Een securitymaatregel heeft vaak gevolgen op hardwareniveau, voor leveranciers en voor het personeel. Daarmee heb je een heel divers palet aan bedrijfskundige vraagstukken om te begrijpen. Deze complexe vraagstukken kun je met een simulatie aan het licht brengen. Sander Zeijlemaker pleit voor slimmere investeringen.
Beeld: Shutterstock
Veel organisaties baseren hun investeringen grotendeels op informatie uit het verleden. Door voor een flexibele aanpak, gebaseerd op systeemdynamica te kiezen is er veel ruimte voor verbetering volgens Zeijlemaker die op 16 maart promoveerde aan de Radboud Universiteit. “De neiging is om met de wapenwedloop mee te gaan en te investeren in techniek en meer mensen,” vertelt hij in een interview met Binnenlands Bestuur. “Maar het is beter om te leren van aanvallen, te begrijpen wat je in huis hebt en na te bootsen, bijvoorbeeld met pentesten. En investeren in bewustzijn, niet alleen op operationeel maar ook op besluitvormend niveau. Wat zijn de consequenties van onze prioriteiten? Op die manier kunnen simulaties de bestaande methodes aanvullen.”
Systeemdynamica
In zijn onderzoek heeft Zeijlemaker gekeken naar een aanpak gebaseerd op systeemdynamica, een aanpak dat al langer gebruikt wordt in verschillende andere werelden, van medisch onderzoek tot duurzaamheid. Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op gebied van cybersecurity, zoals de ontwikkeling van de aanvaller, het gedrag van medewerkers, en de kwaliteit van getroffen maatregelen. Deze informatie met relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen’.
“De wereld van beveiliging is dynamisch, dus de strategische aanpak moet dat ook zijn.”
“Het grote voordeel van deze aanpak is dat het besluitvormende processen kan nabootsen en inzicht geeft in de toekomstige effecten en consequenties van strategische keuzes. Simulaties hebben het voordeel dat zij een veelheid aan mogelijke keuzes kunnen laten zien zonder dat het directe gevolgen heeft voor de bedrijfsvoering, in tegenstelling tot de werkelijkheid waar besluiten wel directe consequenties hebben. Je ziet bij elke wijziging van één variabele wat het verwachte effect is op de andere variabelen. De wereld van beveiliging is dynamisch, dus de strategische aanpak moet dat ook zijn.”
Achteruitkijkspiegel
Zeijlemaker vergelijkt de huidige aanpak van cyberbeveiliging alsof er alleen in de achteruitkijkspiegel wordt gekeken. “Het digitaal beveiligen van een organisatie is dynamisch en complex. De aanvallen ontwikkelen zich altijd: nieuwe methodes, nieuwe zwakheden. Maar standaarden of raamwerken om de verdediging op orde te krijgen zijn gebaseerd op normen uit het verleden. Maar dat is een vrij statische aanpak, met simulaties is het mogelijk om veel sneller te kijken naar wat er anders kan.”
“Mensen hebben een goed overzicht van de korte termijn. Waar we weinig zicht op hebben, is op zeldzame situaties en op de lange termijn. Het verslechteren van cybersecurity kan een project op de lange termijn zijn. Iedere dag 5 procent tekortkomen kun je lang volhouden voordat er significante problemen naar boven komen. Het probleem is dat die pas zichtbaar worden als de aanvaller al binnen is.”