Digitale weerbaarheid: samen sterk of de zwakste schakel?
Onze samenleving digitaliseert in een rap tempo. Hierdoor ontstaan nieuwe kwetsbaarheden die eerder nog niet bekend waren. Het verhogen van onze digitale weerbaarheid krijgt daardoor zowel publiek als privaat steeds meer aandacht. Bart van der Linden, directeur Digital Ecosystems Institute, en Jasper Nagtegaal, directeur Digitale Weerbaarheid bij RDI, pleiten voor meer samenhang tussen de verschillende programma’s en initiatieven.
We kennen in ons land de Nederlandse cybersecuritystrategie 2022-2028 van het Kabinet, het Breed Gedragen Programma CS4NL en het Actieprogramma Veilig Ondernemen 2023-2026 van het ministerie van Justitie en Veiligheid, MKB-Nederland en VNO-NCW. Elk programma gaat in op de noodzaak van breed gedragen publiek-privaat samenwerken om digitale weerbaarheid te realiseren.
Aanvallen in de keten
En die samenwerking is nodig, omdat dreigingen van alle kanten kunnen komen. Zo legt een pro-Russische groep al een week websites van Belgische havens en lokale besturen plat met DDoS-aanvallen. Websites zijn daardoor slecht te bereiken, zowel voor klanten als voor burgers. Dit is extra problematisch omdat vlak na deze actie verkiezingen worden gehouden in België, waardoor de kans groter is dat burgers informatie proberen te vinden op de website van hun lokale overheid. Ook in het artikel in Volkskrant eerder dit jaar, over de stelling dat Nederlandse bedrijven spionage door buitenlandse regimes onderschatten, onderschrijft dit probleem.
Toch is een DDoS-aanval vaak voornamelijk een ongemak: websites gaan op zwart, maar de processen binnen een organisatie worden meestal niet of nauwelijks getroffen. Dat was anders bij een grote hack bij een Duits oliebedrijf begin 2022. Hierbij werden enkele distributie-installaties getroffen. De hack breidde zich vervolgens uit naar de havenbedrijven in Antwerpen-Rotterdam-Amsterdam (ARA), een belangrijk gebied van de oliedistributie in Noord-Europa. Het resulteerde erin dat schepen moesten wachten voor hun vracht. Het Antwerpse Sea Invest, een groot Gents havenbedrijf, was één van de getroffen partijen. Sea Invest is op hun beurt weer exploitant van Belgian New Fruit Wharf, een grote fruitoverslag in de Gentse Haven. Het gevolg daarvan was een vertraging van aanvoer van fruit in een aantal supermarkten in België. Nog geen dag later kwam ook het oliebedrijf Evos in problemen met laden en lossen van Olie, zowel in Gent als Terneuzen. Er zijn berichten dat ook de olieterminals in Amsterdam getroffen zijn, maar dit ontkent het bedrijf.
Deze voorbeelden laten enerzijds zien dat niet alleen het directe doelwit, maar allerlei organisaties en regio’s benadeeld worden bij een cyberaanval op slechts één of twee bedrijven. Anderzijds toont het aan dat er met moeite openlijk gesproken wordt over cyberaanvallen en hun impact. En dan zijn dit alleen grote bedrijven. Van MKB-bedrijven weten we inmiddels dat ze een nog groter systemisch risico vormen, doordat ze kwetsbaarder zijn.
Regio’s bundelen krachten
Steeds meer regio’s bundelen daarom de krachten om een cyberweerbaar ecosysteem te vormen. Doel is om sneller informatie en kennis en kunde uit te wisselen. Zo is er Digitaal Weerbaar Breda, een cyberweerbaar ecosysteem in de regio Amsterdam, cyberweerbaar centrum Brainport voor de maakindustrie en een gelijksoortig centrum in de Rotterdamse haven, genaamd FERM. Samen met het NCSC vormen zij steeds meer een cyberweerbare deken over Nederland heen, om Nederland sterker te maken. Elk initiatief zorgt ervoor dat de aangesloten organisaties voorzien worden van dreigingsinformatie en monitoring, en levert toegang tot security informatie. Op deze manier is het mogelijk om grote en kleine organisaties in een regio of sector van informatie en monitoring te voorzien.
Echter, er is nog onvoldoende samenhang tussen de verschillende overkoepelende programma’s en de verschillende initiatieven. De verschillende initiatieven zijn los van elkaar gestart en uitwisseling moet nog groeien. Ook kan de overheid veel beter gebruik maken van de kennis en kunde die is opgedaan. Zo heeft CW Brainport een standaard ontwikkeld voor het in kaart brengen van het volwassenheidsniveau bij leden. Digitaal Weerbaar Breda is bezig met de ontwikkeling van cyberweerbaarheidsvergunningen. En Regio Amsterdam onderzoekt de mogelijkheden om cyberexperts uit te wisselen tussen de organisaties, zodat betrokken MKB-organisaties ook beschikking krijgen over voldoende cyberkennis en -kunde.
Systeemdenken in security
Cyberweerbare ecosystemen maken gebruik van het principe van systeemdenken. Alles en iedereen is erbinnen met elkaar verbonden en afhankelijk van elkaar. Dat betekent dat herkenning en erkenning van deze afhankelijkheden nodig is. Uit onderzoek van RDI komen vier indicatoren naar voren die van belang zijn voor cyberweerbaare ecosystemen: technisch, wetgevend, organisatorisch en cultureel. Vooral die laatste twee zijn van belang. Vanuit deze twee gedacht, vraagt goede samenwerking initiatief en een voortrekkersrol van een of enkele partijen in het systeem. Vaak zijn dit de grotere bedrijven of organisaties. Daarnaast speelt vertrouwen een grote rol bij succesvolle ecosystemen. Vooral door informeel contact kan dit vertrouwen worden versterkt. In dit licht zullen besluitvormers van organisaties moeten gaan begrijpen dat ze onderdeel uitmaken van een groter geheel. Publiek-private en cross-sectorale netwerkstructuren zoals cyberweerbare ecosystemen zijn nodig om Nederland digitaal weerbaarder te maken. We richten de silo waarbinnen we altijd hebben gewerkt nu naar buiten en gaan cross-sectoraal samenwerken met oog voor vertrouwen.
Lees ook:
- Cyberweerbaarheid in de openbare ruimte vaak niet op orde – iBestuur
- Moderne concepten en strategieën in relatie tot Digitale Ontwrichting – iBestuur
- Water, afval en energiesector vaker hard geraakt door cybercriminelen – iBestuur
