Dick Berlijn, associate partner bij Hague, sprak 6 september in een interview met Stanton Chase over cybersecurity. Lees en bekijk hieronder het interview.
Why has the topic Cyber Security played such an important role in your career of the Dutch Armed Forces. And more specifically: Why the interest in cyber security and the impact it has on our society?
Dick Berlijn: ‘Het was natuurlijk vrij snel duidelijk dat het ‘disrupten’ van data en van netwerken een enorme impact zou hebben op onze samenleving. En ik grijp nog even terug naar de tijd dat ik nog bij Defensie zat. Als ik in Irak of in Afghanistan was geweest en je ziet hoe ontredderd die samenlevingen eigenlijk zijn, dan kom je eigenlijk al vrij snel tot de conclusie dat het vertrouwen van mensen in die samenlevingen en in de regering volledig weg is. Dan zie je wat dat voor ontredderd effect heeft. Zo heb ik ook naar cyber gekeken. In de zin van, als nou het vertrouwen in onze samenleving zou verdwijnen, in onze data, in onze netwerken, dan heeft dan zo’n zelfde effect.’
‘Waar we over spreken is heel fundamenteel. Dus we spreken over het goed kunnen functioneren van onze samenleving. Daarvoor is vooral dat vertrouwen van belang en als we dat vertrouwen cruciaal vinden in onze samenleving, dan moet je ook nadenken op welke manier zou dat vertrouwen ‘gedisrupt’ kunnen worden. Cyber en data is hierin evident. Stel je maar eens voor als dat niet meer te vertrouwen zou zijn. Hoe goed kunnen we dan nog op de getallen vertrouwen die we nodig hebben om met elkaar zaken te doen? Hoe goed kunnen we dan nog onze overheid vertrouwen? Hoe goed kunnen we dan nog de politie vertrouwen? Kortom, aan al die zaken die voor ons vanzelfsprekend zijn, zou je aan gaan twijfelen. En dat is ik voor mij de motivatie geweest toen Deloitte mij later vroeg om hun ‘cyberteam’ te joinen, om daar volmondig ja op te zeggen.’
‘Het belangrijkste voor mij is, als we aan cyber denken, om dat te doen vanuit het effect dat niet goed functionerende data en netwerken zou kunnen hebben op onze samenleving, op het functioneren van onze samenleving.’
The risks Cyber-Security are often regarded as the responsibility of IT departments and the CIO. What is your view of the role and responsibility that Non Executive Boards and Supervisory Board should have when it comes to cyber security?
Dick Berlijn: ‘Ja een hele belangrijke vraag. Inderdaad is het zo dat organisaties nu al geneigd zijn om te zeggen cyber is IT, dus we geven het aan de IT-afdeling en als zij er maar voor zorgen dat het allemaal goed is ‘than we’re home free’. Dat is natuurlijk voor een deel zo, maar het is veel breder dan dat. Het gaat over verantwoordelijkheden, procedures en awareness in een organisatie. Allemaal zaken die eigenlijk op een hoger deck horen te liggen. Op het deck van raden van bestuur en ik vind ook dat raden van bestuur hier op enige regelmaat breed naar moeten kijken in hun organisatie. Welke data zijn er eigenlijk allemaal belangrijk? Wie kan daar allemaal bij? Hoe zit het met identity en accesmanagement? Hoe zit het met awareness, etc. Die raden moeten zich realiseren dat het eigenlijk over de business continuity moet gaan. En we hebben in het verleden genoeg gevallen kunnen zien, dat wanneer dat niet goed wordt opgepakt, dat bedrijven failliet gaan. Er zijn voldoende voorbeelden, je hoeft te kranten er maar op na te slaan, waarin blijkt dat een grote gemeente, een ziekenhuis, een high-tech instelling of een partij in de logistieke wereld gehackt is en opeens voor dagen, weken of maanden niet meer in business komen. Ga maar na wat dat met een bedrijf doet.’
