Voorop lopen in digitalisering? Neem de lead in digitale veiligheid

In het kader van het themanummer ‘Security’, een speciale uitgave van Dutch IT-channel, spraken Petra Claessen, CEO BTG & BTG Services en Witold Kepinski, Editor-in-Chief & Director Content Dutch IT-channel & Executive People, met elkaar over de rol van BTG Vereniging op het vlak van Security en daaraan gekoppeld, het aspect van digitale veiligheid.

BTG Vereniging is een BtB Platform met ca. 180 aangesloten bedrijven, organisaties en instellingen. Met aan de ene kant gebruikers van ICT/Telecom en aan de andere kant de solution partners, die marktimperfecties oplossen. BTG en de dochterorganisatie BTG Services zijn beide opgericht op verzoek van de markt. Het verbinden van leden en partners onderling staat hoog op de agenda. Verder besteedt BTG veel aandacht aan “belangenbehartiging ”en is Petra Claessen steevast gesprekpartner aan tafel bij EZK en AT. Het slaan van bruggen vanuit het onderwijs naar het bedrijfsleven en v.v. is ook een belangrijk speerpunt. Juist nu er behoefte is aan meer talent en adequaat arbeidspotentieel. BTG heeft een programma “green meets grey” waarin jong talent wordt gekoppeld aan senioriteit; beiden kunnen van elkaar leren en samen kunnen ze opdrachten uitvoeren. “Het werken vanuit een complementaire attitude hoort hierbij”, aldus Claessen. “Evident”, vervolgt ze, “dat ook in deze samenwerking security hoog in het vaandel staat. Juist in een samenleving waar digitalisering als een soort ‘nutsvoorziening’ moet werken, is beveiliging en veiligheid, dus security, cruciaal.”

Waarom plaatst BTG het punt van digitale veiligheid hoog op de agenda
“Dit is op vraag van onze leden en partners en binnen BTG werken we met expertgroepen, waar zowel de gebruikers participeren als ook de solutions partners. Voor Security & Digitale veiligheid kent BTG een speciale expertgroup. Met de uitkomsten hiervan, gaan we terug naar onze leden en partners”, aldus Claessen. “Verder heeft BTG ook haar contacten in de Gezondheidszorg en hebben we recent gekeken naar de digitale veiligheid in ziekenhuizen. Daar is aan de hand van een reeks incidenten zichtbaar dat digitale systemen niet alleen heel dominant zijn geworden, maar ook allemaal met elkaar verbonden zijn, en tot welke kwetsbaarheden dit leidt in ziekenhuizen. Geleidelijk aan creëren we, samen met partijen in de markt qua digitale veiligheid, expertise en nemen we een duidelijke positie in.”

Waar staat Nederland als het gaat om digitale veiligheid en welke risico’s brengt dit met zich mee?Claessen vervolgt dat in juni jl. Jeroen Dijsselbloem (Voorzitter van de Onderzoeksraad voor Veiligheid) als keynote actief betrokken is geweest bij het BTG Event. Dijsselbloem is van mening dat wij in Nederland in digitalisering in veel sectoren voor lopen op andere landen en daarmee ook de grootste risico’s lopen. Neem de financiële sector, deze is al in hoge mate digitaal en dit betekent dat zowel de consument als de instelling kwetsbaar is. Als je vooroploopt in digitalisering, dan moet je ook vooroplopen in digitale veiligheid en daar moet zeker nog e.e.a. gebeuren. Je moet zoveel mogelijk risico’s zien te vermijden en daarom is structureel overleg met de marktpartijen die dit aangaat, essentieel. BTG stimuleert de dialoog op dit vlak en vindt ook dat de Overheid hier een actieve rol in moet spelen.”

