomanagement en over welke maatregelen je moet nemen, kun je meer dingen doen. In ieder geval staat de basis stevig.

Interviewer  : Proces Kees vertelde net dat we een nieuwe tijd in gaan. De BIO was aan herziening toe. Veranderende tijden, veranderende maatregelen. Hoe bepaal je welke maatregelen blijven, welke zwaarder moeten worden en welke we kunnen schrappen?

Kees Hintzbergen: Het BIO2-traject heeft lang geduurd. Dat kwam omdat we nieuwe wetgeving kregen vanuit Europa, NIS2. Die zich begin volgend jaar gaat vertalen in de Cbw. De grootste wijzigingen in de BIO2 komen voort uit het feit dat NIS2 is gearriveerd. Sommige dingen zijn zwaarder geworden of explicieter aangezet. Dan heb ik het over ketenmanagement, leveranciersmanagement en contractmanagement. De keten is zo sterk als de zwakste schakel. Je moet weten waar je data staat. Je moet niet afhankelijk zijn van waar het kan zijn of behandeld wordt in de keten. Daar zijn zeer veel risico's. Het risicomanagement is zwaarder benadrukt in de BIO2. Informatiebeveiliging doe je op basis van risicoanalyse en op basis daarvan maak je je keuze.

Kees van der Maarel: Op basis daarvan vertaal je de BIO naar feitelijke maatregelen. We benadrukken het nu nog weer extra. Die bestuurder heeft hier een taak in. Die moet de organisatie helpen door sturing te geven. Wat voor risico's zijn acceptabel en welke niet? En op basis daarvan gaan we aan de slag. Het lijkt alsof dat iets extra's is, maar dat was altijd al zo. Dat zal altijd zo blijven. Risico's staan centraal binnen onze organisaties en binnen de BIO dus ook.

Interviewer  : Als je het hebt over de processen binnen organisaties, gaat de BIO2 erover dat iedereen meer moet gaan nadenken over welke risico's er zijn. Welke risico's ben ik bereid om te nemen? Het proces binnen die organisatie moet beter geregeld worden. Te beginnen bij die bestuurder. Dat moet gaan door druppelen naar de managers, de CISO en misschien zelfs naar de medewerkers. Dat proces moet beter.

Kees van der Maarel: Dat is het veranderkundige deel van het proces. We moeten anders gaan kijken naar onze afhankelijkheid van IT. Ik denk dat veel organisaties dat al in de gaten hebben. Ze beseffen alleen nog niet wat ze daarvoor moeten doen, om dat op een veilige manier te doen. Er zijn hierbij een aantal belangrijke punten. Die bestuurder heeft een taak. Hij heeft een verantwoordelijkheid. Hij is eindverantwoordelijk voor de organisatie. Daar zitten een aantal consequenties aan vast. Hij moet een goede organisatie neerzetten en zijn lijnmanagers in hun kracht zetten. Hij moet vooral de CISO in zijn kracht zetten. Uiteindelijk is dat het kenniscentrum binnen een organisatie van informatiebeveiliging. Die CISO moet dekking krijgen van zijn bestuurder om maatregelen door te voeren.

Kees van der Maarel: Die maatregelen zijn niet altijd fijn om te doen. Die lopen je weleens voor de voeten, als je snel iets voor elkaar wilt krijgen. Die CISO moet stevig in zijn schoenen staan en een gesprekspartner worden van die bestuurder en lijnmanagers. Samen komen we er wel. Het is vooral een spel van samen.

Interviewer  : Precies. Iedereen kijkt elkaar aan en zegt: ik dacht dat jij het zou oplossen. Uiteindelijk denkt iedereen dat het de schuld is van de CISO. De lijnmanager is diegene die daadwerkelijk met een project aan de slag gaat. Hij neemt de verantwoordelijkheid. Hij gaat de risico's in kaart brengen. De CISO wordt weer toezichthouder. De bestuurder zorgt dat dat zo geregeld wordt. Kan ik dat zo samenvatten?

Kees van der Maarel: Ja, dat heb je fijn samengevat. Zeker.

Kees Hintzbergen: Dat hangt ook van de organisatiegrootte af. Er zijn meerdere smaken CISO's, maar dat is een goede samenvatting.

