Maak kennis met Verena Hoogerwerf
“Wacht niet tot het te laat is. Een praktische eerste stap is zorgen dat je basis op orde is. Breng in kaart wat je allemaal in huis hebt, wat je kroonjuwelen zijn en waar eventueel kwetsbaarheden zitten. Pak die aan. Kijk ook of er binnen je organisatie voldoende kennis is, en waar eventueel nog behoefte is aan training. Op onze website vind je trainingen die hierbij kunnen helpen.”
Wie ben je?
Ik ben Verena Hoogerwerf, programmasecretaris voor het programma Versterken Cyberweerbaarheid Milieu en Internationaal. Ik heb altijd al interesse gehad in dit vakgebied, mede vanuit mijn hobby’s. Vooral ICT en digitale weerbaarheid spraken me aan. Tijdens mijn studie Criminologie is die interesse verder gegroeid. Zo ben ik uiteindelijk de cyberwereld ingerold. Ik heb vervolgens drie jaar gewerkt bij een cybersecuritybedrijf en ben nu zo’n drie kwart jaar werkzaam bij het ministerie van Infrastructuur en Waterstaat.
Welke ervaring heb je met jouw sector?
Na mijn tijd in de commerciële sector had ik de behoefte om organisaties op een andere manier te ondersteunen. Ik wilde graag onderzoeken of ik binnen de overheid aan de slag kon gaan. Vanuit de overheid wordt immers veel bepaald op het gebied van wet- en regelgeving en beschikbare hulpmiddelen. Zo kwam ik bij dit programma terecht, via een vacature die ik vrijwel meteen met enthousiasme heb opgepakt.
In mijn vorige functie hield ik me bezig met het oplossen van heel specifieke hulpvragen van individuele bedrijven. Er was toen weinig aandacht voor de onderliggende, sectorbrede problemen. Bij de overheid is dat juist wél mogelijk. Als ministerie richten we ons op de sectoren waarvoor we verantwoordelijk zijn, met als doel hun cyberweerbaarheid structureel te verbeteren. Zo kunnen we brede knelpunten aanpakken en bijvoorbeeld via wetgeving maatregelen treffen die voor een hele sector van betekenis zijn. Op die manier kunnen we echt impact maken.
Waarom zet je je in voor het programma Versterken Cyberweerbaarheid Milieu en Internationaal?
Ik heb gewerkt in incident response, wat betekent dat je pas wordt ingeschakeld als het eigenlijk al te laat is. Dan zie je vaak dat bedrijven veel ellende hadden kunnen voorkomen als ze eerder passende maatregelen hadden genomen. Dat is zonde. Daarom wil ik nu juist aan de voorkant bijdragen door organisaties handvatten te geven om hun basis op orde te krijgen en zo het risico op een aanval te verkleinen.
Een voorbeeld: in één geval was een essentiële update niet uitgevoerd, waardoor bekende kwetsbaarheden nog steeds aanwezig waren. Er bestond zelfs al een proof of concept om die kwetsbaarheden uit te buiten. Daardoor was het voor aanvallers bijna kinderspel om binnen te dringen en ransomware te installeren. Er was bovendien geen sprake van netwerksegmentatie — of in elk geval onvoldoende — en er was niets getest. Helaas komt dat nog steeds vaak voor.
Als je dan bij zo’n organisatie binnenkomt, zie je hoe eenvoudig de aanval is uitgevoerd. Ook het herstelproces is vaak problematisch. In dit geval was de back-up nog steeds verbonden met het netwerk, waardoor ook die werd getroffen en niet meer beschikbaar was. Het laat zien hoe belangrijk ogenschijnlijk kleine maatregelen zijn, zoals goed patchmanagement of je back-ups testen.
Als je daar vaste momenten voor inplant of updates direct doorvoert, verklein je het risico aanzienlijk. Het probleem is dat bedrijven soms terughoudend zijn, omdat updates of tests tijdelijk de productie kunnen stilleggen. Maar de schade van een ransomware-aanval is vele malen groter. Die afweging wordt helaas nog te vaak onderschat. Een aanval komt immers nooit uit, maar je kunt er wél op voorbereid zijn.
Waarom is dit programma in jouw ogen belangrijk?
We leven op dit moment in een snel veranderende wereld, waarin de dreigingen toenemen. Het gaat niet alleen om criminelen die uit zijn op snel geld, maar ook steeds vaker om statelijke actoren. Deze actoren zijn gericht op het verkrijgen van gevoelige informatie, maar ook op het daadwerkelijk verstoren van onze vitale infrastructuur. Daarover verschijnen steeds vaker alarmerende signalen, zoals ook blijkt uit het recente jaarverslag van de MIVD. Dat laat duidelijk zien dat er nog veel werk te doen is.
Vooral op het gebied van onze vitale infrastructuur is de urgentie groot. Ik vind het daarom belangrijk dat dit programma bedrijven ondersteunt door hen handvatten te bieden om hun cyberweerbaarheid te vergroten. Zo kunnen zij zich beter weren tegen aanvallen en incidenten.
Hoe zet je je in voor het programma?
Ik vervul eigenlijk een tweeledige rol. Aan de ene kant ben ik programmasecretaris van het programma. Samen met de programmamanager, Daniëlle, ben ik verantwoordelijk voor de inhoud en voor alles wat nodig is om het programma en de bijbehorende projecten goed te laten verlopen. Denk daarbij aan het up-to-date houden van de website, het verzorgen van de nieuwsbrief, het bewaken van de voortgang van lopende projecten en het behouden van overzicht en coördinatie.
Daarnaast ben ik ook beleidsmedewerker, specifiek op het gebied van cybersecurity binnen de afvalstoffenbeheersector. Hierbij werk ik samen met Steffen en Schelte. De sector valt sinds kort onder de cyberbeveiligingswet en vraagt daarom extra aandacht. Op dit moment bevinden we ons in een verkennende fase. Zo zijn we gestart met een onderzoek naar de cyberweerbaarheid van deze sector, en er staan nog andere onderzoeken gepland die ons een beter beeld moeten geven. Op basis daarvan ontwikkelen we onder andere een handreiking om bedrijven te helpen hun leveranciersketen beter in kaart te brengen. De resultaten en gesprekken met bedrijven en brancheverenigingen helpen ons bepalen welke activiteiten en projecten nodig zijn om de cyberweerbaarheid van afvalbedrijven te versterken.
Wat zou je willen zeggen tegen de partijen in jouw sector?
Mijn belangrijkste boodschap is: wacht niet tot het te laat is. Kijk nu al wat je als organisatie zelf kunt doen om je cyberweerbaarheid te versterken. Een goed begin is om onze website te raadplegen en op de hoogte te blijven van actuele ontwikkelingen. Je kunt je inschrijven voor activiteiten en de nieuwsbrief, zodat je regelmatig informatie en tips ontvangt.
Daarnaast staan we altijd open voor contact. Loop je ergens tegenaan op het gebied van cyberweerbaarheid of heb je ideeën die je wilt delen? Neem gerust contact met ons op via de website of ons e-mailadres (cyberweerbaarheidmilieuinternationaal@minienw.nl). We denken graag mee — samen komen we verder.
Een praktische eerste stap is zorgen dat je basis op orde is. Breng in kaart wat je allemaal in huis hebt, wat je kroonjuwelen zijn en waar eventueel kwetsbaarheden zitten. Pak die aan. Kijk ook of er binnen je organisatie voldoende kennis is, en waar eventueel nog behoefte is aan training. Op onze website vind je trainingen die hierbij kunnen helpen.