Neemt BTG ook de onderzoeksresultaten mee zoals die bekend zijn o.a. vanuit de Onderzoeksraad voor Veiligheid?
“In het rapport over Citrix is vastgesteld dat er diensten zijn bij de overheid die de gevaren verkennen en die hebben vooralsnog een beperkte opdracht. Ze waarschuwen de kwetsbare en vitale sectoren, maar het bedrijfsleven in Nederland wordt nog geacht zichzelf te redden. Daar zit natuurlijk meteen een heel cruciaal punt, de overheid gaat er vanuit dat mensen zichzelf moeten redden en we zien steeds meer dat dat niet gaat of heel moeizaam verloopt. Voor een mkb’er is het al heel wat om digitale systemen te kunnen managen, maar als er een grote crisis is of een groot gevaar en hij of zij moet daar acuut op reageren, dat vraagt nogal wat! Eén van de aanbevelingen in het Citrixrapport is dat de verantwoordelijkheid van de overheid moet worden uitgebreid naar de hele samenleving en niet alleen meer tot de vitale sectoren. Dat is te beperkt” en Claessen sluit dit punt af, “dat dit ook zo in juni jl. is besproken met Jeroen Dijsselbloem.”

Welke rol neemt de Overheid hierin op het vlak van Security en hoe wordt dit geborgd?
Staatssecretaris Alexandra van Huffelen is o.a. vanuit haar portefeuille verantwoordelijk voor ‘Digitalisering’ en de vraag doet zich voor in hoeverre zou digitale veiligheid beter gewaarborgd kunnen worden op ministerieel niveau?

“Elke sector die bezig is met een maatschappelijk probleem wil altijd dat dit belegd is bij een Minister en het liefst bij de Minister-President. Zo werkt dit natuurlijk niet en het is belangrijker dat deze bewindspersoon bevoegd is om in te grijpen als dat nodig is. Ook kan er gewerkt worden met mandaten bij de andere Ministeries om bij hun uitvoerende diensten security issues op orde te brengen en te houden. Het is te bepleiten dat er binnen de Overheid zeker één bewindspersoon is die de eindverantwoordelijkheid heeft voor Rijks ICT en dus ook Security in het pakket heeft.”

In hoeverre vind je dat BTG, betrokken moet zijn bij een portefeuille als Security?
”Omdat wij permanent in dialoog zijn met de Overheid (EZK/AT etc.) en met onze leden en partners, brengen wij ook kennis vanuit onze achterban naar de Overheid. Deze laatste heeft per definitie niet alle kennis in huis. Sterker nog, de Overheid loopt qua kennis soms wat achter op wat er in de samenleving gebeurt. Je hebt dus brancheorganisaties en kennisinstellingen nodig, evenals het bedrijfsleven om die ‘security-agenda’ betrouwbaar en consistent gevuld te krijgen.

Is het een goed idee als we in Nederland ook nadenken over een ketenredenering als je naar security kijkt?
“Ja zeker, je ziet dat op alle terreinen als je gaat kijken naar ernstige incidenten. Of het nou software is of data of infrastructuur, je ziet onmiddellijk hoe dingen met elkaar verbonden zijn. Zo kwetsbaar zijn we met elkaar. En het is natuurlijk best heel vreemd, dat in allerlei sectoren de normeringen qua security zijn vastgelegd, maar bij bijvoorbeeld software is dit (nog) niet geregeld. Wat zijn de veiligheidseisen die we stellen aan software? Hoeveel fouten mogen erin zitten? En als er fouten in zitten, wat is dan de verantwoordelijkheid van de originele ontwikkelaar? We beginnen nu pas met het vastleggen van dit soort vragen en standaarden. Er is beperkte wetgeving in voorbereiding en we hebben contact met de Europese Commissie in Brussel.

Het is zaak om nu na te denken over hoe we veiligheid kunnen definiëren en borgen op het gebied van software. Maar dat is een hele stap en ook hierin kunnen, naast het bedrijfsleven, andere partijen bij betrokken worden. BTG hecht aan het principe van de triple-helix en ook dat is een mooi voorbeeld van “Building bridges in a connected Society” hét jaarthema van BTG, waar Security ook een belangrijke plek vervult”, sluit Claessen haar betoog af.

Auteur: Witold Kepinski