Een interview met Wilma van Dijk
Sinds 1 juni 2014 is Wilma Van Dijk de nieuwe directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Voor haar is beveiliging een tweede natuur, maar de cyber-focus is ‘’spannend en uitdagend’. Wat haar betreft gaat haar focus uit naar opleiden, coalities vormen, leiderschap zonder expansiedrift en breed samenwerken. IM sprak met haar.
Informatiebeveiliging is een van de speerpunten van het kabinet. Nederland is inmiddels aan de tweede ‘cyber security strategie’ toe. In het document staat een brede set aan doelen om ons land veiliger te krijgen en internationaal voorop te lopen. In 2015 organiseert Nederland de ‘Cyberspace Conferentie’ waar leiderschap wordt getoond en de positionering erg belangrijk is. In 2016 is Nederland voorzitter van de Europese Unie en dan wil ons land richtinggevend zijn. Beveiliging is dan het dossier om het goede voorbeeld te geven. Dat is een lastige opgaaf, want informatiebeveiliging wordt al snel technisch en Van Dijk is juist vooral bedreven in veiligheidsvraagstukken. Aan het begin van het gesprek wordt ook begrip gevraagd dat juist daar nog gewenning nodig is na drie dagen op haar post.
Complex spel
De ICT-beveiligingsindustrie is complex. “Het is mij duidelijk dat er nu al een duidelijke gemeenschap is en er allerhande belangen spelen,” erkent Van Dijk. Dat ze in een veld stapt waar posities ook worden bevochten en mensen zoeken naar een rol herkent ze. Maar na haar ‘maiden speech’ op de eigen conferentie van het National Cyber Security Center (NCSC) ziet ze wel een branche waar een enorme dynamiek vanuit gaat. Meteen wordt duidelijk dat een gekozen strategie door de snelle ontwikkelingen regelmatig zal moeten worden bijgesteld aan de veranderende omgeving. “Tja, het is een complex spel, maar daar zit voor mij wel de uitdaging, omdat ik in netwerken werk. Ook bij de NSS-top – waar Van Dijk eerder als projectdirecteur verantwoordelijk was voor veiligheid (redactie ) – is er met een breed palet aan partijen samengewerkt. Daar voel ik mij nu eenmaal thuis.”
Coalities sluiten
Om de ambities van de Cyber Security Strategie van het kabinet waar te maken, is er volgens Van Dijk nog wel veel werk te verzetten. Maar de basis is volgens haar op orde. “Het huis dat er staat is een goed huis,” zegt ze dan ook. “Daar bouw ik op voort.” De rol die ze vooral ziet voor haar NCSC is het spelen van aanjager. “Waar ik me op wil gaan richten is het versterken van het netwerk en dat uit te bouwen. We willen kijken met wie je uiteindelijk tot de beste kansen kunt komen. We zoeken dus naar de beste coalities om zaken voor elkaar te krijgen. Het is telkens kijken met wie je tot de beste kansen kunt komen.”
Die coalities zijn niet alleen partijen binnen de overheid, maar ook met het bedrijfsleven, de beveiligingsindustrie en hackers. Juist door samenwerken moet Van Dijk uiteindelijk tot betere resultaten komen. “Ik ben verantwoordelijk voor security en in de cyberwereld heb je met enorm veel partijen te maken. Daar moet je mee samenwerken.” Die samenwerking wil ze aangrijpen ook om partijen te motiveren te werken aan kennis en het vinden van innovatieve oplossingen. Juist met onderzoek en aandacht voor andere benaderingen kan Nederland een unieke plek in de wereld proberen te veroveren, meent Van Dijk.
Dat sommige relaties ingewikkeld zijn, onderkent ze direct. Desgevraagd erkent ze de gevoeligheden in de relaties die er spelen met Amerikaanse partijen, zoals de band tussen de NSA en de AIVD. Die laatste is ook een van de partijen betrokken bij het NCSC. Zij ziet daar geen probleem in. Het gaat er volgens haar om dat er vooral bij crisissituaties snel wordt opgetreden. Het NCSC houdt zich in het geheel niet bezig met spionage en voor de zaken rondom Snowden heeft haar orgaan dan ook niets te zeggen. Dat ligt bij de AIVD.” Ter verduidelijking: momenteel wordt nog gewerkt aan een wettelijke basis voor het NCSC. Bij wet is namelijk verboden dat operationele informatie door AIVD met justitie wordt gedeeld. “We willen komen tot een juiste duiding en aanpak,” aldus Van Dijk. Daar komen twee trends bij naar voren: het gevaar van cybercrime en cyberspionage.” Die zaken zijn niet hetzelfde en kunnen daarom los van elkaar worden gezien. “Bij cybercrime en veiligheid ligt de leiding bij het NCSC, maar bij spionage ligt het leiding bij de AIVD. Daar gaan we niet over. Omdat spionage wel een belangrijke dreiging vormt, besteden we er tijdens het jaarlijkse Cybersecuritybeeld uiteraard wel aandacht aan. Dat deel van het rapport komt in nauwe afstemming met de AIVD tot stand.”
Hackers
Volgens Van Dijk werd er al goed geïnvesteerd in relaties en zal dat nadrukkelijker worden uitgebreid. Ook met de goedwillende hackers wil ze een coalitie sluiten. Zij moeten zich veilig voelen om lekken aan te melden en te kijken. “De leidraad Responsible Disclosure biedt daartoe een kader en heeft al in vele gevallen geleid tot het oplossen van kwetsbaarheden,” vertelt de directeur. “Later dit jaar wordt de leidraad geëvalueerd en wordt bekeken waar er verbeteringen kunnen worden aangebracht. Daar zullen ook hackers bij worden betrokken.”
