Kennisproducten met impact: de wereld veranderen met een pdf

Weblogbericht | 01-02-2022 | NCSC

Om die vragen te beantwoorden, moeten we eerst terug naar de kern van wat een kennisproduct is: een pdf op een overheidswebsite. Dat klinkt misschien niet zo hoogdravend, maar al het verbloemend taalgebruik over expertiseposities en kennisautoriteiten maakt het moeilijker om te begrijpen hoe we het verschil maken. Want een pdf op een overheidswebsite, dat is nog niks. Er staan heel veel pdf's op overheidswebsites. Hoe wordt de wereld daar nou digitaal veiliger van?

Sommige teksten op overheidswebsites hebben wél veel impact. Neem bijvoorbeeld de wetten op https://wetten.overheid.nl. Mensen zijn verplicht om zich aan die wetten te houden, en de overheid handhaaft ook als ze dat niet doen. Verplichting en handhaving maken een wet effectief: als je hem maakt, kun je verwachten dat mensen zich er min of meer aan zullen houden.

Daar zit de moeilijkheid bij kennisproducten, want waar wetten een verplichtend karakter hebben, zijn onze kennisproducten volstrekt vrijblijvend. Niemand in Nederland (of daarbuiten) hoeft iets te doen, alleen maar omdat wij het zeggen. Het NCSC heeft, zoals dat heet, geen normstellende bevoegdheid. Dat lijkt een groot nadeel, dat je een club hebt die weet hoe het moet, maar dat het vervolgens niet verplicht is om te doen wat die club zegt! Maar het heeft ook voordelen. Want als je een wet schrijft, wil iedereen er iets van kunnen vinden, juist omdat een wet normstellend is. Daarom beslist niet een individuele ambtenaar of minister, maar de hele Staten-Generaal (de Eerste en Tweede Kamer) welke wetten er in Nederland gelden. Als onze adviezen ook een verplichtend karakter zouden krijgen, zou dat het geven van die adviezen een heel stuk lastiger maken.

Maar goed, niemand is dus verplicht om te doen wat wij zeggen. Dat betekent dat je pdf niks doet, tenzij er mensen zijn die hem willen downloaden en lezen, en de inhoud toepassen. Met andere woorden, je bent afhankelijk van de motivatie van je potentiële publiek. Als niemand aan de slag gaat met wat wij schrijven, kunnen we het net zo goed niet schrijven.

Een gemotiveerd publiek: pleiters en falers

Maar wie is dan dat gemotiveerde publiek voor onze pdf's? Wie is er op zoek naar wat wij schrijven? Een eerste verwachting is dat het gaat om mensen die op zoek zijn naar informatie. Zij willen bijvoorbeeld weten hoe je het beste backups kunt maken, of hoe je een ransomware-aanval afslaat. Maar vergis je niet: er is voor die mensen al héél veel goede informatie online beschikbaar, bij onze internationale partners, maar ook bijvoorbeeld al op Wikipedia. We proberen te vermijden om kennisproducten te schrijven die ieder ander ook had kunnen schrijven. Want waarschijnlijk hebben die anderen dat al gedaan.

Nee, de belangrijkste reden om onze kennisproducten te downloaden, staat bovenaan de eerste pagina: het Rijksoverheidslogo, en de naam "Nationaal Cyber Security Centrum". Want soms maakt zo'n naam en zo'n logo heel veel uit. Dat zijn de onderwerpen waar ons schrijfwerk echt het verschil kan maken: als autoriteitsargument met inhoudelijke diepgang.

Hoe ziet dat er in de praktijk uit? Neem een klassieke factsheet (een van Pieter’s eerste): "Stop met gebruik Windows XP". Deze factsheet, over het stoppen met Windows XP vóór dat besturingssysteem geen softwareupdates meer kreeg, kwam uit in oktober 2013. Een halfjaar later zou Microsoft daadwerkelijk stoppen met de support voor Windows XP. Dat was op dat moment geen verrassing. Het was al jaren bekend, maar veel organisaties maakten nog niet echt vaart met de migratie naar nieuwere versies. Onze factsheet was dus niet zozeer een informatiebron, als wel een argument dat mensen intern in konden zetten. Als een ict-manager de migratie van Windows XP geen prioriteit gaf, kon je hem deze factsheet laten zien. Als hij dan nog niet bewoog, dan kon hem later verweten worden dat hij een advies van het Nationaal Cyber Security Centrum in de wind had geslagen, en dat de organisatie daardoor in de penarie zat. Hij kon dan niet meer het excuus gebruiken dat hij het niet had geweten.

Is die ict-manager dan ons publiek? Bijna. Er is een nóg belangrijkere hoofdrolspeler in dit verhaal, namelijk degene die de factsheet downloadt en aan de ict-manager opstuurt om haar argumenten kracht bij te zetten. We noemen deze persoon de pleiter. Zij is degene die wéét wat er nodig is in haar organisatie, maar die telkens nul op het rekest krijgt als ze erom vraagt. Degene bij wie ze erom vraagt, de formeel verantwoordelijke dus, noemen we de faler. De faler is degene die faalt vanuit een cybersecurityperspectief: wat hij doet of nalaat, maakt de organisatie onveiliger. De faler zou kúnnen besluiten om het goede te doen, maar doet dat om uiteenlopende redenen niet.

