Volgens de onderzoekers ontbreekt een breed toepasbare, gestandaardiseerde methode om digitale weerbaarheid op organisatieniveau volledig, betrouwbaar en valide in kaart te brengen. In de Nederlandse Cybersecuritystrategie 2022–2028 van het Rijk geldt het bevorderen van digitale weerbaarheid als speerpunt. Maar zonder meetinstrument is het lastig om systematisch vast te stellen waar organisaties staan, of beleid effect sorteert en of de weerbaarheid in de tijd toeneemt.
Waarom de overheid digitale weerbaarheid niet goed kan meten
De digitale weerbaarheid van Nederlandse organisaties moet omhoog, maar de overheid kan op dit moment niet integraal meten hoe weerbaar die organisaties daadwerkelijk zijn. Dat blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), uitgevoerd door RAND Europe in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Digitale weerbaarheid wordt in het rapport breed gedefinieerd: het vermogen van organisaties om cyberrisico’s te reduceren, incidenten te voorkomen en te detecteren, schade te beperken en herstel te organiseren, zodat zij ondanks digitale verstoringen kunnen blijven functioneren.
Organisaties met elkaar verweven
Juist die breedte van het begrip maakt meten ingewikkeld. Digitale weerbaarheid bestaat uit meerdere samenhangende componenten die elkaar beïnvloeden, bovendien veranderen digitale dreigingen voortdurend. Organisaties opereren niet geïsoleerd, maar zijn verweven met externe partijen. Dit bemoeilijkt het afbakenen van ‘eigen’ weerbaarheid..
De onderzoekers inventariseerden achttien bestaande benaderingen en raamwerken die onderdelen van digitale weerbaarheid meten. Die bieden aanknopingspunten, maar geen totaalbeeld. Veel instrumenten richten zich op specifieke aspecten, zoals basisbeveiligingsmaatregelen of incidentherstel, en zijn vaak kwalitatief van aard. Een integraal en empirisch gevalideerd meetinstrument ontbreekt.
Goed instrument ontwikkelen is complex
Het ontwikkelen van zo’n instrument is volgens het rapport methodologisch en praktisch complex. Een stapsgewijze aanpak ligt daarom meer voor de hand, waarbij eerst afzonderlijke onderdelen van digitale weerbaarheid meetbaar worden gemaakt. Daarbij speelt ook een institutionele beperking. De NCTV beschikt momenteel niet over een wettelijk mandaat om structureel gegevens over digitale weerbaarheid bij organisaties op te vragen. Gegevensverzameling zou in beginsel vrijwillig plaatsvinden, tenzij andere wettelijke kaders daarin voorzien.
Het beleidsmatige belang om digitale weerbaarheid te versterken is groot, zo luidt de kernboodschap. Maar de mogelijkheid om die weerbaarheid integraal en systematisch te meten is vooralsnog beperkt. De overheid wil sturen op digitale weerbaarheid, maar mist voorlopig nog de meetlat om vast te stellen hoe ver het land daadwerkelijk is.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.