Watersector: Kennsmaking met projectleider Michael Schoevaart
In dit interview maken we kennis met Michael Schoevaart, die vanaf eind november projectleider is voor de implementatie van ketenmaatregelen in de watersector.
Michael, hoe kwam je bij ons terecht?
‘Ik ben ingehuurd als ketenadviseur bij het Programma Versterken Cyberweerbaarheid in de watersector. Bij het bureau waar ik voor werk, Secura, ben ik senior security consultant en IT-auditor. Ik geef advies en toets de veiligheid van systemen zoals DigiD. Ik volg ook Ton Slewe eind november op en breid dan mijn taken uit met de projectleidersrol.’
Wat is je achtergrond?
‘Ik heb veel ervaring als projectleider in het informatiebeveiligingsdomein. Ik heb allerlei instellingen, bedrijven en organisaties ondersteund bij het verbeteren van hun informatiebeveiliging. Zo heb ik bijvoorbeeld verschillende waterschappen geholpen om de BIO te implementeren. Dat is de Baseline Informatiebeveiliging Overheid (BIO), het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Datzelfde deed ik voor het Waterschapshuis. Centraal in mijn loopbaan staat IT: er is veel overlap tussen wat ik eerder deed en wat ik nu voor Cyberweerbaarheid in de watersector doe.’
Wat leerde je uit je vorige werk?
‘Als je in de informatiebeveiliging werkt, heb je veel te maken met normen zoals de CSIR en BIO, die afgeleid is van de ISO27k-standaard. In zulke standaarden wordt heel sec opgeschreven waaraan je moet voldoen. Dit geeft houvast en richting: je hebt een maatregelenlijstje. Sommige zijn superconcreet, zoals de maatregel dat je tweefactor-authenticatie moet toepassen. Andere zijn meer hoog over, zoals dat je je productie- en beheernetwerkverkeer moet scheiden. Wat ik heb geleerd, is dat de context waarin je de maatregelen neemt belangrijk is. Want het implementeren en aanpassen van een beveiligingssysteem gaat bijna altijd in meer of mindere mate gepaard met een cultuurverandering. Zo’n verandering moet je niet te snel door willen drukken. Je moet veel praten en mensen geleidelijk zien te overtuigen van de noodzaak ervan. Dat kunnen lastige gesprekken zijn en het vereist de nodige diplomatie. Hulp van goede communicatiemedewerkers is daarbij wat mij betreft onmisbaar.’
Wat betekent het voor jou om met het bepalen van ketenmaatregelen bezig te zijn?
‘Voor mij symboliseert het een andere manier van denken. Ik heb gewerkt in de vreemdelingenketen en in de zorgketen. Daar zag ik dat een niet goed geregelde keten mensenlevens kan kosten. Op een gegeven moment raakten er in die ketens documenten zoek, waardoor mensen de zorg niet kregen die ze nodig hadden, met overlijden tot gevolg. Dat klinkt heftig, en dat is het ook. Je ziet het in minder heftige mate bijvoorbeeld terug in ketens waarin verschillende ketenpartners afhankelijk zijn van dezelfde leverancier. Als die leverancier uitvalt, heeft de hele keten daar last van. Daarom ben ik altijd op zoek naar gaten: hoe zit de keten in elkaar? Hoe zit het met de communicatie tussen ketenpartners onderling? Delen zij alle nodige informatie en weten ze genoeg van elkaar? Dekt alles elkaar goed af? Wat zijn de risico’s? Ik richt me daarbij op de maatregelen: wat kunnen we doen om de keten weerbaar te maken en houden?’
Wat hoop je te bereiken in dit project?
‘Ik vind het prettig om iets concreets op te leveren. Daarom ga ik de komende tijd ook werken aan een ketenrisicoregister. Ik wil voor alle regionale watersystemen een register opleveren waarin de belangrijkste risico’s staan vermeld. Die risico’s komen uit de analyses van TNO. Ik wil daarbij vooral ook aandacht geven aan de ketenmaatregelen. En antwoord geven op de vraag welke risico’s in de regio’s overblijven na het nemen van maatregelen, en welke van deze risico’s ze bereid zijn te accepteren. In het mooiste geval – en dat is ook een interessante conclusie – blijkt uit de analyses dat er geen risico’s overblijven. Maar als dit wel zo is, zullen we met bestuurders om tafel moeten. Zij zijn eindverantwoordelijk voor een veilige keten.’
Wat kunnen we van jou verwachten?
‘Je kunt van mij verwachten dat ik naar jullie op zoek ga. Ik ga de boer op en ga workshops organiseren met de ketenpartners om de ketenmaatregelen helder te krijgen. In elk geval ga ik naar de zes regio’s van de watersystemen. Ik ga het dan hebben over ketenmaatregelen en wat we daarin nog kunnen verbeteren. Daarnaast kun je altijd bij me terecht als je vragen hebt of ergens over wilt overleggen. Graag zelfs! Als we elkaar helpen, komen we tot mooie resultaten.’