Interviewer  : Maatregel Kees, je gaf net een opsomming. Kun je wat voorbeelden geven van die verzwaring, waar je het over had? Kan je daar wat op inzoomen?

Kees Hintzbergen: Ja. In de afgelopen jaren met de vorige BIO en de andere baselines, werden er weleens eisen opgelegd aan leveranciers. Die werden niet gecontroleerd. Als de leverancier akkoord gaat met de eisen die je één keer stelt en dat doet, is het de vraag of die leverancier wel blijft voldoen aan jouw eisen. Je gaat het product gebruiken en kijkt er nooit meer naar. Eén van die bezwaren is dat je ieder jaar controleert of de leverancier en de keten achter die leverancier blijft voldoen aan die maatregelen.

Interviewer  : Wie controleert dat binnen de organisatie?

Kees Hintzbergen: Dat kan de organisatie zelf zijn. Dat kan een externe auditor zijn die een onafhankelijke verklaring afgeeft. Er zijn vele manieren waarop je dat kunt aantonen.

Interviewer  : Als je maar zorgt dat die keten strak geregeld blijft, toezicht houdt, dat blijft evalueren en vastleggen?

Kees Hintzbergen: Correct.

Kees van der Maarel: Belangrijk, want we hebben daar wat incidenten gezien in het verleden bij gemeenten. Die zijn door problemen bij de leverancier zelf in de problemen gekomen. Dan kun je discussiëren over waar de oorzaak lag. Dat is juist het leereffect, waar ik het de hele tijd over heb. Je moet samen kijken of je eruit kunt komen. Je moet wel eerlijk zijn naar elkaar. Als jij een dienst afneemt die niet voldoet aan de eisen, moet je soms je keuzes maken en naar een andere leverancier gaan. Die keuze moet je wel onderbouwd kunnen voeren. Daar helpt de BIO in basis een stukje bij.

Interviewer  : Wat is een voorbeeld van verlichting? Er zijn ook maatregelen die worden verlicht.

Kees Hintzbergen: Ik vind het lastig om nu heel concreet een verlichte maatregel te noemen. Ik kan je een voorbeeld geven van een maatregel die goed weergeeft waar het over gaat. Maatregel 5.1.1 bijvoorbeeld over beleid. Iedere organisatie moet een beleid hebben. Als je in de ISO-norm kijkt, zie je dat er tientallen punten zijn waar je aan kunt denken als je beleid gaat schrijven. Wij hebben er maar zes opgenomen. In het beleid dat je schrijft, volgens de BIO, moet je minimaal die zes onderwerpen uitwerken. De ISO noemt er veel meer. Je kunt er veel meer doen. Dat is de keuze die je maakt op basis van het risico dat je loopt met je proces.

Interviewer  : Dat betekent in de praktijk dat de betrokkenen zelf beter moeten gaan beoordelen en bekijken wat er in hun eigen situatie nodig is.

Kees van der Maarel: Klopt, zeker. De enige die hier iets mee kan, is de eigenaar van de organisatie en de mensen die in de organisatie werken. Die weten van de hoed en de rand. We kunnen vanuit de BIO wel een paar voorwaarden stellen. Dat zijn die overheidsmaatregelen die het voor ons allemaal makkelijker maken om samen te werken. Elke organisatie heeft zijn eigen voorkeuren of allergieën. Wil je veilig kunnen samenwerken, moet je een gezamenlijke basis hebben en daar niet over hoeven na te denken. De BIO biedt dat.

Interviewer  : Maatregelen die hetzelfde blijven?

Kees Hintzbergen: Er zijn veel maatregelen hetzelfde gebleven. Dat komt omdat we de BIO2 niet helemaal opnieuw bedacht hebben. De oorsprong van de meeste maatregelen ligt in de Baseline Informatiebeveiliging van het Rijk uit 2011. Die maatregelen zijn daarin gekomen op basis van een aantal risicoanalyses. Die zijn nog steeds valide. Dat noemen wij goed huisvaderschap. Basis op orde. Dat zijn maatregelen die je altijd moet nemen. Die zijn dus voor een groot gedeelte nog steeds aanwezig in de BIO2.

Interviewer  : Kun je daar wat meer op inzoomen en voorbeelden geven?

