Spring naar content

Fleur van Leusden (CISO bij de Kiesraad): “Security-verantwoordelijkheid kun je nooit volledig afschuiven op een IT-dienstverlener.”

De functie van Chief Information Security Officer is door de toegenomen cybersecuritydreiging alleen maar belangrijker geworden. En als je in die hoedanigheid voor de Kiesraad werkt, rust ook nog eens de druk van de Nederlandse Democratie op je schouders. Cybersecurity-redacteur Jan Meijroos sprak Fleur van Leusden over het geven van advies, verantwoordelijkheid van directie én IT-leveranciers en ‘de puurste vorm van security’.

Fleur, hoe word je CISO bij de Kiesraad?

Fleur: “Ik ben criminoloog en heb criminologie gestudeerd aan de VU, maar had altijd al veel interesse in technologie. Als kind bouwde ik websites en maakte ik aanpassingen voor games. Tijdens mijn studie had ik tech-bijbaantjes, zoals bij Adobe, TomTom en Ziggo), waar ik veel leerde over internettechnologie en IP (Internet Protocol-adres; uniek ‘adres’ voor apparaten verbonden aan het internet – red.). Na mijn opleiding vond ik een vacature als internetspecialist bij de recherche in Amsterdam—de perfecte combinatie van mijn studie, interesse en hobby. Zo rolde ik het vak in en uiteindelijk kwam ik bij de Kiesraad terecht.

Het werk als CISO blijft mijn ideale baan, want het combineert technologie met criminaliteit, afwijkend gedrag en verdediging tegen aanvallen.”

Was het een bewuste keuze om bij een overheidsinstantie aan de slag te gaan?

Fleur: “Ja, ik heb eigenlijk mijn hele carrière voor de overheid gewerkt, op een kleine uitzondering na. Ik ben begonnen bij de politie, heb gewerkt bij de Onderzoeksraad voor Veiligheid en de Autoriteit Consument & Markt. Mijn enige uitstapje was naar consultancy, maar zelfs toen werkte ik via Capgemini alleen voor overheidsinstanties, zoals Defensie en het Nederlands Forensisch Instituut.

Niet elk bedrijf heeft een CISO in dienst, vaak besteden mkb’ers hun IT uit. Dan neemt een externe IT-partij eigenlijk min of meer de rol van CISO op zich. Dat kan goed gaan, maar het brengt ook risico’s met zich mee.

Fleur: “Dat is inderdaad een lastige kwestie. Je kunt mkb’ers maar beperkt belasten met dit soort vraagstukken. Ze hebben niet de schaalgrootte om een eigen security-expert aan te nemen, en het inhuren van tijdelijke specialisten is peperduur. Bovendien beheren ze vaak nauwelijks hun eigen IT-infrastructuur. Daarom zou wat mij betreft de verantwoordelijkheid voor security meer moeten liggen bij de IT-serviceproviders, de managed service providers (MSP’s).”

Leg eens uit?

Fleur: “Een goed voorbeeld: mijn vader heeft een klein mkb-bedrijf. Ik heb ooit geprobeerd om bij zijn mailprovider SPF-records (*) ingesteld te krijgen om phishing te voorkomen. Dat was een nachtmerrie. Men vond het onnodig en ingewikkeld. Terwijl mijn vader – een makelaar – helemaal niet weet wat SPF-records zijn. En eerlijk gezegd hoeft hij dat ook niet te weten. Voor veel mkb’ers is cybersecurity een bijzaak, maar natuurlijk wel cruciaal voor hun veiligheid.”

(*) Een SPF-record (Sender Policy Framework) is een beveiligingsmaatregel voor e-mail. Het helpt voorkomen dat cybercriminelen e-mails versturen namens jouw domeinnaam (bijvoorbeeld jouwbedrijf.nl), een techniek die bekendstaat als spoofing.

Hoe zie jij dan de rol van directies van mbk-bedrijven in deze?

Fleur: “Ook die moeten zich hierin uiteraard verdiepen. Het is niet zo dat je, zodra je een IT-partner hebt ingeschakeld, achterover kunt leunen en veilig kunt slapen.

Ook de directie blijft eindverantwoordelijk. Je koopt of huurt een IT-dienst in, maar de keuzes die je maakt, blijven jouw verantwoordelijkheid. Ik zeg dit ook regelmatig binnen de overheid. Soms wordt gedacht: ‘We hebben dit ingekocht, dus de verantwoordelijkheid ligt nu bij die externe partij.’ Maar dat hangt er helemaal vanaf wat je precies inkoopt en hoe.”

