Security by design in de vitale sector

De haven van Rotterdam, een voorbeeld van een vitale sector. Beeld: David Mark / Pixabay

De Citrix-crisis speelde toen overheden noodmaatregelen namen (in het jargon: opschaalden in de crisisstructuur) nadat NCSC (Nationaal Cyber Security Centrum) op 17 januari 2020, een maand na zijn eerste melding ter zake, adviseerde de toegang via Citrix zomogelijk af te schakelen. Het advies kreeg de klassificatie ‘high high’ mee, waarbij voor overheden de ‘pas toe of leg uit’-regel van toepassing wordt.

Digitale dreigingen komen dichtbij huis als sectoren die het dagelijks leven bepalen worden getroffen, al dan niet met zichtbaar effect. Het Europees Geneesmiddelen Agentschap (EMA), ziekenhuizen, diverse gemeenten en een universiteit werden getroffen door inbraak, vandalisme, terrorisme of afpersing. In de Volkskrant van 12 december 2020 laat onderzoeksjournalist Huib Modderkolk experts aan het woord die aangeven dat dreigingswaarschuwingen organisaties niet goed bereiken doordat het in het alerteringsbeleid onderscheid wordt gemaakt tussen vitale en niet-vitale sectoren.

De vraag hoe de samenleving zich het beste kan weren, heeft twee antwoorden. Preventie is belangrijk, maar na een onverhoopte digitale verstoring tellen reactiesnelheid en veerkrachtig optreden. Samenwerking in de koude, lauwe en warme operatiefasen dragen allemaal bij aan het inperken van de cybergevolgen, zoals blijkt uit een evaluatie van diverse incidenten door het Instituut Fysieke Veiligheid (Van der Varst e.a. 2020).

Vitale Infrastructuur als casus

Beveiliging meenemen vanaf de ontwerpfase, ‘security by design’, is daarbij het beste beginpunt en wordt toenemend de norm in beleid. Hoe dit in zijn werk kan gaan, is onderzocht in een recente WODC-studie voor vitale infrastructuursectoren in Nederland, uitgevoerd door onderzoekers van Nobis Policy Lab en HHS (De Poot, McKim, Dieleman & Spruit 2020).

Automatisering, controle, bediening op afstand. Ze worden alle mogelijk door zogenaamde Operational Technology, de industriële automatisering waarmee deze infrastructuur gebouwd is.

Was er in het verleden sprake van automatisering zonder netwerkverbindingen, tegenwoordig is er veel meer geautomatiseerd en zijn systemen toenemend gekoppeld om doelmatige, kwalitatief hoogwaardige productie en snellere bediening en onderhoud mogelijk te maken. Opnieuw is sprake van werk-in-uitvoering. Infrastructuurvoorzieningen zijn miljardeninvesteringen met decennialange afschrijvingstermijnen. De operationele technologie wordt dan wel vaker vernieuwd, maar is historisch vaak nog ontworpen zonder veel digitale beveiligingsoverwegingen. Security by design moet dus gaande de rit een plaats krijgen.

Nog directer dan bij de informatievoorzieningen, hebben functiegebreken in infrastructuur direct effect op de samenleving. Verkeerschaos op weg, spoor, water of door de lucht, problemen met watervoorziening, rioolafvoer, hoogwaterbescherming, energievoorziening, isotopenproductie. De dreiging van ontwrichting is nooit ver weg en maatschappelijke kosten bij langdurige uitval belopen miljarden euro’s. Vanwege deze kostenrisico’s taxeert de overheid de sectoren als vitaal.

Aanbieders van vitale voorzieningen bieden een hoge bedrijfs- en leveringszekerheid om in geval van fysieke calamiteiten de onderbrekingen kort te laten duren. Voor digitale dreigingen is dit niet anders, zij het dat de omgang met digitale dreigingen wel een nieuw terrein is met nieuwe regels. Langdurige uitval is daarbij niet op voorhand uitgesloten, zoals de NotPetya malware aanval op de Maersk-terminal in Rotterdam in juni 2017 liet zien.

Een andere factor die de spelregels verandert, is de koppeling van infrastructuur aan nieuwe systemen. Van zonnepanelen op huizen, tot intelligente auto’s op de weg en Internet of Things-apparatuur (IoT) die mensen bij zich dragen, tot thuisleer- en – werkfaciliteiten tijdens de coronapandemie-lockdown. Systemen blijven veranderen.

Design thinking voor een veilige infrastructuur

De uitdaging voor ontwerpers is om de nieuwe digitale dreigingen goed te doorgronden. Voor de hand liggende werkwijzen zijn schatplichtig aan de ingenieurspraktijk. Veel is gericht op fysieke veiligheid, op een projectmatige werkverdeling, op het behalen en werken binnen specificaties. De spelregels in de digitale wereld kunnen drastisch afwijken. Zo houd je de fysieke inbreker in het gareel met sloten, hekken, alarmen en camera’s, terwijl digitale inbraak de kleinste onverwachte openingen kan benutten, waar of wanneer die zich maar voordoen. En vaak is het eigen personeel, c.q. gezin, de gemakkelijkste prooi voor IoT-hacks of social engineering trucs.

De aandacht bij het beveiligen van infrastructuur moet daarom niet ophouden bij de techniek, maar moet zich uitstrekken naar de organisatie van processen en de perspectieven van mensen die met het systeem te maken hebben. Deze perspectiefverbreding wordt wel aangeduid als ‘design thinking’. Hoofdkenmerken van design thinking in de beveiligingspraktijk zijn:

• aandacht en begrip voor alle betrokken partijen;
• ruimte voor herformulering van het oorspronkelijke beveiligingsprobleem met aandacht voor deze perspectieven;
• experimentgewijze oplossingsontwikkeling;
• zoeken naar voortdurende verbetering.

