Ga je over de cybersecurity bij onze hoofdstad, dan werk je – uiteindelijk – ook aan ketenbeveiliging en de openbare orde. Marco van Beek, CISO van de gemeente Amsterdam, vertelt hoe de werelden van digitale en openbare veiligheid steeds dichterbij elkaar komen. En dat brengt nieuwe vragen met zich mee. Over de veiligheid van tunnels en verkeerslichten, bijvoorbeeld. Over de security van je ketenpartners en andere verbonden partijen in de stad en de regio. Hoe je een online straatverbod handhaaft en het OM en de politie kan ondersteunen bij digitale veiligheid. ‘We werken veel intensiever dan voorheen met andere partijen samen.’
‘In de afgelopen 8 jaar, sinds ik hier CISO werd, is er veel veranderd in de cybersecuritywereld. Natuurlijk, het dreigingsbeeld zoals we dat nu kennen, met aanvallen van heel sophisticated opererende cybercriminelen en statelijke actoren, bestond toen ook al. Alleen waren het toen nog vooral theoretische risico’s. Inmiddels is het bijna dagelijkse realiteit en blijven de aanvallen in hevigheid toenemen. Dat zie je aan meer DDoS-aanvallen en ingenieuzere phishingacties. Zo was het datalek bij de politie laatst een wake-up call: zouden wij daar op tijd bij zijn geweest? Je ziet bovendien dat de criminele werelden steeds meer mengen – die van de straat en de cybercriminaliteit.’
Dubbele voorbeeldfunctie
Marco van Beek valt met zijn team van ongeveer 50 securityspecialisten onder het ‘i-domein’ van de gemeente Amsterdam: het cluster dat de informatievoorziening van de gemeentelijke organisatie inricht en ondersteunt. Hun primaire taak is informatiebeveiliging, vertelt Marco. ‘We beschermen de informatie van 930.000 Amsterdammers, plus alle ondernemers en bezoekers. Enorm gevoelige informatie – denk aan paspoorten, vergunningen en uitkeringen. We hebben als overheidsorganisatie de dure plicht daar goed voor te zorgen. Daarnaast zijn we de hoofdstad van Nederland en hebben dus een dubbele voorbeeldfunctie.’ De ongeveer 20.000 ambtenaren werken met ruim 1.200 verschillende informatiesystemen. ‘Gelukkig zijn dat al veel minder applicaties dan een paar jaar geleden. Met dank aan een rationalisatieprogramma is ons ICT-landschap nu veel overzichtelijker.’
Extra monitoringlaag
Ze besteden veel ICT uit, gaat Marco verder. ‘Met name de uitvoering. Goede afspraken met leveranciers zijn dan cruciaal. Over rapportages, audits en maatregelen. En ik verwacht meer – dat een leverancier als een partner met ons meedenkt. Dat ze even bellen als er wat aan de hand is. De businesskant van de ICT houden we wel in huis. Onze eigen mensen snappen het beste welke risico’s relevant zijn en waar de kwetsbaarheden in de organisatie zitten. Dat geldt al helemaal voor de security, waarvan we de uitvoering deels uitbesteden. Zo hebben we sinds een paar jaar een SOC buiten de deur.’ Het Security Operations Center fungeert als een extra monitoringlaag over de infrastructuur, waardoor Amsterdam nu alle activiteit op het netwerk kan monitoren. Daarnaast zijn er de SaaS- en clouddiensten die steeds belangrijker worden, vertelt Marco. De beveiliging en monitoring daarvan krijgt dus ook meer aandacht. ‘Dit soort maatregelen zijn noodzakelijk. Met het huidige dreigingsbeeld is alleen preventie niet meer voldoende. Je moet je muren hoog genoeg opbouwen, weten wat er speelt én razendsnel kunnen reageren als er een serieus incident is.’
Bredere samenwerking
Zijn werk als CISO verbreedt door die veranderingen. ‘Een gemeente werkt steeds meer in ketens. In het sociaal domein bijvoorbeeld. Rond de jeugdzorg en de Wet maatschappelijke ondersteuning, de Wmo, ontstonden de afgelopen jaren complexe ketens waarin veel informatie over cliënten wordt uitgewisseld. Dat vraagt om goede afspraken en toezien op de effectiviteit van de beveiliging. In de hele keten.’
