Loopbaan
De carrière van VWS-CISO Oscar Koeroo
‘Crisisoefeningen vormen de rode draad in mijn loopbaan.’
‘Crisisoefeningen vormen de rode draad in mijn loopbaan.’
Oscar Koeroo (41) groeide op in de Haagse Schilderswijk, waar hij naar hartenlust kon ‘aanklooien’ op de computers van zijn vaders zaak. Inmiddels kent hij ook bestuurlijk Den Haag op zijn duimpje als CISO bij het ministerie van VWS. Een combinatie van vergaande technische skills en een vlotte babbel brengen Koeroo op posities met een grote verantwoordelijkheid.
Als CISO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) staat Koeroo voor enorme uitdagingen: de IT-systemen van het ministerie dichthouden en daarnaast ook een steentje bijdragen aan de gehele digitale veiligheid van de Nederlandse zorgsector. Koeroo zijn IT-carrière begon in de jaren negentig in de roemruchte Haagse Schilderswijk, waar hij opgroeide en tot na zijn studie heeft gewoond.
Opgroeien in de Schilderswijk
“Ik kom uit de achterbuurt, zeg ik wel eens. Ik was vroeger veel aan het gamen met vriendjes uit de buurt. Het maakte met zoveel nationaliteiten en culturen om je heen niet meer uit of je Turks, Chinees of Nederlands bent.” Zijn achtergrond helpt hem nog altijd in zijn werk. “Het omgaan met cultuurverschillen: er zijn bestuurders die hun hele leven in het ambtenarenwereldje werken, maar ook voormalig hackers die IT-functies hebben. Daar zit qua taalgebruik en omgangsvormen een enorm verschil tussen. Het vergt behoorlijk goede sociale vaardigheden om daarmee om te gaan.”
Terugdenkend aan zijn jeugd in de Schilderswijk, komt hij al snel bij zijn opa uit die televisies en radio’s repareerde. “En mijn vader deed dat vervolgens met elektronica repareren. Ik zette de volgende stap, door me op computers te storten.” Op jonge leeftijd mocht Koeroo naar hartenlust alle apparatuur ontdekken. “Toen ik een jaar of 4 was rommelde ik al aan op een Apple II.” Hij werd door schade en schande al snel wijs in de IT. “De eerste thuiscomputers mocht ik ook volop ontdekken. Ik kreeg die van mijn vader altijd wel weer stuk. Zo leerde ik computers goed kennen. Er kwam van alles voorbij: DOS, Windows, Windows NT. Ik raakte er vertrouwd mee en kon steeds meer op mijn eigen kennis bouwen.” Lachend: “En ja: er kwam net als nu toen al stress bij kijken, als mijn vader zijn administratie wilde doen en weer eens riep dat ik de computer had gesloopt.”
IT-uitdagingen in de zero’s
Natuurkunde had zijn interesse, maar vanwege zijn handigheid met computers koos Koeroo als tiener toch voor een HBO-studie Informatica aan de Haagse Hogeschool, met softwareontwikkeling als specialisatie. “Ik was bezig met systeembeheer en software en volgde alleen exacte vakken.” Een aantal jaar werkte hij ook achter de kassa in een supermarkt. “Een ‘natural fit’: ik deed iets met knopjes en had interactie met allerlei mensen.” Daarnaast hielp hij zijn vader bij een aantal IT-klussen. Zo ontwikkelde hij als 19-jarige de software van meerdere alarmcentrales voor de brandweer, waar zijn vader parttime werkte. “Ik schreef de software waarmee hele grote borden werden aangestuurd. Applicaties waarmee je in één oogopslag kan zien waar voertuigen zijn.” Er komen allerlei herinneringen boven bij Koeroo. “Het moest ‘mission critical’ zijn en zeker niet stuk kunnen. Een uitdaging: één computer moest worden aangesloten op acht van deze borden. Een typische IT-uitdaging uit de zero’s dus. Ik vond het echt megaspannende opdrachten.”
‘Ik had geen flauw idee waar ik aan begon’
Tijdens zijn studie werkte hij ook nog even bij TSA Delft, een softwareontwikkelaar op gebied van kantoorautomatisering. “Een hartstikke leuke baan met fijne collega’s, maar het was na verloop van tijd voor mij te repeterend. Ik kon aan de software iets toevoegen, wijzigen of verwijderen. Die drie dingen deed ik. Ik werd er een beetje simpel van.” Voor zijn opleiding volgde hij een presentatie van het Nationaal Instituut voor Kernfysica en Hoge Energie Fysica (NIKHEF). Koeroo was gelijk verkocht en solliciteerde in 2003 toen hij was afgestudeerd. “Ik vond het gaaf, maar ik had toen eigenlijk geen flauw idee waar ik aan begon. Van de een op de andere dag at ik mijn boterhammetjes tussen natuurkundigen die aan het begin hadden gestaan van het internettijdperk. Zij waren betrokken geweest bij de komst van de eerste web servers en diverse internetprotocollen, internetstandaarden en de hele internetsociety van die tijd. Dat vond ik razend interessant.”