Kees Hintzbergen: Natuurlijk. Bijvoorbeeld het organisatorisch inrichten van de informatiebeveiligingsfunctie. Die is altijd hetzelfde, maar bewustwording is een essentieel onderdeel van informatiebeveiliging. De zwakste schakel is tenslotte de mens. Die maatregelen zijn onveranderd. Mensen moeten regelmatig eraan herinnerd worden wat het betekent om met informatie te werken.

Interviewer  : Ik weet dat Proces Kees er prat op gaat dat dit project samen is ontwikkeld. Dat samen is vaak een groot, breed begrip. Wat betekent samen in dit geval voor jou?

Kees van der Maarel: Samen is een soort warme douche, als je dat hebt. Ik denk dat samen betekent dat alle organisaties die iets met die BIO te maken hebben, een bijdrage leveren vanuit hun eigen overwegingen en cultuur aan een product als de BIO. Dan ben je het niet altijd met elkaar eens. Door het gesprek aan te gaan en door keuzes te maken, kom je uiteindelijk tot een product. Dat product is niet het eindproduct. Dat is een product wat zich blijft ontwikkelen. Ik denk dat we nu een hele interessante ontwikkeling hebben. We gaan dat beheer van de BIO2 onder andere ook in GitHub voortzetten. Daarin kan iedereen, ook mensen buiten de overheid, een bijdrage leveren aan de kwaliteit van de maatregelen die er zijn. We kunnen een verschil van mening hebben over hoe dat ingevuld wordt.

Kees van der Maarel: Dat we uiteindelijk als overheid zelf bepalen dat dit het wordt. Dit is het voor even en hier gaan we voorlopig mee aan de slag. Ondertussen kan dat weer verder groeien. Samen is erg breed. Ik geloof erg in intelligentie van de groep. We weten samen veel meer dan ieder individu. Op die manier kunnen we een goed product neerzetten. Dat hebben we neergezet met de BIO2.

Interviewer  : Het is een soort open source aanpak. Dat is best modern, Maatregel Kees. Word je daar vrolijk van?

Kees Hintzbergen: Dat is zeker waar. Je introduceert ons als de geestelijke vaders van de BIO. Wij zijn in zekere zin de aangever. De werkgroep BIO heeft zijn eerste sausje gedaan. We vonden het belangrijk dat er meer mensen input konden geven. Vandaar dat we gekozen hebben voor het middel GitHub. Hoe meer mensen ernaar kijken, hoe beter het wordt.

Interviewer  : Tot slot voor jullie allebei. Er zitten veel professionals naar deze podcast te luisteren. Dat zijn security professionals, privacy professionals, misschien bestuurders, CISO's, mensen die in het dagelijks leven hiermee bezig zijn en er wat van vinden. Kunnen jullie schetsen hoe die wereld er dan straks uitziet? Wat betekent dit daadwerkelijk voor al die mensen die hiermee gaan werken?

Kees Hintzbergen: De BIO is het wat en niet per se het hoe. Er is binnen maatregelen veel ruimte, om dingen lokaal anders te doen of te verbeteren. Er is veel ruimte. Dat betekent dat iedere overheidslaag zijn eigen aanpak nog kan verzinnen. Dat doen we bij de IBD, met een eigen aanpak voor gemeenten. Beter één keer goed bedenken, dan 342 keer veel energie verspillen. Het CIP maakt een ondersteuningsprogramma, speciaal geënt op de BIO. Daarin komen we samen en komen er niet alleen op maatregelniveau, maar ook op aanpakniveau veel goede best practices bij elkaar. Daar kan iedereen gebruik van maken. De BIO2 is niets meer dan een gezamenlijke taal, een tactisch normenkader. Het gaat geen feitelijke veiligheid verbeteren. Dan moet je echt implementeren.

Kees van der Maarel: Ik denk dat het grootste gewin is, dat we naar elkaar toe kunnen spreken. We hebben de BIO. Dit is de manier waarop we het doen, ook naar de buitenwereld en leveranciers toe. Dit is de BIO en wij willen op basis daarvan afspraken met jullie maken. Dat is, denk ik, het grootste goed. Op het moment dat je weet dat we het allemaal doen op deze manier, verbindt het intern in de organisatie. Dit is de manier waarop we het volgen. De bestuurder die verantwoording vraagt over het uitvoeren ervan en de CISO in zijn kracht zet om toe te zien en te stimuleren dat er daadwerkelijk iets mee gebeurt. Die lijnmanager weet dat informatieveiligheid onderdeel is van ons beleid. Ik hou daar rekening mee met het ontwerpen van nieuwe processen en informatiesystemen.