Dat doet hij allang niet meer alleen. ‘Met de CISO’s van de G4, de 4 grote steden, overleggen we geregeld. In de VNG, de vereniging van Nederlandse gemeenten, dragen we onze ervaring over aan kleinere gemeenten die minder capaciteit en kennis in huis hebben dan wij. In de veiligheidsdriehoek werken we samen met de politie, het OM en veiligheidsregio en de gemeenten om ons heen. Met de Amsterdamse universiteiten en hogescholen doen we aan kennisoverdracht. En we werken, samen met grote organisaties én bedrijven in de regio, aan het opzetten van een nieuw ecosysteem voor digitale weerbaarheid. Zo maken we de stad en de regio digitaal weerbaarder.’
Artis helpen
‘Je kunt niet meer binnen je eigen organisatie, processen en systemen blijven. Je moet erop uit, kennis bijeen brengen en elkaar helpen.’ Zo stapte Marco direct op de fiets toen Artis getroffen werd door een cyberaanval. Op zo’n moment gaat het hem maar om één ding: de cyberveiligheid van Amsterdamse inwoners en Artis-bezoekers. En natuurlijk om zijn collega van Artis bij te staan, die minder capaciteit dan hij in huis heeft. ‘Naast de ticketing zijn ook de meetsystemen van de aquaria op hun netwerk aangesloten. Je wilt niet dat hackers de kans krijgen om de temperatuur te gaan ontregelen.’ Die kwetsbaarheid kent Marco van de eigen operationele technologie, de OT. ‘Onze bruggen of verkeerslichten bijvoorbeeld – we willen voorkomen dat die op afstand door anderen beïnvloed kunnen worden.’
Champagne
Zo’n proactieve houding verwacht Marco ook intern, van zijn eigen information security officers. ‘Security is nou eenmaal geen thema waarop mensen vanzelf naar je toe komen. Het kost tijd en geld. Maar wanneer jij laat zien dat je weet waar het over gaat, word je sneller betrokken. Dan begrijpen de eigenaren van systemen dat maatregelen nodig zijn.’ Marco geeft een voorbeeld. ‘We kunnen prima champagne drinken vanwege de geslaagde invoering van een nieuw systeem. Maar als de veiligheid van dat systeem niet vóór de livegang goed is getest, dan gaan we daar vanuit security wel hard voorliggen. Gelukkig snappen de beslissers inmiddels goed dat we niet in de krant willen komen met gehackte systemen.’
Stapeling van toezicht
Over de toenemende wet- en regelgeving heeft hij zorgen, gaat Marco verder. Niet zozeer over de inhoud, want wat in NIS2 – vertaald naar de nieuwe Cyberbeveiligingswet – staat, is niet nieuw voor hem. ‘De meeste maatregelen hebben we allang genomen of we werken er al aan. De aantoonbaarheid van die maatregelen, wat centraal staat in NIS2, vraagt wel extra werk. Maar waar ik samen met anderen vooral aandacht voor vraag in Den Haag, is de stapeling van toezicht. We hebben nu te maken met 3 verschillende stelsels: BIO, DigiD en Suwinet. Straks wellicht met 30. Als alle inspecties, toezichthouders en andere partijen met nét andere lijsten aankomen, heb ik 10 extra securityspecialisten nodig. Al die administratieve lasten gaan ten koste van de energie die we stoppen in de feitelijke cyberveiligheid.’ Zijn wens? Een éénduidige manier van rapporteren, waarvan alle toezichthouders vervolgens kennis kunnen nemen.
Deze veilige (security)diensten van ons gebruikt Amsterdam
Hosting
Technisch applicatie beheer (TAB)
Cloudplatform (via KPN's dochterondernming InSpark)
Ervaringen van onze klanten
Spaarnelanden: Veilig je auto of fiets parkeren > lees het interview met Peter en Robbert
VWS: Het hart van Nederland veilig > lees het interview met Oscar
Thebe: Veilig zorginformatie delen > lees het interview met Erwin
Midocean: Veiligheid maakt groei mogelijk > lees het interview met Jan-Willem