‘Het is ontzettend belangrijk dat raden van bestuur, de toezichthouder en raden van commissarissen zich realiseren hoe we tegen het onderwerp moeten aankijken en afvragen: ‘Wat is mijn verantwoordelijkheid, wat is de verantwoordelijkheid van een raad van bestuur, wat is de verantwoordelijkheid van de raad van commissarissen?’. Wat zijn de soort vragen die raden moeten vragen om een beetje het gevoel te krijgen dat ze ‘in control zijn’? Die blik van cyber kom je nog niet overal tegen. Vaak heerst er nog een smalle IT-blik waarin wordt gedacht: laten zij het maar oplossen.’
If you try to translate military strategy to cyber security strategy are there aspects that you have been able to apply to both over the recent years?
Dick Berlijn: ‘Ja ik moet zeggen, niet in de zin dat ik een oud template van het ministerie van defensie kon pakken en kon zeggen laten we zo is tegen de wereld aankijken zoals ik daar nu in zit, maar wel en soort state of mind. En wat bedoel ik daarmee? Bij Defensie als je aan een operatie gaat denken en iets wat gepland moet worden, is altijd het eerste waar over wordt nagedacht: wat willen we bereiken? En dan heb ik het bij effect niet over: er moeten zoveel bommen op die burger of zoveel zaken spoor lijden en vernietigd worden. Nee, maar wat is het lange termijneffect wat we met een operatie willen bereiken. Dat zou bijvoorbeeld kunnen gaan om een regime change of zorgen dat een regering als legitiem wordt gezien. Echt een strategisch doel. Als je dat helder hebt, ga je denken: oké wat zijn de instrumenten die ik nodig heb om dat doel te bereiken?’
‘Belangrijk daarin is, wie is hier verantwoordelijk voor? Dan hebben we het niet over de raad of het comité die verantwoordelijk zijn, maar dan hebben we het over een functionaris die in de organisatie is aangewezen. Jij bent verantwoordelijk voor dat effect. Dat betekent dan ook dat als mensen die verantwoordelijkheid zo helder definiëren, dat mensen proactief, bijna dagelijks, gaan checken of we wel op het goeie spoor zitten. Dit in plaats van achteraf in het jaarverslag met een goed verhaal te komen waarom het ook weer dit jaar niet goed gelukt is.’
Stanton Chase: ‘Uitleggen waarom het verkeerd is gegaan, ja.’
Dick Berlijn: ‘Dat is iets dat ik geleerd heb of heb meegekregen uit mijn tijd bij Defensie, dat ik ook op die manier tegen cyber aankijk. Wat is het effect wat wij willen bereiken? Wij willen ongestoord onze organisatie verder kunnen laten werken. Oké, als dat zo is, wat zijn de kwetsbaarheden? Wat zou bijvoorbeeld data of netwerken kunnen zijn? Wat is ervoor nodig om dat veilig te stellen? Is dat IT of is dat awareness, of juist allerlei andere zaken? Hoe gaan we ervoor zorgen dat dat gebeurt en wie stellen we daar verantwoordelijk voor? Nogmaals, hoe helder die verantwoordelijkheid is hoe groter de kans is dat je dat bereikt. Als die verantwoordelijkheid onduidelijk is, zie je dat we altijd een redelijk verhaal hebben waarom dat achteraf niet is gelukt, maar dat het helaas toch niet is gebeurd.’
‘Ik denk dat als we naar cyber kijken, en dan heb ik het over cyber in de brede zin binnen onze samenleving, hebben we allemaal een bepaalde verantwoordelijkheid. Jij en ik als gebruikers van IT, maar de overheid, het bedrijfsleven, regionale instellingen, mondiale spelers ook. Een van de ‘makkers’ op dit moment is dat we onvoldoende duidelijkheid hebben gemaakt over iedereens verantwoordelijkheid daarin en hoe gaan we daar elkaar aan houden. Wat zijn daarin de ‘sticks’ en wat zijn de ‘carrots’, als je je daar wel aan houdt? Ik denk dat in de hele discussie waar we nu in zitten, we dat steeds beter leren begrijpen. We moeten absoluut helder krijgen wat iedereens verantwoordelijkheden zijn, zonder dat ik alles naar de overheid wil overschuiven want dat is niet zo. Er zijn heel veel partijen die hun verantwoordelijkheid moeten dragen, maar als er een verantwoordelijkheid die er is waarvan ik vind dat de overheid dat beter moet doen, dan is dat de regie voeren op die discussie, om deze discussie helder te krijgen.’
