#03 - De mens als veroorzaker én oplosser van incidenten en crises (met Jeroen Schipper)
Ja, wat leuk. Daar ben jij weer en daar ben ik weer. En samen zijn we in de derde aflevering beland van de Keep Talking podcast. En in deze aflevering ga ik, Remco Schoenmaker, in gesprek met de CISO van de gemeente Den Haag, namelijk Jeroen Schipper. En in deze derde aflevering staat de mens centraal.
Speaker 1:In al zijn veelzijdigheid. De mens aan de veroorzakende kant van allerlei ellende. Cyber ellende. De mens tegelijkertijd aan de oplossende kant van die ellende. En we raken in het begin ook de mens als onderdeel van de security organisatie en de verschillende keuzes die je daarin kunt maken.
Speaker 1:Dus we gaan het niet over de techniek hebben. We gaan het niet over kaders hebben. We gaan het ook niet over het jaarproces hebben. Daarvoor moet je aflevering 1 en 2 luisteren. In deze derde aflevering gaat het over de mens in al zijn veel zij.
Speaker 1:En voor wie nu denkt hé, die keep talking podcast, dat lijkt wel een soort Den Haagse podcast te worden. Geen zorgen, dit drieluik ronden we af met Jeroen en daarna staat er de volgende aflevering al klaar. Ik weet al wie dat is. Dat is een SISO van een andere gemeente. Zeer interessant, maar ja, deze 3 afleveringen natuurlijk ook.
Speaker 1:Maar het blijft niet bij Haagse gasten. En tot slot misschien goed om te noemen dat ik toen bij deze aflevering opname in het staartje zat van een opdracht voor de gemeente Den Haag. Ik sloot toen een opdracht af. Ik denk van ongeveer anderhalf jaar waarbij ik als Senior Information Security Officer heb gewerkt in het team van Jeroen. Nou, deze intro is met gemak lang zat.
Speaker 1:Maar ik wilde nog even zeggen dat ik waarschijnlijk nog voor de zomer nog 2 afleveringen online zal zetten waarmee de frequentie van deze podcast uit gaat komen op ja, maandelijks. Hartstikke leuk toch? Hey, veel plezier. Een hele goede middag Jeroen Schipper.
Speaker 2:Dank je wel.
Speaker 1:Wat leuk dat jij tijd wilde maken voor voor deze podcast.
Speaker 2:Heel graag, heel leuk.
Speaker 1:Ik heb al de eer gehad om jou op andere podcasts te beluisteren, dus ik heb de de schoenen aangetrokken en je ook maar uitgenodigd en nou, dat wilde je wel.
Speaker 2:Altijd leuk om te doen.
Speaker 1:Dus we zitten hier om even een beeld te schetsen voor de luisteraar. We zitten hier op het stadskantoor of het stadhuis?
Speaker 2:Nee, het stadhuis.
Speaker 1:Ja, daar heb ik aan getwijfeld. We zitten op het stadhuis van de gemeente Den Haag. Voor de mensen die in Den Haag wonen heet het ook wel het ijspaleis. Wie kent het niet? We hebben een ruimte weten te reserveren waar het hopelijk rustig blijft.
Speaker 1:Maar ja, het is natuurlijk een en al bedrijvigheid hier.
Speaker 2:We kijken uit op de mensen en het witte gebouw.
Speaker 1:Het zogenoemde atrium. Jeroen, ik zal jou kort introduceren, maar het merendeel daarvan moet toch echt zelf doen, maar je naam noemde ik al. Jeroen Schipper, CISO van de gemeente Den Haag. CISO staat dan natuurlijk voor Chief Information Security Officer. Hoe is het om de Chief te zijn van de gemeente Den Haag?
Speaker 2:Het is heel leuk. Het klinkt cliché, maar het is een enorme uitdaging.
Speaker 1:Maar een leuke uitdaging?
Speaker 2:Het is een hele leuke uitdaging. Het is de CISO natuurlijk hè, dat is een bekende rol die iedereen kent, daarnaast ook nog manager van het team met alle security experts binnen een gemeente. Dat hebben wij het expertisecentrum security genoemd, dus het zijn eigenlijk 2 rollen.
Speaker 1:Ja, want dat is wel misschien ook noemenswaardig of voor de gemeente Den Haag is dat alle security functies gecentraliseerd zijn. Ik weet full disclosure, ik heb een opdracht gedaan voor de gemeente Den Haag, dus ik ken de organisatie ook redelijk. Zeker de security organisatie. Dus ik weet dat dat niet altijd zo geweest is. Kan je iets vertellen over waar jullie organisatorisch gezien vandaan komen?
Speaker 1:Hoe de security organisatie er eerder uitzag en hoe die er nu uitziet?
