Oscar Koeroo, concern-CISO bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), is één van de meest herkenbare stemmen in het Nederlandse cybersecuritylandschap. In onze podcast The Sentyron Standard vertelt hij hoe een vroege fascinatie voor technologie leidde tot een loopbaan in digitale veiligheid en welke uitdagingen er vandaag op de agenda staan. Zijn verhaal laat zien dat persoonlijke nieuwsgierigheid, technische diepgang en bestuurlijke visie onmisbaar zijn in de strijd voor digitale weerbaarheid.
Van Commodore 64 naar concern-CISO
Oscars passie voor techniek begon in zijn jeugd. Terwijl leeftijdsgenoten kozen voor voetbal of minder constructieve paden, verdiepte hij zich in computerspelletjes en software. Met een programmeerboek en een Commodore 64 legde hij de basis voor zijn studie Informatica aan de Haagse Hogeschool. Tijdens zijn afstudeerperiode bij Nikhef, het Nationaal Instituut voor Subatomaire Fysica, kwam hij in aanraking met de fundamenten van cybersecurity: Linux kernels, cryptografische libraries en de vroege varianten van grid computing en cloud. “Ik probeer de techniek altijd in mijn achterzak te houden, zodat ik echt kan spreken met de mensen in de organisatie,” zegt hij. Die combinatie van technische kennis en bestuurlijke blik bepaalt tot op de dag van vandaag zijn werk als concern-CISO.
In die rol geeft hij richting aan tientallen organisaties die onder VWS vallen, van het RIVM tot inspecties en zelfstandige bestuursorganen (zbo’s). Zijn werk draait om het maken en uitdragen van beleid, het aanjagen van risicomanagement en de implementatie van de Cyberbeveiligingswet. Daarbij fungeert hij als brug tussen technische teams, bestuurders en andere departementale CISO’s. Het is geen eenvoudige taak, want de puzzel is steeds opnieuw: hoe vertaal je complexe dreigingen en technologie naar bestuurbare keuzes? Of zoals hij zelf zegt: “Het gaat over techniek, maar het moet bestuurlijk blijven.”
Dreigingen, soevereiniteit en de rol van cryptografie
De wereld van cybersecurity is volgens Oscar de afgelopen jaren fundamenteel veranderd. Waar aanvallen vroeger vaak draaiden om financieel gewin, spelen geopolitiek en langdurige strategische belangen nu een veel grotere rol. “We hebben te maken met dreigingen die veel verder gaan dan geld,” benadrukt hij. Aanvallen zijn complexer, beter gecoördineerd en hebben meerdere lagen van motivatie. Daarbij komen nieuwe technologische uitdagingen kijken, zoals de opkomst van de kwantumcomputer. Je hoeft volgens hem niet alle technische details te begrijpen, maar wel de consequenties: weten welke maatregelen je moet treffen en hoe je risico’s beheersbaar maakt.
Een thema dat nauw verbonden is met deze geopolitieke dimensie, is digitale soevereiniteit. Het cloudbeleid van VWS valt sinds kort onder zijn verantwoordelijkheid en dat brengt een cruciale vraag met zich mee: hoe behoud je als overheid de regie over je digitale infrastructuur? Voor Oscar gaat het niet om rechtlijnig Europees of Amerikaans kiezen, maar om controle. “Het gaat er niet om dat we alleen Europees kiezen, maar dat we in control zijn.” Hij spreekt regelmatig met managed service providers over de praktische vragen: kunnen diensten in Europese datacenters draaien, met Europese mensen, en wat betekent dat voor afhankelijkheden van Amerikaanse of Chinese technologie? Zijn uitgangspunt is flexibiliteit – de beste techniek gebruiken waar dat kan, maar altijd de autonomie behouden om te kiezen voor alternatieven als de geopolitieke situatie daarom vraagt.
Naast beleid en soevereiniteit loopt er een tweede rode draad door zijn carrière: cryptografie. Bij zijn afstudeeropdracht raakte hij diep verstrikt in de wereld van digitale certificaten, standaarden en verificatieprocessen. Sindsdien gaf hij colleges over het slotje in de browser, droeg hij bij aan reparaties in open source-software en leverde hij verbeteringen die inmiddels wereldwijd in miljarden apparaten draaien. “Dat slotje in je browser? Daar kan ik drie dagen college over geven.” Zijn manier van kennisoverdracht is pragmatisch: geen droge wiskunde, maar stap voor stap inzicht in hoe software met cryptografie omgaat en waarom standaarden het verschil maken tussen kwetsbaarheid en betrouwbaarheid.
Oefenen en communiceren: de kern van weerbaarheid
Wat voor Oscar misschien wel het allerbelangrijkst is, is oefenen. Hij herhaalt het bijna als een mantra: “Oefenen, oefenen, oefenen.” In zijn loopbaan heeft hij uiteenlopende oefeningen begeleid, van het bouwen van een eigen botnet om securityteams scherp te houden tot grootschalige crisissimulaties met ziekenhuizen en veiligheidsregio’s. Zijn recente oefening rond een fictieve ziekenhuisuitval liet zien dat de formele crisisstructuren vaak niet aansluiten op de praktijk. “De regels kloppen vaak op papier, maar in de praktijk lopen processen anders.” Door te oefenen ontdek je waar communicatie stokt, waar coördinatie ontbreekt en welke aannames in een crisissituatie niet blijken te werken.
Daarmee komt hij terug bij wat hij ziet als de kern van het vak: communicatie. Of je nu technisch of beleidsmatig werkt, uiteindelijk draait cybersecurity om het meenemen van mensen, het luisteren naar collega’s en het afstemmen van tempo en verwachtingen. “Communiceer met je organisatie en geef niet op,” luidt zijn belangrijkste advies aan andere CISO’s. Cybersecurity is geen solospel maar een gezamenlijke verantwoordelijkheid. Juist in een tijd waarin dreigingen complexer en geopolitiek beladen zijn dan ooit, blijft de menselijke factor beslissend voor digitale weerbaarheid.
Meer weten? Bekijk de volledige aflevering hieronder of luister ‘m via Spotify.