Afscheidsinterview CISO Roeland Reijers: “Zonder digitale autonomie lever je je organisatie uit aan de grillen van anderen.”

Na zeven jaar neemt Roeland Reijers, Chief Information Security Officer (CISO) van de UvA en de HvA, afscheid. Als CISO was hij verantwoordelijk voor het bewaken van de digitale veiligheid van de instellingen. Een mooi moment om hem een paar keuzes voor te leggen. Over storytelling, goede koffie, nieuwe wetgeving en het belang van een exitstrategie.

Koffie uit de automaat of van de Coffee Company?
“Die is makkelijk: de Coffee Company natuurlijk. Ik hou onwijs van goede koffie en uit de automaat komt gewoon een slappe bak. Het kost wat, maar dan heb je ook écht lekkere koffie. Vaak startte ik de week bij de Coffee Company op de Wibautstraat, maandagochtend om 08.00 uur, waar ik geregeld met teamleden en anderen van de HvA afsprak. We bespraken het weekend en keken vooruit naar de week. Het draaide niet alleen om de koffie, maar vooral om het informele samenzijn. Die gezellige vroege ochtenden ga ik missen.”

CVE’s analyseren of CvB’s adviseren?
“CvB’s adviseren. CVE’s zijn bekende kwetsbaarheden in IT-systemen en ons CERT (het Computer Emergency Response Team, dat cyberincidenten bij de UvA en HvA oplost) houdt zich er dagelijks mee bezig. Dat is niet mijn terrein. Pas als er zeer ernstige kwetsbaarheden zijn, word ik ingeschakeld. Mijn focus ligt bij het adviseren van het College van Bestuur. Dat is ook meteen het meest uitdagende deel van mijn werk: bestuurders en directeuren meenemen in het belang van informatiebeveiliging. Informatiebeveiliging wordt vaak gezien als lastig en tijdrovend, waardoor mensen er liever niet te veel bij stilstaan. Tegelijkertijd zijn er ontwikkelingen, zoals internationale samenwerking in onderzoek, die grote maar niet altijd zichtbare risico’s met zich meebrengen. Dan helpt storytelling: een verhaal neerzetten dat duidelijk maakt dat een risico direct kan raken aan het bestaansrecht van de universiteit, zoals de continuïteit van onderwijs, de waarde van diploma’s en de bescherming van onderzoek.”

UvA of HvA?
“Ha! Daar kan ik natuurlijk niet tussen kiezen. Het zijn twee prachtige organisaties, met een verschillende dynamiek. De universiteit is sterk gericht op wetenschappelijk onderzoek en werkt met zeer autonome faculteiten en onderzoekers. De hogeschool richt zich vooral op onderwijs, aangevuld met praktijkgericht onderzoek. Twee verschillende werelden en allebei hun eigen charme.

Die afwisseling tussen wo en hbo vind ik geweldig, net als het schakelen met verschillende bestuurders. Het CvB van de hogeschool is van oudsher al erg geïnteresseerd in risicomanagement, dat geeft meer interactie op bestuurlijk niveau. En mijn favoriete werkplekken zijn de Amstelcampus en het Roeterseiland. Daar loop je tussen de studenten en dat is waar ik het uiteindelijk allemaal voor doe.”

Digitale autonomie of Quantum computing?
“Digitale autonomie. Dit betekent dat je als organisatie altijd toegang hebt tot je eigen data en IT-systemen, zonder afhankelijk te zijn van de grillen van grote techbedrijven of buitenlandse politiek. De meeste organisaties, ook de UvA en HvA, hebben nog onvoldoende digitale autonomie. Ik zie dit al jaren als een groot probleem, maar sinds Trump weer aan de macht is, is er meer urgentie ontstaan. Je merkt dat steeds meer mensen wakker worden. Dat is positief. Een cruciale vraag bij de aanschaf van nieuwe systemen is: kun je ook zonder dit systeem of dienst als iemand er de stekker uittrekt? Wat is onze exitstrategie? In de praktijk wordt daar vaak niet over nagedacht. 