Crisisoefeningen ontwikkelen
Koeroo bloeide bij NIKHEF helemaal op en snoof tijdens lunches alle kennis die zijn collega’s deelden op. “Dat was eigenlijk alleen maar bijvangst. Mijn functie bij NIKHEF was om de wetenschappers veilig hun berekeningen te laten maken en wetenschapsdata veilig op te laten slaan. Koeroo kreeg in die periode te maken met grote vraagstukken over IT-architectuur, interoperabiliteit en hij schreef er zelfs diverse papers over. “NIKHEF werkte samen met internationale onderzoeksinstituten, zoals Stanford, INFN en CERN. Dit begon met 10 datacenters, na mijn vertrek waren het er 550. Ik had verreweg de laagste opleiding, maar schreef gewoon lekker mee. Op latere momenten gaf ik ook securitytrainingen voor crisissituaties aan gelieerde organisaties.
Crisisoefeningen hebben voor Koeroo als een rode draad door zijn carrière gelopen. In 2010 ontwikkelde hij voor NIKHEF voor het eerst een oefening waarbij een organisatie wordt aangevallen door een door Koeroo geschreven botnet. ‘Slachtoffers’ moesten geïnfecteerde bestanden binnen een bepaalde tijd opsporen. “Het voornaamste ervan is dat er goed over communicatielijnen en samenwerkingen moet worden nagedacht.” De oefening werd uitgebreid en daarna jaarlijks herhaald. “Nog altijd wordt hij gedaan. De software die ik heb geschreven werkt nog steeds, althans een geüpdatete versie ervan. Heel gaaf dat het nog altijd organisaties helpt.”
Aan de slag bij KPN
Jaya Baloo benaderde Koeroo in 2013 om bij KPN als pentester aan de slag te gaan. “Ik verliet een super vrije open cultuur met een ‘we doen het voor de mensheid-gedachte’, maar KPN had ook een grote maatschappelijke betrokkenheid. Bovendien was ik hoofdzakelijk bezig met security en niet met geld verdienen.” Een jaar voor Koeroo’s komst werd KPN slachtoffer van een grote hack. Het bedrijf wilde het helemaal anders doen. “In mijn begintijd bouwde KPN nog een CISO-office op. Ik werkte daarin als ethisch hacker, maar ik merkte dat ik steeds vaker collega’s aan het uitleggen was hoe ze veilige infrastructuur kunnen organiseren. Al snel schreef ik mee aan beleid voor alle activiteiten rondom encryptie. Een beleidsteam-collega was intussen vooral systemen aan het testen. We besloten gezamenlijk van de een op de andere dag van baan te wisselen. En dat was de beste keuze ooit!”
Coronacrisis bestrijden
Na de banenwissel groeide Koeroo al snel door naar teamleider Beleid & Business Continuity. Na verloop van tijd mocht hij zich specifiek richten op de overheidsrelaties. “Ik kwam in die tijd overal over de vloer. Hij leerde zo heel bestuurlijk Den Haag kennen. “Onder meer bij Defensie, Politie, NCTV, NCSC, diverse commissies, samenwerkingen en toezichthouders.” Koeroo kreeg een grote verantwoordelijkheid. In zijn periode bij KPN was hij veel bezig met nationale veiligheid rondom allerlei cyberkwesties, waaronder bedreigingen van statelijke actoren en het voorkomen van mogelijke achterdeurtjes via bijvoorbeeld Huawei-apparatuur. Toen in 2020 de Coronapandemie uitbrak kwam er enorm veel op hem af. Koeroo werkte een periode 10 tot 12 uur per dag, zeven dagen per week. “KPN werd door organisaties gezien als een vraagbaak bij crisissituaties. Ik adviseerde ze over wat wel en niet goede ideeën waren en probeerde de onderlinge werklast te verdelen.”