Speaker 2:Ja, ik ben zelf begonnen in halverwege 2018 en de eerste stappen om dat te gaan centraliseren die zijn het jaar daarvoor gezet. Dus toen is gezegd iedereen die iets met security doet, om het even maar zo te noemen, die gaan we centraliseren in 1 organisatie. Uiteindelijk na zo'n reorganisatie bleven er nog 3 teams over. Meer de business kant, de echte harde IT kant en meer de governance kant, dus waar de CISO ook zat.
Speaker 1:Bij de grote gemeente wat ook wel het concern wordt genoemd. Het totaal zeg maar. Ja. Strategische functie. Ja klopt
Speaker 2:en daarna dat hebben we eigenlijk van dit jaar in januari afgerond 2023 hebben we gezegd van nou nu gaan we het nog een stap verder doen en nu zijn ook echt die 3 verschillende teams die we hadden, dus van operatie tot en met strategie, die zijn samengevoegd tot 1 team. Dus we zijn nu met ongeveer 20 vaste medewerkers, flexibele schil van 20 procent en die die stuur ik aan.
Speaker 1:Ben je dan een blij man nu in de zin dat je eindelijk organisatorisch het bereikt hebt wat je voor ogen had?
Speaker 2:Ja, het was ook gewoon een opdracht, dus dat doe je dan. Maar dat is wel dat is wel goed gelukt ja. Het is lastig wel in de markt om natuurlijk alle vacatures te blijven vullen, maar het biedt wel heel veel mogelijkheden. Het kan natuurlijk ook op een andere manier. Waar we vandaan kwamen dan is het heel lastig voor een CISO om echt doelgericht te werk te gaan.
Speaker 2:Mensen te aansturen, doelen te formuleren en dat kan op deze manier wel.
Speaker 1:En is dat dan lastig omdat jouw doelen niet andermans doelen zijn? Ik bedoel wat maakt het dat dat nu makkelijker gaat?
Speaker 2:Nou ik ken andere organisaties, ook andere gemeenten waar dat wel anders is ingericht. Dus waarbij de CISO met name een functionele rol heeft. En als je dan als CISO zegt wij gaan deze kant op maar er zit daar een manager van een deel van jouw security mensen en die zeggen nou ja wij zijn druk met andere dingen en ik heb ze ergens anders voor nodig. Ja dan dan wordt het heel lastig.
Speaker 1:Maar de keerzijde daarvan is dat jij niet alleen de chief bent op het gebied van security, maar dus ook dat hele team hebt aan te sturen. Dat lijkt me nog best een zware dobber, ook gewoon in aantal uren wat er in een week zit.
Speaker 2:Ja absoluut, gelukkig heb ik daar hulp van 2 collega's die je al eerder hebt gesproken. Die helpen daarbij en wat wel nieuw is in dit jaar is dat we echt op zoek zijn naar iemand die de HR taken overneemt. Dus iemand die ik wil aanstuur maar de rest van het team wordt dan aangestuurd door iemand die echte HR functie op zich neemt.
Speaker 1:Ja dus eigenlijk trek je de inhoudelijke aansturing, vakinhoudelijke aansturing los van de hiërarchische aansturing, moet ik het
Speaker 2:zo zien? Ja, zo moet je het zien. Je kan het ook zo zien dat de mensen die die functie hadden dus een deel van hun tijd op de inhoud en een andere deel mensen aansturen. Ik heb liever die expertise, dat zijn de zwaargewichten binnen het team.
Speaker 1:Dat die hun expertise ook maximaal kunnen inzetten.
Speaker 2:Absoluut en HR is ook een vakgebied dus dat moet je dan ook niet mengen zeker niet met zo'n grote organisatie.
Speaker 1:Dan doet eigenlijk iedereen waar die goed in is. Ja. En als we het over mensen hebben, we hebben het nu over de interne kant, de de bemensing van de security organisatie. Zeker bij zo'n grote gemeente als Den Haag heb je het ook best wel over een forse organisatie. Je noemde net 20 vaste medewerkers plus nog een deel flexibel, dus ingehuurd.
Speaker 1:Daar was ik dan zelf ook een voorbeeld van, per definitie tijdelijk dan natuurlijk. Maar als we het over de mensen hebben, uiteindelijk moet het allemaal door mensen gebeuren. We kunnen dingen automatiseren, maar die mens die blijft steeds jouw plannen eigenlijk doorkruisen zou je kunnen zeggen. Je wil die gemeente en de gemeentelijke informatie veilig houden, maar het zijn ook natuurlijk mensen die daar andere plannen, snode plannen mee hebben, dat proberen te dwarsbomen of daar gewin uit te halen. Dus die mens die zit jou steeds dwars.
Speaker 1:Komt dat vaak voor in de gemeente Den Haag dat je daar last van hebt?
Speaker 2:Ik mag daar natuurlijk geen uitspraak over doen, maar ik kan je wel zeggen dat zowel intern als extern gebeuren er wel eens dingen door mensen, bewust of onbewust.
Speaker 1:Ik snap dat je daar in algemene bewoordingen over moet spreken hier. Dat is ook maar goed. Maar als het gaat om de grote groep mensen dan, want sommige dingen gebeuren bewust, veel dingen gebeuren ook gewoon onbewust.