Kees van der Maarel: Die gebruiker merkt er iets van op het moment dat je aanlogt met twee factor authenticatie. Dat is hoe hij er tegenaan loopt. Bewustwordingssessies waar hij gewezen wordt op risico's die hij loopt. Die loopt hij thuis ook. Dat mes snijdt aan twee kanten. De BIO is voor mij gemeenschappelijke taal. Dat gaat helpen om de overheid veiliger te maken en de wereld een beetje veiliger te maken.

Interviewer  : Maatregel Kees. Betekent dit in de dagelijkse praktijk dat de BIO2 nu tegen je zegt dat je zelf goed moet nadenken over de risico's? Dat kan zijn als jij in een team werkt op een ministerie, bij een gemeente of een andere overheidsorganisatie en je wilt een leuk projectje starten met AI of een project waarbij informatie een rol speelt en de privacy van de burgers misschien op het spel staat. Voor wie zijn die risico's? Welke risico's ben ik eventueel bereid om te nemen? Er is geen checklist. Als ik dit en dit allemaal doe, zal het wel goed zijn. Dan voldoe ik en kom ik ermee weg. Nee, je moet zelf gaan kijken. Wat zijn de risico's? Je moet daar verantwoordelijkheid voor nemen. Je moet je organisatie erop inrichten. Je moet kunnen aantonen dat je dat echt geregeld hebt.

Interviewer  : Je krijgt iets meer vrijheid, maar je moet het meer zelf gaan doen. Dat betekent het voor de mensen in de praktijk. Zeg ik dat zo goed?

Kees Hintzbergen: Ja, dat zeg je goed. Ik wil nog benadrukken dat de BIO over informatiebeveiliging gaat. Een onderdeel van de BIO is dat je de ISO 27001 en 27002 gebruikt om het managementsysteem op te zetten. Een onderdeel daarvan is dat je je omgeving in kaart brengt en je scope van het proces dat je wilt beveiligen. Als blijkt dat andere wetgeving van toepassing is op een onderwerp dat je wilt beveiligen, zul je die normen moeten meenemen en meewegen. Dat is niet alleen AI of privacy. Dat kan ook zorginformatie, OT systemen, het bedienen van bruggen en sluizen zijn. In zoverre is de BIO slechts een begin. De aanpak zorgt ervoor dat je niets kunt vergeten.

Interviewer  : Jullie vinden het leuk om hier mee bezig te zijn, hè?

Kees van der Maarel: Zeker. Het is leuk om samen te werken. Het is een act voor twee personen geworden. Dat is het risico. Nu snap ik daaruit. Je moet het nu met Erik gaan doen. Het waren leuke jaren, Kees.

Kees Hintzbergen: Dat is waar, Kees. We hebben veel discussie gehad. De overheid kan soms in een regelreflex schieten. Je moet je altijd afvragen of dat echt gaat helpen. De vraag is dan: maken meer maatregelen iets veiliger? Die vraag moet je altijd weer opnieuw stellen. Wat is het risico dat we hier willen mitigeren? Wat is het probleem dat we hier willen oplossen? Dat hebben we in de afgelopen jaren voortdurend gedaan.

Interviewer  : De twee Kezen. De geestelijk vaders van de BIO. Maatregel Kees en Proces Kees. Dank jullie wel. Luister ook de andere aflevering in deze serie terug. We gaan dieper in op de rol van de CISO's en de bestuurders. Waarom is het nodig dat die BIO2 er kwam? Wat is het precies? We gaan kijken hoe het tijdpad de komende tijd eruit ziet. Wat kun je doen? Wat moet je doen? Welke hulp komt er op je af? Hoe ziet die wereld van morgen eruit? Zeg ik dat goed zo, Kees van der Maarel, Proces Kees? Hoe ziet de wereld er voor Kees?

Kees van der Maarel: Wil je een proces antwoord hebben?

Interviewer  : Geef het antwoord dat het beste bij je past.

Kees van der Maarel: Die wereld ziet er heel goed uit. We moeten er wel wat voor doen om daar te komen.

Interviewer  : Dank jullie wel. Wil je meer informatie over de BIO? Ga dan naar www.bio-overheid.nl.