Dit onderwerp gaat overigens niet alleen om clouddienstverlening, maar over de hele technologie-stack – van grondstoffen tot de wereldwijde verbondenheid van al onze apparaten– en op alle lagen zijn we wereldwijd afhankelijk van anderen. Het valt direct op als de toegang tot clouddiensten wegvalt, maar het kan even duren voordat je merkt dat er chiptekorten zijn ontstaan, waardoor vervanging van je apparaten niet mogelijk is of heel duur wordt. 
Het is belangrijk dat we op korte termijn investeren in Europese alternatieven. Dat kost tijd en vraagt moed en lef, want medewerkers zullen moeten wennen aan andere software en hardware en misschien ook wat gebruikersgemak inleveren. Maar als we dat niet doen, blijven we kwetsbaar.”

NIS2: ja of nee?
“NIS2NEE, voor Hoger Onderwijs. Denk ik. De NIS2-richtlijn -in Nederland de Cyberbeveiligingswet (Cbw)- is nieuwe Europese wetgeving die zich richt op de weerbaarheid tegen cybersecurity risico’s. De richtlijn geldt voor organisaties in de kritieke infrastructuur en haar leveranciers. Inhoudelijk is er helemaal niets mis mee en werken we ook al langere tijd om vergelijkbare maatregelen in te voeren. Maar ik vind het toch raar dat ook het hoger onderwijs is aangewezen onder de NIS2. We wijken daarmee af van andere Europese landen en er is op nationaal niveau geen heel groot probleem als een universiteit of hogeschool tijdelijk uitvalt. Natuurlijk is het vervelend dat dan onze studenten even niet kunnen studeren, maar het geeft niet direct maatschappelijke ontwrichting, zoals een verstoring in de drinkwater- of energievoorziening dat wel doet. Het naleven van de NIS2 betekent voor instellingen veel extra administratief werk, wat niet direct bijdraagt aan een veiligere hogeschool of universiteit en niet in verhouding staat tot de impact van een tijdelijke IT-uitval. Maar goed, het besluit is gevallen en we hebben er aan te voldoen. Dus toch maar NIS2JA.”

Hack bij de Universiteit Maastricht of de UvA HvA hackaanval?
“Beide aanvallen zijn heel belangrijk geweest voor de UvA en de HvA en voor mij als CISO. Vlak voor kerst 2019 vertelde de CISO van Universiteit Maastricht me telefonisch dat de universiteit gehackt was. Op kerstavond zat ik met ICTS-collega’s om een plan te maken om onze instellingen te beschermen tegen een soortgelijke aanval. De hack op de Universiteit Maastricht was voor de hele sector een wake-up call. Kort daarna hebben we bij ICTS een Security Operations Center (SOC) ingericht om incidenten sneller te kunnen detecteren. Dat bleek cruciaal: in februari 2021 ontdekte ons SOC nét op tijd dat wij zelf gehackt waren. Daardoor konden we ingrijpen voordat het netwerk op slot werd gezet. Er zijn gelukkig geen bedrijfs- of HR-data buitgemaakt, maar het oplossen vroeg enorm veel inspanning.

Sectorbreed delen we veel informatie en leren we van elkaar, zeker sinds de hack bij de Universiteit Maastricht. Alle instellingen begrijpen hoe belangrijk deze samenwerking is voor de digitale weerbaarheid van de hele sector. Ik heb hier altijd veel energie in gestoken. Ook hebben we binnen de UvA en HvA een groot verbetertraject opgezet. Toch zijn we nog lang niet klaar. Neem multifactor-authenticatie (MFA): dat is in 2025 nog steeds niet volledig ingevoerd. Soms denk ik: hoe kan dat, na die hack in 2021, en na al die in de media gekomen datalekken bij andere bedrijven? Maar het is een complex traject met veel stakeholders die je allemaal moet meenemen.”

Amsterdam of Den Haag?
“Allebei geweldige steden. In Amsterdam heb ik de afgelopen jaren met veel plezier gewerkt en ik heb er vlak bij de Jordaan gewoond, een prachtig stuk stad. Wat betreft Den Haag, daar ben ik ben opgegroeid en heb er meer dan tien jaar bij verschillende ministeries gewerkt. Straks word ik CISO van het Ministerie van OCW, óók in Den Haag. 
In mijn nieuwe functie blijf ik betrokken bij de sector, maar breder dan hbo en wo. OCW omvat ook primair en voortgezet onderwijs en cultuur. De reden dat ik juist CISO wil zijn bij kennisinstellingen of een ministerie, is dat deze organisaties een groot publiek belang dienen. Hier kan ik echte waarde toevoegen.”

Auteur

Reacties

Dit artikel heeft 0 reacties