Speaker 2:Hoe
Speaker 1:stuur jij erop als CISO van de gemeente Den Haag dat dat 1 zo min mogelijk gebeurt, hoop ik. Dat zal de inzet zijn verwacht ik. Maar als het dan toch gebeurt dat dat binnen no time bekend is en dat er ook op geacteerd kan worden. Hoe zorg je ervoor dat mensen dat gedrag vertonen? Ja, dan denk
Speaker 2:je natuurlijk gelijk aan zaken als bewustwording en dat is wel heel belangrijk, maar ik denk dat je met bewustwording een bepaalde basis moet bereiken. Zeker met zo'n grote organisatie als de gemeente Den Haag heb je ook voor hele verschillende mensen. Je hebt mensen die op een financiële afdeling zitten die echt getarget worden door voor CEO-fraude door middel van phishing, echt gerichte aanvallen. Maar ja je hebt ook gewoon mensen die alleen maar de systemen gebruiken om hun uren bij te houden en voor de rest op straat bezig zijn als handhaver bijvoorbeeld. Die moeten allemaal ben ik van mening een bepaalde basis hebben.
Speaker 2:Wat ze thuis niet doen dat moeten ze op hun werk ook niet doen. Dus niet die rare bijlagen klikken enzovoort. Daarnaast, en dat is niet hoe iedereen erover denkt, ben ik van mening dat je heel veel in de techniek moet oplossen. Mensen moeten niet hoeven nadenken over hoe ze hun werk moeten doen.
Speaker 1:Dat is een interessant punt, vaak zeggen ze er zit een spanningsveld tussen aan de ene kant beveiligingsmaatregelen die eigenlijk de bewegingsruimte van mensen inperken, maar daarmee ook de kans op narigheid verkleinen. Met als consequentie dat wanneer je daar te ver in doorschiet, dat mensen de weerstand schieten. Dat argument krijgen we natuurlijk ook als security office het moet wel werkbaar blijven. Ikzelf ben ook wel van mening dat je op de techniek heel veel kunt regelen, maar het is natuurlijk wel balanceren daar. Heb je ook wel eens te ver gepusht dat je tegen die grens aanliep van dat gebruikersgemak?
Speaker 2:Ja, zijn vorig jaar begonnen met het introduceren van labeling, dus echt e-mails en documenten labelen, die worden ook geëncrypt. Ja en dat biedt natuurlijk best wel wat problemen op het moment als een organisatie zoals de gemeente die heel veel met externe partners werkt en met burgers.
Speaker 1:Want die moeten eigenlijk allemaal in meer of minder mate mee in die
Speaker 2:Ja, je dwingt eigenlijk mensen om daarin mee te gaan en ook soms hun werkwijze aan te passen. Dus dat kiezen we wel heel bewust van wat doe je nou wel en wat doe je niet. Ik zei al zoveel mogelijk in de techniek oplossen. Dit is nou technische oplossing die echt mensen in hun dagelijkse werkzaamheden raakt. Dat is best wel lastig en dan moet je dus ook veel vertellen en uitleggen waarom je dat doet.
Speaker 1:Maar je houdt voet bij stuk?
Speaker 2:In dit geval wel. We hebben zoveel partners waarmee we samenwerken, er gaan zoveel vertrouwelijke documenten heen en weer buiten de organisatie. Die moeten we zoveel mogelijk beschermen.
Speaker 1:Dus het belang is hier groot genoeg om die weerstand te overwinnen, om daar in te blijven investeren en vol te houden, te volharden.
Speaker 2:Klopt. Een andere is bijvoorbeeld phishingmails. Vorig jaar was een nieuwe raad geïnstalleerd, de dag daarna krijgt iedereen een phishingmail van die nieuwe raad.
Speaker 1:Echt?
Speaker 2:Ja, gericht. Wauw. Ja, wat doe je dan? Dan denk ik van ja, dat moeten we voortaan eens oplossen in de techniek, want als je naar die mailtjes kijkt, jij en ik trappen daar gewoon in.
Speaker 1:Ja, ik had er laatst nog een gesprek met iemand over dat ik ook zei je kunt niet meer verwachten dat mensen eigenlijk phishingmails onderscheiden van echte mails. Die zijn zo goed, het is niet meer redelijk om te denken dat je met allerlei bewustwording trainingen dat erin krijgt want dat spel verliezen we gewoon. Dus je moet het in de techniek eigenlijk oplossen.
Speaker 2:Ik heb een enorme allergie voor phishing tests. Als je een bedrijf wil beginnen en snel geld verdienen dan hoef je alleen maar een tooltje aan te schaffen en je kan overal dat uitrollen. Maar wat bereik je ermee? Wantrouwen richting de security organisatie. Ja en je kan laten zien hoe goed jij een e-mail kan samenstellen waar iedereen intrapt.