Kun je een concreet voorbeeld geven?

Fleur: “Stel, wij als Kiesraad kopen een IT-dienst in en die partij wordt gehackt, waardoor onze data op straat ligt. Wie is dan gehackt in de ogen van de burger?

Voor de buitenwereld kan dat best ambigu zijn. Burgers kunnen denken: ‘De Kiesraad is gehackt’, want het was onze data, ook al lag de verantwoordelijkheid misschien deels bij de IT-dienstverlener.

Er was bijvoorbeeld een gemeente die een rechtszaak had tegen hun MSP. Die MSP was gehackt, waardoor gemeentelijke data op straat kwam te liggen. De gemeente zei: ‘Dit is hun schuld, ze hadden het beter moeten beveiligen.’ De MSP verweerde zich met: ‘Jullie gebruikten een extreem zwak wachtwoord, namelijk gewoon de naam van de gemeente. Dat is niet onze fout.’

De rechter gaf de MSP gelijk en wees de schadeclaim van de gemeente af. De gemeente had zelf een sterker wachtwoord moeten instellen.”

Wat leert dit ons?

Fleur: “Dat je je verantwoordelijkheid niet volledig kunt afschuiven op een dienstverlener.

Als jij post-its met wachtwoorden op je scherm plakt, of als je op een onverantwoordelijke manier omgaat met je IT-beheer, dan ben je zelf aansprakelijk. Je kunt niet alles neerleggen bij de serviceprovider. Er is een grens: natuurlijk moet een MSP zijn werk goed doen en veiligheid bieden, maar bedrijven hebben zelf ook een basisverantwoordelijkheid.”

Heb je nog meer adviezen die ook breder toepasbaar zijn?

Fleur: “Ja, een van de dingen die ik vaak zeg als het gaat om risicoacceptatie is:

Risico’s volledig elimineren is onmogelijk; niets is 100% cyberveilig. Maar als je een risico accepteert, besef dan dat dit ook het verhaal is dat je aan de buitenwereld vertelt als het misgaat.

Als je een maatregel te duur of te onhandig vindt, prima – maar als de pers of de politiek vragen stelt, moet je daar achter kunnen staan. Is dat een uitleg waar je comfortabel mee bent?”

Hoe adviseer jij?

Fleur: ‘Ik probeer mijn adviezen zo te formuleren dat er een keuze is. Niemand vindt het prettig om simpelweg te horen: ‘Je moet linksaf.’ Dat roept alleen maar weerstand op.

Daarom geef ik altijd adviezen in drie smaken: niets doen en de risico’s accepteren, een gedeeltelijke oplossing met bepaalde kosten en impact, of een andere aanpak met andere kosten en risicoreductie. Mijn advies als CISO is meestal optie 2, omdat die het beste past bij ons risicoprofiel, met een onderbouwing erbij. Bestuurders maken uiteindelijk de keuze, soms volgen ze mijn advies op, soms niet – wat logisch is, omdat zij bredere belangen moeten afwegen.

Dus security is niet het enige belang dat speelt binnen de Kiesraad?

Fleur: “Precies. De Kiesraad draait niet om security; security ondersteunt onze bredere taak. Mijn rol is ervoor zorgen dat we die veilig kunnen uitvoeren, zonder het werk te blokkeren. Bestuurders kunnen andere prioriteiten stellen dan mijn advies, en dat is verdedigbaar—zolang er een goed verhaal achter zit. Voor mij is security altijd het belangrijkste, maar voor de organisatie spelen ook andere factoren mee.”

Fleur’s podcast kun je hier luisteren:

Spotify: https://shorturl.at/zDQ0I
Apple Podcasts: https://tinyurl.com/yujuduhz
YouTube: https://www.youtube.com/@CISOpraat

Gerelateerde artikelen

Flink meer cyberaanvallen op productiemachines en installaties

Digitale veiligheid in de verkiezingsprogramma’s 2025

Brancheorganisaties stimuleren gebruik van NIS2 Cyber Score

Financiën en cybertechnische zaken hebben invloed op elkaar

Waarom ‘wij gebruiken Office365 dus zijn we veilig’ niet meer genoeg is
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht