Tanja van Burgel, Justin Broeders, Ministerie van Financiën: ‘Vergezichten zijn mooi, eerst moet basis op orde zijn’

Eerst de ICT-basis op orde voor het Ministerie van Financiën, dan pas zijn de digitale vergezichten aan de beurt.

Zeker: de overheid moet Roomser dan de paus zijn als het gaat om zaken zoals security en privacy. Wie wetten bedenkt en oplegt, moet daar zelf natuurlijk ook aan voldoen. Dat betekent echter niet dat een CISO zoals Justin Broeders zich aan handen en voeten gebonden voelt in de strijd tegen cybercriminelen.

“Cybercriminelen kunnen natuurlijk hun tijd nemen om ergens een kwetsbaarheid te vinden. Zij hoeven zich bovendien niet de regels en protocollen te houden waar wij ons wel aan dienen te houden. Maar wij staan er niet alleen voor, zoals ik al in het vorige interview vertelde. Bovendien hebben wij ook instanties zoals het NCSC, met wie wij veel threat intelligence delen.”

Maar, beseft Broeders: het lijkt soms wel een ongelijke strijd. “Wij moeten altijd geluk hebben, de cybercrimineel slechts één keer. Je moet dan ook de mindset hebben dat je niet alles tegen kunt houden. De term weerbaarheid dekt hier de lading beter dan security. Die weerbaarheid voor als het mis gaat, die moet op orde zijn.”

Ook hier is er sprake van een cultuuromslag, stelt Tanja van Burgel. “Nog niet al te lang geleden – 10, 15 jaar - had elk departement bij wijze van spreken zijn eigen fort met een slotgracht eromheen, waar niemand in of uit kwam. Zo werkt IT vandaag de dag niet meer. Bewustzijn kweken is hier heel belangrijk. Wat mag wel en wat niet, wees je bewust van de risico’s van wat je digitaal doet. Ook als je in de trein op je laptop werkt en mensen kunnen over je schouders meekijken. Misschien moet je er dan een veiligheidsscherm op zetten. Die bewustwording, en de campagnes die we op dit punt voeren, is echt iets van de afgelopen paar jaar.”

De overheid wil ook steeds digitaler naar de burger toe worden. Hoe pakken jullie dit aan, met daarbij diezelfde balans van openheid en afscherming?

Van Burgel: “Net als bij innovatie kennen wij hier diverse samenwerkingsketens. Zo hebben de Belastingdienst en het Dienst Toeslagen veel samenwerkingsverbanden om hun dienstverlening te digitaliseren en eenvoudiger richting burgers te maken. Denk aan de belastingaangifte. Waar je begin van deze eeuw nog met een floppydisk je digitale aangifte moest doen, is het inmiddels allemaal beveiligd online... en grotendeels vooraf ingevuld met data van andere partijen. Maar we moeten ook rekening houden met oudere generaties en andere digitaal minder vaardige groepen in de samenleving. Zij moeten ook mee kunnen blijven komen. We moeten dus niet alleen een Digitale Overheid worden. We moeten datgene wat er met toeslagen en belastingen gebeurt, ook beter uitlegbaar en minder complex maken.”

Justin Broeders en Tanja van Burgel benadrukken het belang om bij digitalisering ook rekening te houden met minder vaardige groepen in de samenleving.

Hoe zorgen jullie ervoor dat jullie in een tijd van groeiende digitalisering voldoende IT-personeel hebben. Betekent dit bijvoorbeeld meer outsourcen?

Van Burgel: “We halen voor onze departementen natuurlijk het liefste zoveel mogelijk capaciteit en kennis uit eigen koker. Het SCC ICT bijvoorbeeld, maar ook het Rijks ICT Gilde, waar tech-consultants op het gebied van data, software en security werken. Bij Financiën intern maken we nog vrij veel gebruik naar inhuur. We willen de balans hier veranderen, want de kosten zijn vrij stevig. Verder werken we interdepartementaal aan het opleiden van trainees, zodat we over vier tot vijf jaar een goede senior IT’er in huis hebben. En we kijken naar hoe we voor meer complexe zaken in plaats van IT’ers inhuren, een goed contract kunnen sluiten met een externe leverancier. Op security-vlak hebben we dat ook meermaals gedaan. Het voordeel is dat er dan meer sprake is van continuïteit in de kennis en kunde.”

Broeders: “Zeker bij een specialisme zoals security wil je niet te veel in een soort afhankelijkheidspositie komen. Maar de balans hierin vinden is lastig op een overspannen arbeidsmarkt. Je ziet dat IT’ers soms al aan het begin van hun opleiding eruit geplukt worden door een bedrijf en daar verder opgeleid worden. Samenwerking, bijvoorbeeld binnen het Rijk, wordt dus steeds belangrijker, in plaats van allemaal je eigen ding te doen en zo kennis en capaciteit te verspillen. Daarop ligt steeds meer de nadruk in ons CISO-raad, en in de samenwerking tussen SOC’s van de diverse departementen. Daarnaast zullen we steeds meer moeten standaardiseren en automatiseren. Daar ontkom je niet aan.”

Hoe zet je nieuwe technologie in om hierin te ondersteunen?