Speaker 1:En jij zegt ja niks nieuws onder de zon. Dat wist ik al. Dat zou gaan lukken.
Speaker 2:Wat doe je met die data? Het gaat natuurlijk om het rapporteren, het bevredigen van het bestuur of het college in ons geval, maar daar kunnen ze niet op sturen.
Speaker 1:Als je zou moeten kiezen waarop je graag wil dat ze sturen, dan zijn er denk ik andere dingen die hoger op jouw lijstje staan. Precies. Dat is wel een mooi bruggetje want je zegt net richting de organisatie als geheel moet je eigenlijk balanceren tussen de technische oplossingen en het menselijk gedrag waar je wat invloed op kan uitoefenen, maar het zwaartepunt ligt in de techniek. Daar kan je veel bereiken met daarbij de opmerking, daar zijn grenzen aan. Mag duidelijk zijn.
Speaker 1:Als het gaat om het bestuur, een bestuurder meekrijgt kan je niet automatiseren. Hoe hoger je in de spreekwoordelijke boom komt, meer je moet leunen op de menselijke kant, jouw menselijke overredingskracht misschien wel, als ik het zo mag noemen. Zonder dat het nu gaat om het management van de gemeente Den Haag in het bijzonder. Maar toch de vraag, hoe hou je nou de aandacht vast daarmee veronderstel ik al dat je hem krijgt. Hoe krijg en behoud je de aandacht op dit onderwerp bij hoger management?
Speaker 1:Want ja, ik kan me zo voorstellen die mensen hebben echt wel wat anders te doen ook.
Speaker 2:Ik maak sowieso onderscheid tussen 2 vormen van communicatie naar het hoger management. We praten over de portefeuillehouder IT, dat is gewoon de wethouder. Dat is degene die we rapporteren.
Speaker 1:Bestuurlijk verantwoordelijk.
Speaker 2:En aan de ene kant rapporteren we een aantal keer per jaar puur over hoe het ervoor staat. De knelpunten, problemen eventueel, de focus van de komende periode maar dat is een beetje de basis.
Speaker 1:Dat gaat naar die wethouder.
Speaker 2:Dat gaat naar die wethouder uiteindelijk. Dat gaat het hele traject door, de hele organisatie door. Maar voor mij is het belangrijkste dat als ik die wethouder bel dat zij opneemt. En dat doe je dus niet door iedere dag een praatje te maken en iedere dag een appje te sturen.
Speaker 1:Dus je moet je hand niet over spelen eigenlijk.
Speaker 2:Exact dus dat is ook wel een balans die je moet vinden. Je kan of zeggen ik zit iedere week aan tafel maar ja neemt ze dan de telefoon op op het moment dat je een dag na dat overleg belt. Daar moet je wel heel erg secuur mee omgaan en ook hele goede afspraken over maken. Op het moment dat ik bel naar een wethouder dan is het niet voor een kop koffie.
Speaker 1:Oké, maar daar ben je ook zo duidelijk in zoals je daar nu in bent. Er komt een nieuwe wethouder. Ik kan me voorstellen dat je dan een keer gaat kennismaken met die wethouder en dan zonder dat het gaat om hoe je dat letterlijk zegt, dan is dit jouw boodschap. Dit is hoe ik in de wedstrijd zit. Als ik bel, ga je niet lastig vallen met details, maar als ik bel dan mag je ervan uitgaan dat het echt nodig is dat ik je spreek.
Speaker 2:Ja en zo zit die hele die hele crisis die cyber crisis organisatie ook in elkaar. Dus naarmate je meer naar beneden gaat dan hebben we natuurlijk gewoon binnen ons team dagelijks overleg. Maar de key functionaris om het zo te noemen dus de gemeentesecretaris, de hoogste ambtenaar eigenlijk de CEO van gemeente.
Speaker 1:Ook wel algemeen directeur eigenlijk van het hele concern.
Speaker 2:De CIO en de CTO dat zijn natuurlijk hele belangrijke functionarissen die heb ik op de speed dial.
Speaker 1:Jouw tip is eigenlijk als je op hoger bestuurlijk niveau aan tafel wilt komen, je dat spel je dat zorgvuldig moet afwegen wanneer je wel en geen aandacht vraagt. Als je dat spaarzaam doet en je bent daar duidelijk over, dan is je kans op succes eigenlijk groter. Die crisisorganisatie die je net noemde kan je daar iets over vertellen wat is een crisisorganisatie en hoe ziet dat eruit binnen de gemeente Den Haag?
Speaker 2:Ja, is eigenlijk begonnen na de de Citrix crisis die we hebben gehad december 20 19 denk ik begon dat.
Speaker 1:Je houdt van grote incidenten in december toch?
