Werken aan weerbaarheid

Interview | Matthijs van Amelsfort, directeur Nationaal Cyber Security CentrumRegelmatig duiken berichten op over hacks bij de overheid, zoals recent het Openbaar Ministerie en Bevolkingsonderzoek Nederland. Dat heeft de nodige impact op de bedrijfsvoering maar zeker ook op het vertrouwen in de overheid. Het Nationaal Cyber Security Centrum (NCSC) verwacht aan het einde van dit jaar 50.000 meldingen van een kwetsbaarheid. Vorig jaar was dit nog 40.000. Dat betekent volgens directeur Matthijs van Amelsfort maar één ding: cybercrime is here to stay.Het NCSC maakt zich hard voor digitale weerbaarheid; het vermogen om digitale dreigingen, zoals malware, phishing, quishing en desinformatie, te weerstaan. De organisatie is zelf ook niet verschoond gebleven: uit naam van het NCSC zijn begin juni phishingmails verzonden. ‘Dat het NCSC gebruikt wordt voor phishingcampagnes, betekent dat we als organisatie zichtbaar zijn maar dat er wel neveneffecten zijn’, stelt Matthijs van Amelsfort vast. ‘Het is niet anders dan BN’ers die gebruikt worden voor allerlei fraude. De naam van NCSC werd gebruikt samen met de politie en Europol.’Matthijs van AmelsfortMatthijs van Amelsfort is sinds september 2024 directeur van het Nationaal Cyber Security Centrum (NCSC), dat bedrijven helpt om de digitale weerbaarheid te vergroten door middel van advies, onderzoek en het delen van kennis. Het NCSC ressorteert onder het ministerie van Justitie en Veiligheid.Van Amelsfort was eerder werkzaam bij de Nationale Politie, Landelijke Eenheid Opsporing en Interventies, Dienst Landelijke Recherche (DLR) – locatie Driebergen. Hij leidde daar het Team High Tech Crime met een focus op cybercrime en digitale opsporing.Een jaar is voorbij gegaan sinds Van Amelsfort aantrad als directeur van het NCSC. ‘En in dat jaar is een hoop veranderd in de wereld. De situatie bij het Internationaal Strafhof (ISH) is daarbij het mooiste voorbeeld als eye-opener in de zin van de risico’s van digitale afhankelijkheid. Ofwel waar kun je nog op vertrouwen in je systemen, hoe moet je risico’s inschatten?’ Volgens de directeur kan dat gaan over vertrouwen in de opslag van de data en de beschikbaarheid, wat vaak speelt bij ransomwarezaken en vergelijkbare dreigingen. ‘Maar ook als data naar buiten komen, wat doet dat met jouw vertrouwen in hoe je gegevens zijn opgeslagen? Vertrouwen en veiligheid kennen verschillende aspecten en dus ook verschillende invalshoeken van waaruit je ernaar moet kijken.’Matthijs van Amelsfort, directeur NCSC (foto: Arie Cijfer).Van Amelsfort adresseert het onderwerp data aan de hand van verschillende fases. Hij gebruikt de termen at rest (opgeslagen), in use (actief gebruik ) en in transit (de data bewegen tussen gebruikers en systemen). Voor al die verschillende fases zou je specifieke encryptie maatregelen moeten nemen.‘De omgeving is complexer geworden’, stelt Van Amelsfort, doelend op ontwikkelingen als bring your own device en het thuiswerken dat post-corona gemeengoed is geworden. ‘Veel systemen worden aan elkaar gekoppeld, zowel it als ot, wat weer nieuwe risico’s met zich meebrengt. Wat dat betreft hebben we te maken met een veelkoppig monster en honderd procent veiligheid is een illusie. Wel moet je bij je vitale infrastructuur echt inzetten op die honderd procent. Daar streven we natuurlijk wel naar en dat betekent enerzijds de boel op orde hebben en anderzijds – en dat is het tweede aspect van weerbaarheid – als je dan toch slachtoffer wordt: hoe organiseer je dan je businesscontinuïteit? Wat heb je geregeld om te kunnen uitwijken, dat je niet in een vendor-lock terechtkomt, wat is je Plan B?”De geopolitieke situatie voedt de behoefte aan strategische digitale soevereiniteit in de EU. Wat betekent dat voor de positie van het NCSC daarin?‘Wij zijn altijd wel van het schetsen van het bredere plaatje. Dus als we praten over een soevereine datacloud in Nederland of Europa, dan is het een feit dat heel veel apparatuur die daarbij wordt gebruikt, die komt van buiten Europa. Denk aan servers, aan routers, aan softwarepakketten. In de basis is de vraag: welke risico’s loop je en welke risico’s vind je acceptabel? En wat is de voorspelbaarheid van die risico’s, vooral dat is de laatste tijd veranderd. Het is niet zo van ‘we hebben straks die cloud in Europa en dan zijn we klaar’. Veiligheid is een continu proces.’Ook het NCSC maakt – natuurlijk – die afweging qua risico acceptatie ten aanzien van waar het zijn data neerzet, zegt Van Amelsfort. ‘We hebben nu voor Nederland de registratieplicht bij het NCSC vanuit de Network and Information Security Directive (NIS2-richtlijn) die in de aanstaande Cyberbeveiligingswet is geïmplementeerd. Deze is gericht op de verbetering van de digitale en economische weerbaarheid van belangrijke en essentiële diensten en organisaties in Europa. Dat register is een van de kroonjuwelen van het NCSC en die beschermen we uiteraard maximaal.’SleutelrolAls hét centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland gaat het NCSC een sleutelrol spelen in het informeren van organisaties en bedrijven om hun cyberweerbaarheid te verhogen. Daarbij vindt er begin 2026 een integratie plaats met het Digital Trust Center (DTC), dat ressorteert onder het ministerie van EZ, en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT- DSP). Hierbij vallen ruim 2,3 miljoen entiteiten onder het NCSC.Van Amelsfort refereert aan the best of three worlds. Want ‘het gaat absoluut helpen als uiteenlopende doelgroepen – van zzp’ers tot mkb en van multinational  tot vitale bedrijven – kunnen bouwen op identieke adviezen. Om die reden hebben we vijf basisprincipes (zie kader) vastgesteld om duidelijkheid en uniformiteit te creëren.’Wat is de staat van cybersecurity in Nederland?‘Dat is moeilijk te meten. Het aantal meldingen van kwetsbaarheden wordt ongeveer 50.000 dit jaar. Dat is heel breed en heel divers, en ook de impact kan heel verschillend zijn. Het is gewoon lastig om vast te stellen wanneer hebben we ons weerbaar getoond en wat hebben we kunnen voorkomen door alle adviezen die we uitdragen? Meet je zo’n staat af aan het aantal keren dat het is fout gegaan of het aantal keren dat het is goed gegaan? Maar natuurlijk genereren we uit die informatie ook trends en analyses, die we delen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid.”Is het dweilen met de kraan open?Met een glimlach: ‘Ik heb een ‘Loesje-spreuk’ die ik al vanaf het begin gebruik en die luidt: ‘Het is fijner dweilen als je weet dat iemand de kraan aan het repareren is.’ Die blijft wat mij betreft actueel. Dus dat doen we als het NCSC, wij zijn die kraan aan het repareren samen met onze publieke en private partners. Dat zie ik als een taak als je het hebt over Nederland digitaal weerbaar maken: met elkaar die kraan repareren.’Van Amelsfort spreekt van ‘een continu proces’ rond de vraag wat een geaccepteerd risico is. Dat bedrijven in Nederland en Europa qua marktpositie achterop zijn geraakt het laatste decennium wijt hij niet aan een gebrek aan kennis of innovatie, integendeel. ‘Maar door de globalisering en keuzes die in het verleden zijn gemaakt, zit je nu in een hele andere werkelijkheid en die draai je niet zomaar terug. Helemaal onafhankelijk kun je niet zijn en ik denk dat we vooral moeten streven naar een wereld waarin we met elkaar kunnen leven, misschien is dat wel het grotere doel. Eigenlijk heb je een soort wederzijdse afhankelijkheid nodig om in die balans te komen. Als ik kijk naar de innovatiekracht in Nederland, en naar alle startups die