Ter verduidelijking: bij veel hackers ligt het beleid erg gevoelig. Dat komt omdat goedwillende mensen nu in overeenstemming een lek kunnen aanmelden. Maar het openbaar ministerie behoudt zich het recht voor alsnog een onderzoek te starten en ze mogelijk te vervolgen. Juist het aanmelden van gevonden problemen bij het Ministerie van Veiligheid en Justitie maakt dat melden ingewikkeld.
Om een deel van de koudwatervrees bij hackers die fouten willen helpen oplossen te verminderen, moet er volgens Van Dijk ook in de mindset iets veranderen. Vooral het umfelt moet volgens haar begrijpen dat er een groot belang is bij het bespreekbaar maken van zwakheden in beveiliging. “Ik vind ook dat we juist als Nederland een cultuur hebben waar we het begrip partnership snappen en dat kwetsbaarheden problemen zijn om op een volwassen manier aan te pakken.”
Opleiding
Wat ook op het bordje van de nieuwe directeur ligt, is het waarmaken van de Cyber Security Strategie. Het investeren in onderwijs wordt een speerpunt in haar beleid. “Dat vind ik echt een belangrijk onderwerp,” stelt ze. Volgens haar kun je mensen niet met gedrag bekwaam maken. “Mensen moeten met ict-skills worden opgeleid. We nemen op ict-gebied al een belangrijke rol in. Dat moeten we verder uitbouwen ook op het gebied van security. In onderzoek en onderwijs moet je veel investeren.”
Daarom wordt er gewerkt aan een traject met het Ministerie van Onderwijs, Wetenschap en Cultuur om de nodige vaardigheden op opleidingen actief aan te bieden. Desgevraagd erkent Van Dijk dat in het laten slagen van die missie nog wel een uitdaging zit. “Maar de adviezen van de Onderwijsraad zijn wel duidelijk, want zij stellen dat opleidingen passend moeten zijn aan hedendaagse eisen van de samenleving,” betoogt ze. Dat alleen is niet genoeg. “In tegenstelling tot wat wel wordt gedacht blijken jongeren ook niet altijd bewust te leven in een informatiemaatschappij. Zij kunnen meer bewust worden. Dit jaar bij de jaarlijkse Alert Online Campagne is het thema dan ook kennis.”
Overigens is het niet alleen de jeugd die volgens haar moet worden bijgespijkerd. Het is ook belangrijk de Tweede Kamer goed op de hoogte te houden en er is behoefte aan uitleg. “We moeten heel goed uitleggen wat er speelt en duidelijk maken hoe we functioneren,” zegt ze. “Ik ben dan ook blij dat de Tweede Kamer binnenkort hier naartoe komt. Daar – in het op de hoogte houden (redactie) – wil ik veel in investeren. Ze moeten een bewustzijn hebben en ook een sense of urgency. Dan is ook duidelijk waar de minister – Opstelten (redactie) – voor staat en dat ik onder zijn mandaat werk. Het is ook waar u – de Kamerleden (redactie) – uw rol zult moeten vervullen.”
Leiderschap tonen en voorop lopen
Om beter te zijn in het voorop lopen is er ook ruimte gevonden om een tweede tender van zes miljoen euro uit te schrijven. “Daar is dus ruimte om te kijken hoe je privacy en security by design goed geregeld kunt krijgen,” vertelt Van Dijk. Ze wijst erop dat er eerder potjes met geld waren die versnipperd waren over verschillende departementen. Nu dat is samen getrokken is er ruimte om ideeën goed te laten uitwerken. “De inzendingen worden nu beoordeeld en daarop volgt een keuze. Volgens Van Dijk past dit ook in de Cyber Security Research agenda, die onderdeel vormt van de Cyber Security Strategie. “Het bevestigt wat mij betreft ook het speerpunt: voorop lopen.”
Van Dijk wil internationaal leiderschap op beveiliging laten zien. Dat is belangrijk voor niet alleen de bescherming, maar juist ook de economie. De conferentie in 2015 en het voorzitterschap van de EU in 2016 moeten worden aangegrepen om keuzes te maken. “Wat wordt de governance van de digitale wereld. Welke standaarden gaan we gebruiken? Willen we dat? Staat het onderwerp cyber echt op de agenda?”
Gevraagd naar de rol van mensenrechten in het digitale domein stelt ze dat – ofschoon eerder niet genoemd – dit wel voorop staat. “Mensenrechten zijn randvoorwaardelijk voor de beveiliging,” stelt ze. “Dit gaat over groei, security en mensenrechten. Onze privacy is niet gewaarborgd als er geen veiligheid is.” Voor groei zijn volgens haar ook zaken als vrijheid van meningsuiting van groot belang. Dat vanuit de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een greep naar meer invloed met het tonen van leiderschap wordt gedaan verwacht Van Dijk niet. “Leiderschap toon je door zelf je verantwoordelijkheden waar te maken en door anderen te stimuleren hun rol op te pakken en waar te maken. Voor een expansiedrift hoef je bij mij niet voor te vrezen.”
Over Wilma van Dijk
Het National Cyber Security Center valt onder de Directie Cyber Security van de Nationaal Coordinator Terrorisme Bestrijding en Veiligheid van het Ministerie van Veiligheid en Justitie. Wilma Van Dijk (1966) is in die structuur directeur Cyber Security. Zij heeft zij zich al langer beziggehouden met beveiliging de fysieke zin. Vanaf 2009 was ze directeur Beveiliging Burgerluchtvaart bij de toenmalige Nationaal Coördinator Terrorismebestrijding (NCTb), en aansluitend een van de kwartiermakers bij de totstandkoming van de huidige NCTV. In de periode 2012-2014 was zij daar tevens projectdirecteur Veiligheid Troonswisseling en projectdirecteur Nuclear Security Summit.