Speaker 2:Ja ja ja tot nu toe hebben we altijd in december wel wat gehad ja maar toen begon het eigenlijk met van nou wat is er aan de hand hè we hebben de Citrix crisis gehad gaan we systemen uitdoen of niet uitdoen en eigenlijk daar werd blootgelegd dat we aan de externe kant en met NCEC met andere partijen dat er best wel wat verbetering mogelijk was maar ook vooral intern zagen we van we hebben IT-crisisplannen maar echt gericht op cyber crisis was er niet en dat is toch wel wat anders dan een datacenter doet het niet meer en hoe gaan we dat aanpakken.
Speaker 1:IT-crisisplannen daar stel ik mij zoiets voor als er valt iets uit, dat dan is er een veel over, is is het redenant uitgevoerd, hoe snel kunnen we weer iets herstellen, hoe snel is onze IT omgeving weer up and running.
Speaker 2:Ja, klopt.
Speaker 1:Oké en wat wat ontbrak er dan? Wat had je dan nog meer nodig?
Speaker 2:Nou, dat is echt de cyber component. Je merkt dat zo'n een cyberincident of een crisis is veel veel meer fluïde. Dat kan binnen een minuut kan dat veranderen en moet je focus ergens anders liggen. Bij een IT crisis is het toch meer een brand blussen. Er valt iets uit, kunnen pinpointen wat het is, we moeten dingen vervangen bijvoorbeeld of we moeten uitwijken.
Speaker 2:Bij een cyber crisis merkte je gewoon van ja daar kunnen we wat winst behalen. Dus uiteindelijk hebben we daar echt op ingezet ook met steun van het hoger management en het bestuur van we moeten gewoon een heel goed gedegen plan hebben en dan moeten we ook testen. Nou dat hebben we de afgelopen jaren gedaan. Hebben aan de landelijke oefening Easydoor gedaan. Hebben op bestuurlijk niveau geoefend op andere momenten.
Speaker 2:We hebben een jaar geleden een DDoS aanval gehad waarin we het echt in de praktijk nog eens een keer konden testen.
Speaker 1:Dat was geen oefening dan?
Speaker 2:Dat was geen oefening maar die evalueren we wel. Dat staat bijvoorbeeld ook zo'n crisisplan. Iedere crisis waarbij ook een crisisteam wordt opgetuigd, want het hoeft niet altijd, wordt ook geëvalueerd. Dus dan worden de lessons learned meegenomen in het volgende plan.
Speaker 1:Slaag je erin om bij dat soort oefeningen ook dan het eerder genoemde hogere management en misschien zelfs wel die bestuurlijke verantwoordelijke, de wethouder, om die daar op een manier bij te betrekken? Krijg je daar tijd en aandacht voor?
Speaker 2:Ja, wordt ook wel gevraagd en dan helpt het natuurlijk ook wel dat er soms echte incidenten zijn waarbij dan een gemeentesecretaris of een wethouder zegt van ja dit moeten we gewoon ieder jaar doen. Dus dat hebben we ook in de planning staan.
Speaker 1:Zou je ook zelf zeggen dat een echt incident eigenlijk een voorwaarde is voor een succesvol cyber crisisplan of een succesvolle cyber crisisorganisatie? Kan dat ook zonder echt incident?
Speaker 2:Ik zou willen antwoorden van nee dat hoeft niet maar het helpt wel en het is namelijk echt heel lastig als je het niet meemaakt om te beseffen hoe hoe zo'n crisissituatie verloopt en wat er gebeurt. We hebben geoefend met met het gemeentelijk crisisteam. Dat gaat dus echt over als er grote dingen zijn in de stad.
Speaker 1:Er zijn open ruimte.
Speaker 2:Echt dat de burgemeester en de wethouder en alle directeuren worden bij elkaar geroepen. En als je dan zo'n oefening doet dan zie je dat zij vervallen in hun normale structuren. Alleen dan halverwege zo'n meeting dan blijkt dat de backup niet werkt. Dus wij dachten binnen 3 dagen weer up and running te zijn en dat gaat nu een maand duren. Ja en dan zie je dat besef en dan zie je zo'n klik van wacht even dit is echt wat anders hier moeten we
Speaker 1:wat mee. Wat ik eruit opmaak is dat je zegt rondom een cyber crisis is eigenlijk meer wendbaarheid nodig omdat iets veranderlijker is. Is ook veranderlijker dan een crisis de fysieke wereld, dus in de openbare orde en veiligheidsdomein? Want daar gebeurt natuurlijk ook van alles waarop geacteerd moet worden. Zit hem daar het belangrijkste verschil?
Speaker 2:Ja, gaat sneller. Het hoeft natuurlijk niet altijd, maar het gaat meestal sneller. Het verandert, het gaat ineens van links naar rechts. Dat hebben we ook bij meerdere oefeningen meegemaakt. Dat we gefocust waren op 1 indringer en toen bleek dat er een andere indringer al maandenlang in het systeem zat.
Speaker 2:Dat was een scenario binnen Easydoor de laatste keer. Dat je dan echt op het verkeerde been bent gezet en hoe ga je daar dan mee om?