voorbij komen, dan denk ik dat we echt wel wat kunnen en dat je dat ook moet blijven stimuleren.’Member statesHet NCSC werkt samen met Europese partners waarbij Van Amelsfort aantekent dat de samenwerking onderling tussen EU-landen (hij spreekt van member states) anders is dan die met andere landen binnen de grenzen van Europa. ‘Ook tijdens ONE Conference zijn er veel ontmoetingen waarin met elkaar wordt overlegd over de geopolitieke situatie, maar ook over de uitdagingen die we gezamenlijk hebben, bijvoorbeeld als het gaat over implementatie van wetgeving. En we delen met elkaar ook successen. België heeft een Anti-Phishing Shield (Baps) dat uitermate succesvol is. Wij zijn nu gestart, samen met KPN, om te kijken hoe we dat kunnen adopteren en implementeren in Nederland. Dat ziet er op het eerste gezicht al veelbelovend uit.’Die samenwerking over de grenzen  is ook noodzakelijk bij het snel delen van informatie. ‘Een criminele actor kijkt niet snel naar landsgrenzen of een bepaalde sector als hij in de aanval gaat, die schiet met hagel en dan heeft-ie ergens raak en gaat daarop verder. Maar in de recente Citrix-lek, waardoor enkele organisaties, ook binnen de Rijksoverheid, konden worden gehackt, hebben we gezien dat het heel belangrijk is om internationaal informatie met elkaar te delen. De eerste signalen kregen wij toen vanuit een Europese instantie en daar konden wij weer op verder bouwen. We konden vrij snel reageren en proactief communiceren en scripts ter beschikking stellen binnen Europa zodat ook andere landen daarmee hun voordeel konden doen.’Data gedreven werken is een drijfveer. ‘We maken gebruik van ai om te kijken in welke mate we data-analyses geautomatiseerd kunnen doen. Natuurlijk, de check kent nog altijd de menselijke factor: wat het systeem ons vertelt, is dat in overeenstemming met wat wij ook zien? Maar dat soort technieken helpt ons natuurlijk wel om snelheid in processen te brengen.’Dat geldt ook voor een ontwikkeling als quantumcomputing. ‘Wij hebben een proactieve houding waar het gaat om het onderzoeken van wat nieuwe risico’s kunnen zijn, voorbij de horizon die we nu kennen. En toch, wat wij in de praktijk vooral zien: die vijf basisprincipes, dat is nog steeds waar het misgaat.’Niet of maar wanneerDe dreiging is groot, de materie complex en het wordt met een steeds meer digitaliserende samenleving ook niet makkelijker, stelt Van Amelsfort. ‘Het is niet de vraag óf maar wanneer je een keer slachtoffer wordt van cybercrime of cyberaanvallen, in wat voor mate dan ook. Dat kan variëren van een ddos-aanval tot een daadwerkelijk binnentreding van je systeem.’De boodschap: wees niet naïef, de wereld is veranderd. ‘Tegelijkertijd is bij mij het glas ook altijd wel weer halfvol. Dat is ook de reden geweest dat ik ben overgestapt na 25 jaar bij de politie naar hier om écht die kranen te gaan repareren, écht te gaan werken aan die weerbaarheid. Het is de taak van het NCSC om dat overkoepelende beeld te hebben en informatie te delen om die weerbaarheid te kunnen garanderen. Bij ernstige securityincidenten zijn er directe contacten met de AIVD, MIVD en de Nationale Politie. En ik denk dat in 2026, met onze nieuwe organisatie en de context van de nieuwe Cyberbeveiligingswet, we vanuit die informatiepositie goed geëquipeerd zullen zijn om die dreigingen het hoofd te kunnen bieden, en te zien en te horen en te voelen wat er gebeurt in de wereld van cybersecurity.’De 5 basisprincipes van weerbaarheidBasisprincipe 1: Breng je risico’s in kaart;Basisprincipe 2: Bevorder veilig gedrag;Basisprincipe 3: Bescherm systemen, applicaties en apparaten;Basisprincipe 4: Beheer toegang tot data en diensten;Basisprincipe 5: Bereid je voor op incidenten.Dit artikel is ook te lezen in GOV magazine nummer 21 van Atos.