Van Burgel: “Binnen mijn eigen directie hebben we een aantal innovatiemanagers die pilots opzetten om nieuwe technologie uit te testen. Denk aan AI-toepassingen die spraak naar tekst omzetten. Een pilot hier moet bepalen of auditors die heel veel tijd kwijt zijn aan het uitwerken van interviews, hiermee tijd kunnen besparen. Rijks-breed hebben we afgesproken dat we voorlopig nog geen Copilot-toepassingen in productie nemen, maar we zetten zowel interdepartementaal als met de Belastingdienst stappen op het gebied van gen AI-toepassingen.”

“Met een externe leverancier en wat beleidsdirecties hebben we gekeken naar hoe een technologie zoals kwantum computing werkt en wat er nu of op korte termijn mee kan. Dat is niet zozeer een pilot, meer een beschouwing om te kijken wat de impact is. Als er toepassingen zijn die hun succes al bewezen hebben, kijken we binnen onze ‘checks & balances’ wat we ermee kunnen. Maar we zitten nog wel vooral in de pilotfase op dit gebied.”

Wat is jullie grootste nachtmerrie op IT- en security-gebied?

Broeders: “Je bent altijd bezig met het adresseren van de grootste risico’s, je bent aan het anticiperen, maakt plannen, treft maatregelen. Maar zeker met de komst van nieuwe technologie zoals AI is het makkelijk om iets over het hoofd te zien in je IT-toepassingen en je security, waardoor het cascade-effect kan ontstaan dat je had willen voorkomen. Daar komt nu de geopolitieke cyberoorlog bij die met name in Oost-Europa al impact heeft. We kunnen straks tegen zaken aanlopen waar we nu nog helemaal geen idee van hebben. Soms haalt de snelheid in ontwikkeling van nieuwe technologie je eigen IT-inrichting in, waardoor je opeens kwetsbaar bent. Dat kan echt een achilleshiel worden.”

Justin Broeders: "Soms haalt de snelheid in ontwikkeling van nieuwe technologie je eigen IT-inrichting in."

Van Burgel: “De Belastingdienst heeft meer dan 900 processen met diverse systemen, dat is vreselijk complex. Als er tijdens de periode van de belastingaangifte een incident plaatsvindt, of er gaat een systeem of proces onderuit, dan worden daarmee potentieel miljoenen burgers geraakt. En in zijn algemeenheid zijn er denk ik nog veel systemen waar bijvoorbeeld privacy by design nog niet vanaf het begin meegenomen is. Die systemen interacteren met nieuwe systemen waarin dat wel vanaf het begin is meegenomen. Het duurt wel even voordat je dat goed op elkaar hebt afgestemd.”

“Soms heeft technologie de neiging sneller te gaan dan gewenst. Wij waren in 2023 bijvoorbeeld bezig met een low-code-project waarbij Kamertoezeggingen die voor ons van belang zijn, bijgehouden worden. Als zo’n toepassing eenmaal blijkt te werken, willen mensen daar natuurlijk gebruik van maken. Maar we moeten dan toch eerst kijken naar vraagstukken zoals beheer, security, beleidsregels. Daar moeten we dan een balans in zien te vinden.”

Hebben jullie voor de komende jaren een roadmap om verder te komen in digitalisering intern en naar de burger toe, maar ook om weerbaar te blijven?

Van Burgel: “Ik denk dat het op orde brengen en houden van onze informatiehuishouding met alle onderliggende systemen heel belangrijk is. We zijn in dat kader een document management systeem aan het doorontwikkelen. Ik hoop dat dat ertoe bijdraagt dat we de onderlaag waar al die documenten op ‘rusten’ op orde blijft, evenals de processen eromheen voor het bewaren en vernietigen van documenten. Zo kunnen we beter voldoen aan onze plichten in het kader van de Wet Open Overheid.

“Verder zijn we heel erg bezig met ontwikkelingen op cloud-gebied. Hoe maak je goed gebruik van verschillende cloud-omgevingen. De wereld waarin alles veilig was omdat het on prem stond, die is wel voorbij. Nu staat alle informatie vrij versnipperd op allerlei on prem en cloud-locaties. Hoe hou je hier goed overzicht over, hoe stel je kaders met goed cloud-beleid, daar zijn we heel erg mee bezig.”

“Aan de kant van de Belastingdienst is men bezig met enkele grote vervangingsslagen, juist om die basis waar ik het eerder over had goed op orde te krijgen. Dan heb ik het over die systemen die soms al 30 jaar oud zijn, erg solide, maar niet meer van deze tijd. Als je kijkt naar innovatie, dan willen we gaan werken met een paar platforms waarmee we goede PoC’s kunnen uitvoeren op gebieden zoals AI, kwantum en andere nieuwe technologieën.”

Broeders: “Het in de gaten houden van de impact van kwantum computing is ook op security-gebied belangrijk, bijvoorbeeld op gebieden zoals versleuteling. Ik denk verder dat de komst van de NIS2-wetgeving heel belangrijk is. Als die ergens begin volgend naar vertaald is naar Nederlandse wetgeving, dan zijn we niet klaar, dan begint de reis pas. Verder moeten we, voordat we aan allerlei vergezichten beginnen, ook bij security de basis gewoon op orde hebben.”

Het eerste deel van het interview met Tanja van Burgel en Justin Broeders gemist? Lees het hier terug.