Speaker 1:Dat vergt dus een ander type crisisorganisatie dan de traditionele vormen zoals we die kennen vanuit de openbare ruimte zeg maar en veiligheidsdomein.
Speaker 2:Ja en en dat is ook wel de reden we hebben dus gezien van nou je hebt IT crisis en je hebt cybercrises maar het start allemaal bij een driehoek van de de de CTO de CIO en de CISO. Die gaan in overleg is het nou echt alleen een IT incident of een crisis of zit er misschien ook wel security component aan. Is er bijvoorbeeld bewust iets gebeurd met een datacenter. Aan de hand daarvan wordt er opgeschaald naar een crisisteam en dat hebben we echt door en door geoefend.
Speaker 1:We hadden het eerder over die betrokkenheid van het hoge management en bestuurlijk verantwoordelijke, maar het lijkt dat je langs de as van crisis, crisis meervoud is volgens mij met een E dan, dat je langs die as dat dat best wel lukt. Zeker geholpen dan tussen aanhalingstekens door af en toe een echte crisis. Dan voel je allemaal aan: ja, hier deden we het voor. Ik snap nu dat ik hier tijd en moeite insteek, maar is het in jouw expertise inderdaad de meest kansrijke route om de aandacht van het hoger management en bestuur te grijpen op dit onderwerp of zijn er andere aanvalsroutes zou ik maar zo zeggen om de schaarse tijden daar en de aandacht te krijgen en te behouden?
Speaker 2:Wat ik al zei het helpt wel enorm want op het niveau van directeuren en wethouders die zijn voor alles verantwoordelijk. Op het moment dat je zegt ja je hebt ook nog security portefeuille zeggen ze ja klopt bedankt. Dus wat je wat je moet doen en dat is je noemde net al het aan tafel zitten, het rapporteren over security daar moet je wel op een gegeven moment de taal van die algemeen directeur spreken. Dus je moet wel weten wat zijn nou de opgaven van zo'n dienst in het geval van een gemeente en wat kan er nou gebeuren als er echt een incident is of we hebben tekort aan capaciteit wat kan dat nou betekenen voor de veiligheid van zo'n dienst en de bedrijfsprocessen die daar achter zitten? Wat als dat mis gaat?
Speaker 1:De boodschap is wel duidelijk, jij moet aansluiten bij die directeur. Het gaat andersom niet gebeuren. Nee. Wij moeten de ernst van ons vakgebied hervertalen naar een context die aansluit bij de verantwoordelijkheidsgebieden van die directeur en andersom als je die brug niet slaat, blijf je een van de vele partijen die aanspraak blijft maken op een verantwoordelijkheidsgebied. Ja, zo zijn
Speaker 2:er heel veel expertises van privacy, data noem maar op. Dus je moet echt gaan kijken naar hoe kan je nou de taal spreken van zo'n bestuurder en dan kan je het hebben over patchmanagement maar dat zegt zo iemand helemaal niks natuurlijk. Dan kan je het wel uitleggen maar dan nog wat wat moet moet zo iemand. Ja wij kunnen systemen binnen 2 weken patchen wat zegt dat? Dat zegt zo'n bestuurder niks.
Speaker 2:Als jij zegt van jij bent dus 2 weken standaard kwetsbaar want wij kunnen het niet binnen 2 weken doen maar voor een ton extra kunnen we iemand daar bovenop zetten en die zorgt ervoor dat het in 5 dagen gepatcht wordt dan wordt het interessant.
Speaker 1:Dan geef je iemand echt de mogelijkheid om er wat van te vinden en om te beslissen. Dat is het mij dan waard of dat is het mij niet waard.
Speaker 2:In plaats van de rapportages vorige maand hadden we alles in 14 dagen gepatcht De komende maand was het 18 dagen. Dat zegt niemand wat.
Speaker 1:Dit lijkt me toch wel een lastig punt, omdat die vertaalslag maken en ook de vertaalslag naar euro's maken van veel dingen die wij proberen te voorkomen. We zijn eigenlijk een soort kostenpost om grotere ellende buiten de deur te houden, zou je kunnen zeggen, want we zeggen eigenlijk zelf vaak 100 procent veilig kan helemaal niet. Dus dat is onze disclaimer al vanuit onszelf. Ellende gaat er hoe dan ook komen. De vraag is hoe goed ben je erop voorbereid en we kunnen de kans op ellende ook wel verkleinen door maatregelen te nemen, maar die vertaalslag naar euro's ja die is af en toe wel knap lastig.
Speaker 2:Ja, ja dat dat is ook echt nou een beetje de de heilige graal zeg maar van ons vakgebied denk ik. We we hebben het altijd over hoe kom je aan tafel, hoe moet je presenteren aan de board, Maar ik denk dat we ook echt naar de inhoud moeten kijken hoe kan je nou die vertaalslag maken vanuit security naar de business. Wij praten binnen de gemeente ook over de business en dan weet iedereen gelijk waar je het over hebt en dat is gewoon een andere taal dan security.
