Sjoerd Verheijden

Een ICT-systeem is een fort dat we moeten beveiligen

Sjoerd Verheijden
Chief security officer DICTU

Ontwikkelde ICT-kennis als trainer voor Microsoft. Studeerde management, economie en recht in Rotterdam. Werkt sinds 2016 bij DICTU.
Grootste hobby: samen met anderen nieuwe dingen ontdekken, of dat nu een plaats, lekker eten of concertbezoek is. Houdt daarnaast van gamen, hockeyen en legoën met zijn zoontje.

Als chief security officer (CSO) is Sjoerd Verheijden verantwoordelijk voor alles wat te maken heeft met informatiebeveiliging binnen DICTU. DICTU is een van de grote ICT-leveranciers van de overheid en beheert de onderliggende infrastructuren van verschillende rijksdiensten als de Rijksdienst voor Identiteitsgegevens en de Nederlandse Voedsel en Warenautoriteit.

Basisregistratie Personen

'DICTU is een van de grotere shared services organisaties van de Rijksoverheid. Overheidsklanten kunnen alles wat met ICT te maken heeft bij ons afnemen: applicaties, websites, databaseservers, cloud oplossingen en andere infrastructuur. Wij zijn van de 'build' en 'run': we maken een applicatie of systeem en richten die in, maar zorgen ook dat een systeem draaiende blijft. Als chief security officer zorg ik er met mijn team en collega’s in de lijn voor dat we dat ook veilig doen. Vaak gaat het om data in heel belangrijke administratiesystemen, zoals de Gemeentelijk Basisadministratie Persoonsgegevens Verstrekkingen (GBA-V). Daarin staan persoonsgegevens en wijzigingen van alle Nederlanders, zoals geboorte, verhuizing, huwelijk, vertrek naar het buitenland of overlijden.

Extra maatregelen bij persoonsgegevens

Hoe meer mensen toegang hebben tot een ICT-systeem, hoe kwetsbaarder. Wij moeten manieren bedenken om zo'n 'fort' te verdedigen. Bijvoorbeeld door middel van hoogwaardige encryptietechnologie. Want je moet zeker weten dat degene die data inziet of beheert, ook degene is die hij zegt te zijn. Als overheidsklanten vragen om een technische oplossing, is mijn eerste vraag dan ook altijd: zijn er persoonsgegevens mee gemoeid? Want in dat geval moet je altijd extra maatregelen nemen. Werken met persoonsgegevens kan leiden tot identiteitsdiefstal en andere privacygevoelige ellende. DICTU staat ervoor in dat als je een product bij ons afneemt, dat veilig is opgezet.

Slopers en bouwers

Ik stuur een team specialisten in informatiebeveiliging aan. Dit zijn ten eerste security officers, die precies weten hoe je wet- en regelgeving toepast in een technische oplossing en in werkprocessen. Dan zijn er de echte 'techies' in ons security operations center (SOC), zij kijken naar onze producten vanuit hackerperspectief. Als we een product releasen, mag er geen kwetsbaarheid meer in zitten. Onze eigen hackers maken een product bewust kapot en testen zo hoe je het kunt misbruiken. In het SOC hebben we ook nog monitoring specialisten die onze netwerken en systemen constant in de gaten houden, zodat we tijdig kunnen reageren op mogelijke aanvallen, virusuitbraken of ander onveilige activiteiten. Naast deze 'slopers' hebben we ook bouwers in het team: de cryptografie-architecten van topniveau die cryptografische oplossingen voor onze klanten bedenken en implementeren.

Crisis bij overheid heeft impact

Ik heb 18 jaar gewerkt voor winst en omzet. Nu werk ik voor de Rijksoverheid, omdat ik de inhoud in wilde. Beveiliging speelt hier een belangrijkere rol. Het ministerie van Economische Zaken en Klimaat is een interessantere target dan een gemiddeld bedrijf. Wanneer wij gehackt worden, ben ik verantwoordelijk om alles te doen om zo’n crisis op te lossen, met mijn team en alle betrokken directies van DICTU. En tot dat moment doe je alles om zo’n crisis te voorkomen. Dat betekent ontzettend veel samenwerken, omdat informatiebeveiliging nu eenmaal alle facetten van ons werk raakt. Hier word ik afgerekend op hoe ik gegevens van miljoenen Nederlanders bescherm, en niet op hoeveel omzet ik heb gedraaid aan het einde van het jaar.'