Onze kennisproducten schitteren in de wisselwerking tussen de pleiter en de faler. De pleiter heeft namelijk het inhoudelijk inzicht én de motivatie om ons kennisproduct te downloaden, en ze weet ook de weg in de organisatie naar de faler, degene op wiens tafel het moet belanden om impact te hebben. Natuurlijk zouden we een-op-een met de pleiter en faler om de tafel kunnen gaan zitten, en soms doen we dat ook. Maar een publicatie schaalt veel beter. Met een factsheet op het juiste moment, helpen we duizenden pleiters tegelijk.

De praktijk

Door de jaren hebben we deze methode vaak met succes ingezet. Telkens als we hoorden dat er ergens sprake was van een pleiter-faler-dynamiek, overwogen we of wij daar het verschil konden maken met een inhoudelijke publicatie, mét Rijksoverheidslogo. De factsheet over Windows XP (2013) is hiervan een voorbeeld.

Een ander voorbeeld is de factsheet Goede bulkmail lijkt niet op phishingmail (oktober 2015). Deze factsheet gaat over het opstellen van bulkmail, zoals e-mailnieuwsbrieven en geautomatiseerde notificaties. Een doorlopende frustratie van veel cybersecurityprofessionals is dat deze e-mails vaak sprekend lijken op phishingmails, waardoor het voor gebruikers moeilijker wordt om het onderscheid te maken tussen phishingmails en legitieme bulkmails. Deze professionals zijn in dit geval de pleiters. De falers zijn de opstellers van deze e-mails, de contentmarketeers en de functioneel beheerders. De pleiters waren gemotiveerd om onze publicatie te downloaden en op te sturen, omdat ze argumenten zochten om de verzenders tot veranderingen aan te zetten. Hopelijk zou onze  naam de falers ertoe bewegen die veranderingen inderdaad door te voeren. Om onze argumenten kracht bij te zetten, was deze factsheet bijvoorbeeld ook afgestemd met de Dutch Direct Marketing Association, de branchevereniging van verzenders van bulkmail.

Hoewel wij zelf geen normstellende bevoegdheid hebben, worden sommige van onze adviezen na publicatie wel degelijk verplicht. Dat geldt bijvoorbeeld voor twee van onze whitepapers, de ICT-beveiligingsrichtlijnen voor webapplicaties (webrichtlijnen) en voor Transport Layer Security (TLS-richtlijnen).

De webrichtlijnen zijn ooit opgesteld als reactie op Lektober, een campagne in 2011 waarin toenmalig journalist Brenno de Winter bij techwebsite Webwereld elke dag van oktober een nieuw lek in een (overheids)website publiceerde. Jazeker, dit was nog vóór de grootschalige aandacht voor CVD in Nederland. De richtlijnen zelf waren niet verplicht, net als al onze andere publicaties. Maar de richtlijnen hebben wel de basis gevormd voor de zogenoemde DigiD-norm, de regels waar een website aan moet voldoen om op DigiD aangesloten te mogen worden. Tot op de dag van vandaag bestaat die norm uit een selectie van regels uit ons document - voor verdere details verwijzen ze naar de webrichtlijnen zelf.

De TLS-richtlijnen kennen een vergelijkbare geschiedenis. In 2013 werd in de Snowden-onthullingen duidelijk dat er kanttekeningen te plaatsen waren bij de rol van de Amerikaanse overheid als internationale voorloper bij de keuze voor cryptografische standaarden. We begrepen dat er, los van de Amerikaanse adviezen, ook 'eigen' adviezen voor Nederland nodig zouden zijn. We kozen voor een focus op TLS, omdat TLS het meestgebruikte encryptieprotocol op internet is, en omdat er in TLS veel cryptografische algoritmes worden gebruikt die ook op andere plaatsen opduiken. Door het raadplegen van het NBV en academici van de Technische Universiteit Eindhoven, kwamen we in 2014 tot een advies dat onafhankelijk van de Amerikaanse koers standhield. Door de jaren heen hebben de TLS-richtlijnen een steeds stabielere positie ingenomen. Zo gebruikt de populaire testwebsite internet.nl ze als norm om tegen te testen. Ook is de toepassing van de TLS-richtlijnen verplicht voor overheidsorganisaties (pas toe of leg uit). En toepassing van de TLS-richtlijnen in https wordt wettelijk verplicht, via de Wet digitale overheid (wetsvoorstel). Eerder heeft de Autoriteit Persoonsgegevens al geoordeeld dat het toepassen van de TLS-richtlijnen (en de webrichtlijnen) de juiste manier is om TLS in te richten wanneer je persoonsgegevens verwerkt of uitwisselt.

Conclusie: de hefboom van de ander

Kennisproducten kunnen het verschil maken, maar alleen wanneer we ze slim inzetten: dat is de les uit jarenlange onderwerpselectie en kiezen voor impact. We kunnen er anderen mee vooruit helpen, maar alleen wanneer ze zelf al gemotiveerd zijn om een probleem aan te pakken. Zo gebruiken we het enthousiasme van anderen om onze missie, een digitaal veiliger Nederland, dichterbij te brengen. We kunnen er bestaande initiatieven mee versterken, en zo de impact van anderen vergroten. Dit maakt onze positie eigenlijk altijd ondersteunend in plaats van leidend: alleen als je opportunistisch inspringt op de activiteiten en het enthousiasme van de ander, kun je iets veranderen. Maar áls je dan op het juiste moment komt, dan kunnen de gevolgen ook groots zijn. De positie van de ander, gecombineerd met onze naam en kennis, kan dan de wereld veranderen.

Pieter Rogaar & Maarten Aertsen