Speaker 1:Als ik dan even weer de brug slaan naar die security organisatie waar we het het begin van het gesprek over hadden, dan hebben wij als security organisatie ik zeg even wij omdat ik zelf in deze opdracht maar ook in andere opdrachten daar zelf onderdeel van ben bepaalde vocabulaire. Wij snappen wel wat patchmanagement is en wat het belang daarvan is en je hoeft dat niet zo uit te duiden zoals je dat net deed als je het moet verkopen tussen aanhalingstekens aan een directeur. Ik kan me voorstellen dat ik dat in ieder geval best wel lastig vind om die vertaalslag te maken. Dan ben jij eigenlijk binnen de gemeente Den Haag natuurlijk een strategisch gepositioneerde informatiebeveiligingsfunctionaris Vroeger heette dat nog wel eens IBF, informatiebeveiligingsfunctionaris. Dan kan je toch beter SISO heten, is mijn mening.
Speaker 1:Op dat strategische niveau, zeker bij kleinere gemeenten, is er vaak 1 iemand. Er is hier al 1 iemand, maar in een kleine gemeente is het ook 1 iemand die ook operationeel of tactisch nog verantwoordelijkheden heeft, omdat die nou eenmaal dan heb je vaak meerdere rollen of breder verantwoordelijkheidsgebied. Ik kan me voorstellen dat bij een kleinere gemeente, als je dat dus moet combineren, dan moet je wel echt schakelen. Want je bent ook operationeel meer betrokken, zonder dat ik jouw functie wil devalueren, maar bij een kleine gemeente moet je dat meer in 1 functie samenvoegen, ga er maar aanstaan. Dan moet je en ze zeggen wel eens in vacatures ja, je moet kunnen schakelen tussen operationeel, tactisch en strategisch niveau denk
Speaker 2:ik. Succes! Ja,
Speaker 1:hoeft misschien bij zo'n grote gemeente minder te schakelen in die zin dat je een strategische job hebt. Natuurlijk, bij een crisis zit je ook middenin de operatie, kan ik me niet voorstellen, maar er is maar 1 CISO. Dus succes Jeroen, die hele moeilijke uitdaging ligt dus op jouw bord.
Speaker 2:Ja, maar daar heb ik dus wel een heel groot team voor. Ik heb meer medelijden met die persoon die je noemt en die heb ik ook gesproken van kleinere gemeenten die en hoofd IT zijn en CISO. Maar in de kern is dat niet anders. Je hebt gewoon te weinig capaciteit maar in de kern kan je nog steeds kijken naar welke belangrijkste processen hebben we, wat is nou echt belangrijk voor zo'n directeur en waar moet ik voor waken, kan ik hem bij helpen of haar. Dus de stappen zijn hetzelfde.
Speaker 2:Hetzelfde met een crisisplan als je nu nog geen crisisplan hebt als gemeente of andere organisatie ja dan heb je het nieuws niet gevolgd.
Speaker 1:Ja ik wou zeggen dan heb je het vlammende verhaal vanuit de gemeente Lochem heb je even niet meegekregen.
Speaker 2:Ja en dat hoeft maar 1 aan viertje te zijn hè. Ga eens met mensen praten van stel dat er nou wat gebeurt, wie belt wie, welke IT-leverancier hebben we, kunnen we daar dan naartoe bellen?
Speaker 1:Vind je het initiatief daar voor zo'n plan? Ligt dat bij de security organisatie, hoe klein of hoe groot die ook is?
Speaker 2:Het mooiste is natuurlijk dat de wethouder komt en die zegt joh hebben jullie eigenlijk al een cyber crisisplan kan ik daarbij helpen? Het is gewoon de verantwoordelijkheid van de security organisatie om dat op te tuigen met behulp van de rest van de organisatie. Maar ik begrijp dat het lastig is en wij kunnen we hebben makkelijk praten we hebben er ook aardig wat de tijd voor genomen maar we hebben nu een cyber crisisplan wat we ieder jaar updaten. We hebben ook een een publieke versie in de maak dus die is geanonimiseerder en die delen we binnenkort via de VNG of via onze eigen website.
Speaker 1:Interessant!
Speaker 2:Ja, maar dat is gewoon puur omdat het ons geen moeite kost om dat te doen en daarmee help je anderen misschien wel.
Speaker 1:Dat verwacht ik wel. Eerder hebben jullie ook rondom jullie hacken evenement, Hack de Heek, ook een handreiking. Ja, e-guide. Maar in ieder geval ook een soortgelijk. Jullie hebben die aanpak uitgewerkt en gedeeld vrij gedeeld.
Speaker 1:Dus iedereen kan daar gebruik van maken. Is dat in lijn met een bepaalde overtuiging dat de gemeente Den Haag een soort pioniersfunctie heeft onder de overheid op misschien wel de lokale overheid in Nederland? Zie je dat zo?