Stap naar de overheid
Op een dag belde Brenno de Winter Koeroo, om te wijzen op een vacature als CISO bij het ministerie van VWS. “Dat was best een gewaagde sprong, maar Brenno vertelde dat het ministerie de werkwijze ging veranderen en er was een mogelijkheid om met mijn eigen ideeën te komen. Ik kon me storten op allerlei gaven dingen, zoals voorbereidingen op cisissituaties, de communicatie en voorbereidingen eromheen.” ‘Reputatie-technisch gezien’ vond Koeroo het best spannend. “Je wil natuurlijk niet in je eerste weken gehackt worden…” Toch ging hij de uitdaging aan. “Ik maakte in de eerste weken direct een lijst van de functies en rollen die bij KPN de ‘corporate veiligheid’ vormden en probeerde deze rollen ook bij VWS in kaart te krijgen. Die waren er. Ze hadden alleen allemaal andere titels. Dus dat was een behoorlijke vertaalslag.”
Beginnen met een Log4J-crisis
Hij hoefde niet op zijn handen te zitten. Na enkele maanden kwamen Log4J-kwetsbaarheden aan het licht die organisaties in het hele land in zijn greep hielden. “Ik kreeg op een ochtend wat belletjes, ik zag het zich ontwikkelen en dacht: nu begint het interessant te worden.” Op een vrijdagmiddag had Koeroo thuis wat uurtjes vrij. “Ik dacht: f*ck it. Ik heb nu de gelegenheid, ik ga een oppervlaktescan ontwikkelen waarmee ik LOG4J-kwetsbaarheden in beeld kan krijgen.” Zijn technische IT-vaardigheden uit het verleden boden een uitkomst: diezelfde middag nog was er een tool waarmee Koeroo alle infrastructuren van VWS kon scannen. Zo bracht hij eigenhandig het leeuwendeel van kwetsbaarheden in kaart. “Het bracht rust. De ‘misschien gaan we eraan-angst’ was gereduceerd tot een gevoel dat we het waarschijnlijk wel gingen redden.”
De gehele zorgsector helpen
Gevonden LOG4J-kwetsbaarheden stuurde hij door naar VWS-mensen die ze konden dichten. “Vervolgens zijn we met een aantal partijen opgetrokken om niet alleen ons eigen departement over kwetsbaarheden in te lichten, maar de gehele zorgsector te helpen. Samen met Z-CERT stelden we een brief op naar alle koepelorganisaties en gaven aan waar ze hulp konden krijgen.” Koeroo leerde zo in korte tijd zijn organisatie goed kennen. “Ik kon zo mijn eigen grenzen aftasten en de nodige stappen zetten in het verbeteren van de communicatielijnen. En natuurlijk was het soms erg stressvol, maar na de coronacrisis had ik het gevoel dat ik ook dit wel aan zou kunnen.” Op 24 januari werd er door de zorgsector voor het eerst een grote crisisoefening gehouden waarbij de landelijke, regionale en eigen organisatiestructuur getest werd. VWS werkt intussen aan een landelijk dekkend informatiestelsel voor de gehele zorgsector.
Als Koeroo terugblikt op zijn carrière tot nu toe, stelt hij vast dat hij nog steeds over ‘bits & bytes’ kan meepraten. “Maar tegelijkertijd denk ik graag na over het ‘grote strategische plaatje’ van een organisatie en daar wil ik ook visionair in zijn. Ik denk dat uiteindelijk alles te leren valt, door zoveel mogelijk te willen ontdekken en niet terug te deinzen met de gedachte dat het niet gaat lukken.”
Sociale vaardigheden belangrijk
Zijn puur technische IT-achtergrond heeft Koeroo tot nu toe veel gebracht, maar hij merkt ook hoe belangrijk sociale vaardigheden zijn in de IT-wereld. “Als mensen niet begrijpen waar je het over hebt, haken ze af. Ik heb tijdens mijn opleiding nooit bestuurskundige vakken gehad. Ik heb verdacht weinig certificeringen, maar ik heb wél honderden mensen kunnen helpen tijdens hun opleiding door ze zaken uit te leggen in begrijpelijke taal.” Koeroo’s advies aan jonge IT’ers is dat ze verder kunnen komen als ze rekening houden met ‘de rest van de organisatie’ in hun communicatie. “En aan de niet-technische mensen wil ik zeggen: staar je niet blind op het technische aspect. De jongens in hoodies zijn niet de cybersecurity-wereld, ze vormen slechts een aspect ervan.”
Op sommige momenten begeleidde Koeroo zeven stagiaires en twee trainees tegelijk. Zij ondersteunen hem bij concrete opdrachten. Zo nu en dan heeft hij contact met jonge hackers die op het verkeerde pad dreigen te raken. “Ik praat met ze via DM’s en koppel ze aan experts die ze een zetje in de goede richting kunnen geven. Zelf heb ik in de Schilderswijk momenten gekend waarop ik mee kon lopen met vrienden die wilden rellen in de buurt, uiteindelijk speelde ik toch liever op mijn Commodore 64 in plaats van de buurt te verkloten.”
is redacteur bij AG Connect.