Welke lessen zijn er te trekken uit de computerstoring die vorige week wereldwijd voor problemen zorgde? Wat zou de nationale overheid moeten doen om te voorkomen dat een nieuwe storing de samenleving platlegt? En wat kan de lokale overheid nu al zelf regelen? Onze redacteur maakt een kleine inventarisatie.
Door een fout in een update van de antivirussoftware van beveiligingsbedrijf Crowdstrike werden meer dan 8,5 miljoen computers getroffen. Onder meer op vliegvelden en in ziekenhuizen leidde dit in Nederland tot problemen. Hoewel de impact voor lokale overheden deze keer relatief beperkt was, laat de storing zien hoe afhankelijk de samenleving is van digitale systemen.
Dat benadrukt ook David van Weel, de minister van Justitie en Veiligheid. In een brief aan de Tweede Kamer wijst de minister op de verwevenheid van digitale processen in het digitale ecosysteem in het sterk gedigitaliseerde Nederland. Van Weel schrijft aan de Tweede Kamer dat organisaties zich moeten voorbereiden op en oefenen met dit soort situaties. Hij verwijst naar het Actieplan Nederlandse Cybersecuritystrategie 2022-2028. Via dit actieplan wil het kabinet onder andere investeren in cybersecurity.
Concrete acties
Sommige Kamerleden zien graag wat meer concrete acties van het kabinet. Zo betoogt Barbara Kathmann (GroenLinks-PvdA) op X dat de overheid werk moet maken van Europese en Nederlandse alternatieven voor Big Tech: ‘Dit kabinet moet meer investeren in het maken van plannen voor als de IT er compleet uit ligt en in alternatieve diensten, zodat 1 fout niet de hele maatschappij raakt.’
Wake-up call
Jesse Six-Dijkstra (NSC) hoopt dat het incident voor het kabinet als wake-up call dient, schrijft hij op LinkedIn. Hij doet een drietal concrete suggesties om te voorkomen dat de samenleving stilvalt als de systemen falen. ‘Er moet ten eerste werk gemaakt worden van noodscenario’s in het geval van digitale uitval. Ten tweede moeten digitaal afhankelijke organisaties in alle sectoren verplicht concrete protocollen voor dergelijke scenario’s paraat hebben. Ten derde moet er een overheidsbrede strategie komen voor het afbouwen van risicovolle eenzijdige afhankelijkheden en het realiseren van robuustere terugvalopties zonder internetverbinding.’
Praktische tips
Hoe is de impact van dit soort incidenten te beperken op lokaal niveau? Wat kan een gemeente nu al doen? Cyberveiligheidexpert Ronald van der Zon van het Nationaal Cyber Security Centrum (NCSC), deelt op LinkedIn een aantal tips ter voorbereiding op een volgende ‘Crowdstrike’-storing, waaronder deze:
- Breng kritische processen in kaart: Begin met het identificeren van de meest kritische processen binnen je organisatie. Welke belangen moeten worden beschermd?
- Controleer bestaande maatregelen: Zorg ervoor dat je op de hoogte bent van de beveiligingsmaatregelen die je organisatie al heeft genomen. Dit helpt je om eventuele hiaten te identificeren en aan te pakken.
- Analyseer potentiële dreigingen: Ontwikkel een beeld van mogelijke dreigingen. Welke dreigingen kunnen je organisatie treffen? Dit stelt je in staat om proactieve maatregelen te nemen.
Updaten op zaterdag
Is een gemeenten niet een beetje laat als punt één nog onder de aandacht moet worden gebracht? Maarten Koningsveld, strategisch adviseur digitalisering en overheid, moet lachen om die suggestie. ‘De informatiehuishouding van overheden is niet op orde, concludeerde het Adviescollege Openbaarheid en Informatiehuishouding (ACOI) onlangs weer. De gemeentelijke basisarchitectuur telt meer dan 1100 zaaktypen. Gemeenten hebben al die werkprocessen niet goed in kaart. Het gevolg is dat we updates het liefst op zaterdagmiddag draaien, omdat we in feite niet precies weten welke collega we moeten bellen dat er even niet gewerkt kan worden vanwege een update.’
Drie soorten eigenaarschap
Een overzicht maken van de meest kritisch processen, zodat je kunt prioriteren, is dus inderdaad een goed begin. Volgens Koningsveld begint het verkrijgen van overzicht met het in kaart brengen van eigenaarschap. Wie gaat er over wat? Hij onderscheidt drie soorten eigenaarschap, namelijk per werkproces, per systeem of applicatie en per belang. Een belang is bijvoorbeeld privacy en cyberveiligheid. De eigenaar van een belang is bijvoorbeeld een controller of een CISO.
Koningsveld vergelijkt het overzicht met een soort kubus waar je een satéprikker doorheen moeten kunnen prikken. In de ideale situatie heb je meteen inzichtelijk welke gevolgen een incident heeft voor welke collega’s binnen de organisatie en welke belangen ermee gepaard gaan. Het ontbreken van een overzicht leidt ertoe dat gemeentesecretarissen voortdurend brandjes moeten blussen, ten koste van de leukere taken. ‘Maar als je je huiswerk goed doet, zorgt dat er juist voor dat je tijd hebt om lintjes door te knippen met je wethouders.’
Dit artikel werd eerder gepubliceerd bij onze collega’s van Binnenlands Bestuur
Laten we dit incident vooral meteen gebruiken om met frisse blik naar onze organisch gegroeide organisaties te kijken. Crowdstrike is een uitstekend bedrijf en zeker een van de beste bedrijven op dit terrein in de wereld. De vraag is dus niet zozeer dat wij afhankelijk zijn van digitale systemen, maar dat onze organisch gegroeide organisaties afhankelijk zijn van gecentraliseerde, gestandaardiseerde en geharmoniseerde aansturing: het mist veerkracht. Welke organisatie kent de back-up leverancier van haar back-up leverancier? Terwijl bestuurders wel degelijk datavoortbrengingsketen verantwoordelijk zijn. Dit gaat niet alleen om databeveiliging, maar om de manier waarop wij organiseren. Je hebt niet veel aan het Actieplan Nederlandse Cybersecuritystrategie 2022-2028, als wij ons niet ook anders gaan organiseren. De welbedoelde adviezen voor investeringen in alternatieve IT-diensten, noodscenario’s en afbouw van eenzijdige afhankelijkheden zijn nog altijd State-of-the Art 1999 infrastructuur centrisch.
De meeste processen in dit land zijn organisch gegroeid en vooral op sociale relaties gebaseerd.
Het wordt een ramp om die processen te modelleren, want dat model zal vrijwel altijd over de gepercipieerde grenzen van de eigen organisatie gaan. Daarmee over de grenzen van mandaat en budget focus. Een doodzonde in ambtenarenland (en niet alleen daar). Als we in Data Ecosystemen gaan denken dan kunnen we onze organisaties heel snel herdefiniëren. Op het oog verandert er weinig (want het werkt al behoorlijk goed), maar voor de beveiliging verandert alles.
Ik verbaas me over dit artikel en de brief waarmee de kamer wordt geinformeerd. Noem het beestje bij de naam Remcos RAT nation state attack China Rusland. Het is vijf over 12 = “gewoon” cyberwar iedere dag weer..