Speaker 2:Nou we hebben wel de ook de opdracht in ons eigen strategisch beleidskader hebben we geschreven. Dat is ons hoogste beleidskader wat we hebben op het gebied van informatieveiligheid. Daar hebben we ook aangegeven op basis van het coalitieakkoord dat wij voorloper willen zijn op het gebied van security of informatieveiligheid. Maar dat betekent dus nogal wat. Dat betekent niet dat je overal de beste in moet zijn, maar we zijn bijvoorbeeld wel echt ervan overtuigd dat je als stad, als gemeentelijke organisaties en zelfs als land niet verder komt als je niet gewoon transparant bent.
Speaker 2:Delen wat je kan en dat is wel een heel andere andere insteek dan de afgelopen jaren. Ik heb ik zit nu al 22 jaar in het security vak en dat was toch echt security bij Ob Security waar het mee begon. Zoveel mogelijk geheim houden. Nou ik ben daar echt van overtuigd dat we de andere kant op moeten en zeker als grote organisatie heb je echt een verantwoordelijkheid naar kleinere organisaties.
Speaker 1:We hadden het al even over die collega waar we waar we af en toe met waren of in ieder geval met bewondering en respect ook naar kijken. Die moeten zoveel dingen combineren, voelt het ook wel fair dat de grotere organisaties die wat meer organisatorische capaciteit, ook wat meer budget hebben, die kunnen wat dingen uitdokteren en dat dus delen.
Speaker 2:Ja, dat doen we graag. We hebben de informatiebeveiligingsdienst, ons CERT, de VNG. Alles wat we kunnen, alle producten die we maken en wat niet geheim is of vertrouwelijk, kunnen we nog declassificeren, maar dat delen we.
Speaker 1:Mooi, ik hou er wel van. Ik werk nu 7 of 8 jaar in verschillende opdrachten voor de lokale overheid en ik vind dat altijd heerlijk en fijn punt dat er geen onderlinge concurrentie is. Je kunt ook gewoon een andere gemeente opbellen en zeggen 'wij lopen hier tegenaan, hoe hebben jullie dat gedaan, welke methode kiezen jullie, kunnen jullie uit de voeten met dit of dat instrument, hoe werkt dat bij jullie? Ik weet niet of jij ervaring hebt in de commerciële sector?
Speaker 2:Alleen voor mezelf, maar dat gaat er heel anders aan toe.
Speaker 1:Ja, ik wou zeggen dat dit een heel andere context en dat delen klinkt heel vanzelfsprekend in gemeenteland om dat zo te doen. Maar dat is natuurlijk niet overal lang niet overal We
Speaker 2:zien dat ook wel als heel belangrijk punt met onze grote partijen IT-organisaties waar we zaken mee doen of security bedrijven daar nemen we ook altijd op in de voorwaarden dat voor ons strategisch partnerschap heel belangrijk is. We stellen dus ook altijd de vraag wat kunnen jullie voor de stad betekenen niet voor de gemeente maar de stad. En dat is heel leuk om die discussies in te gaan. Dan komt het van nou we kunnen een evenement organiseren of we kunnen dit doen. Nou dat zijn allemaal mooie voorbeelden maar het gaat ons er gewoon om.
Speaker 2:Stel jullie vinden iets, wij willen dat kunnen delen. Hoe kijken jullie daar tegenaan?
Speaker 1:Je zet eigenlijk de toon al voor de manier van samenwerken. Denk ook, toch nog even weer terug naar dat hoge management en dat bestuur. Ik denk dat dat goed verkoopt. Ik zeg het dan beetje plat, maar een wethouder kan er belang bij hebben om zich bijvoorbeeld over het thema van cybersecurity te profileren binnen de gemeente zelf of binnen het bestuur zelf, maar ook richting andere gemeentes misschien, andere besturen. Dan helpt het ook, je faciliteert eigenlijk zo iemand ook door te delen, dingen beschikbaar te stellen en daar die wethouder over te informeren.
Speaker 1:Als die wethouder aanslaat op het onderwerp, dan geef je hem of haar ook een instrument in handen om daarmee aandacht te vragen. Moet ik oppassen hoe ik het formuleer, een beetje om een sier mee te maken naar anderen toe.
Speaker 2:Het goede voorbeeld te geven.
Speaker 1:Het goede voorbeeld te geven en het helpt je indirect ook zelf weer, omdat je dan in je volgende bespreking met diezelfde bestuurder, dan praat je zo weer door waar je gebleven was. Je wat samen. Jeroen, ik wil jou hartelijk bedanken voor je tijd en het delen van je inzichten.
Speaker 2:Graag gedaan.
Speaker 1:Wie weet heb ik nog eens het lef om je in de toekomst nog te vragen, maar voordat je daar antwoord op geeft zet ik de opname stop. Fijne dag nog. En daarmee komt aflevering 3 tot een einde. Jammer, jammer, jammer, maar als je ongeveer een maandje wacht, dan staat er weer een nieuwe aflevering voor je klaar. Hopelijk tot dan.