Design thinking is door de iteratieve aanpak zeer hands-on. Door interactie met doelgroepen ontdekt de ontwerper de behoeften die leven. Deze dialoog is essentieel in elk goed ontwerp.

Design thinking is door de iteratieve aanpak zeer hands-on. Door interactie met doelgroepen ontdekt de ontwerper de behoeften die leven

Design thinking ontstaan vanuit de uitvinderspraktijk, heeft zijn waarde bewezen in architectuur en stedenbouwkundige planning, militaire operaties, transportveiligheid- en logistiek en wordt toenemend erkend bij organisatie- en beleidsvraagstukken waar hardnekkige (wicked) problemen spelen. Als problemen nog hardnekkig zijn, ligt de oplossing nog niet voor de hand. Er is onenigheid over de aard van de problemen en zeker ook over de oplossingsrichtingen. Maar vaak wordt die hardnekkigheid niet direct herkend. Dan behandelt men vraagstukken ten onrechte als goed gestructureerd en volgen voorbarige technische oplossingen voor wat primair sociaal-organisatorische vraagstukken zijn.

Hardnekkige vraagstukken oplossen

Bij de Citrix-crisis en ook in het huidige denken over vitale en niet vitale infrastructuur wordt deze hardnekkigheid fraai geïllustreerd. Waar NCSC in beginsel een informerende en coördinerende functie heeft, veranderde dit op 17 januari 2020 toen een dringend advies als oekaze werd opgevat.

Als organisaties konden uitleggen waarom ze het advies naast zich neer zouden leggen, stond hen dit vrij. Maar de evaluatierapportage van 18 maart (COT 2020) vermeldt dat weinig organisaties die vrijheid in praktijk namen. Tegelijkertijd beschrijft het rapport dat niet alle organisaties de door NCSC getaxeerde probleemernst onderschreven. Bijgevolg schakelden oganisaties als het ware af ‘onder protest’, maar bleef de steun voor de maatregel achterwege. Kamervragen waren het gevolg.

Een symptoom, zo wordt later via allerlei kanalen vernomen, is dat overheidsorganisaties zich door het vitale infrastructuurbeleid onvoldoende gekend voelen. De vitale infrastructuur grens uit 2015 (kst-30821-23) van 5 miljard euro potentiële economische schade of meer dan 100.000 getroffen gebruikers (met daarbinnen voor de A-categorie het tienvoudige), plaatst organisaties en bedrijven tamelijk arbitrair aan beide kanten van de scheidslijn. Zoals WRR (Wetenschappelijke Raad voor het Regeringsbeleid – Prins e.a. 2019) betoogt, kunnen door netwerkafhankelijkheden de gevolgen van problemen bij ‘kleine spelers’ alsnog groot uitpakken.

Stakeholders niet over het hoofd zien

Beide groepen, vitale en niet-vitale spelers, worden geïnformeerd, maar de ‘vitale groep’ ontvangt meer onderbouwingsinformatie en actieve begeleiding van NCSC. Een recente WODC-studie van Dialogic en TU/e naar informatie-uitwisseling landelijk stelsel cybersecurity (Brennenraedts et al. 2020) noemt dan ook dat cybermature bedrijven nu ervaren relevante dreigingsinformatie te missen. De oplossing voor niet-vitale organisaties om in een Landelijk Dekkend Stelsel complementaire samenwerking rondom cyberbeveiliging te organiseren naar een voorstel van de Cyber Security Raad (Blok & Schoof 2017), was op 17 januari 2020 nog niet in die mate ontwikkeld dat men zich opgewassen voelde om een dringend NCSC-advies naast zich neer te leggen.

Hoe men vervolgens ook werkt aan meer informatievoorziening en – samenwerking, de beleving van stakeholders om niet in tel te zijn, wordt eigenlijk alleen opgelost door ze wel te beginnen te horen. Daar oplossingen voor verzinnen, is de kern van wat in dit geval een design thinking-benadering zou verkennen. Dit is de mensgerichte benadering.

Ketensamenhang erkennen

Vanuit de organisatie bekeken, is er in lijn met het WRR-advies ook inhoudelijk af te dingen op de vitaal/niet-vitaal indeling die vandaag de dag bij crisisbestrijding wordt gehanteerd. Indelingen hebben zin wanneer de probleemstructuur een opdeling toelaat. Wanneer zoals bij samenwerkende overheden en ketenafhankelijke partijen niet een partij in isolatie kan worden beschouwd, zonder de werkelijkheid geweld aan te doen, is het beter deze complexe samenhangen te erkennen dan hiervan te abstraheren alsof de organisaties als elementen los van elkaar zijn te begrijpen. Waar opdelen mogelijk is, zijn technische oplossingen toepasbaar. Waar complexe samenhangen meespelen, zijn sociaal organisatorische of sociotechnische oplossingen verkieslijker. Design thinking biedt organisaties voordelen waar die complexiteit een factor is.

Complexe ontwerpvraagstukken spelen in overheidsland volop, omdat taken vaak onderling samenhangen, partijen in praktijk vaak ook echt in een ketenafhankelijkheid zitten, en er veel meer maatschappelijke groepen bij het slagen of falen van initiatieven en organisatiedoelen betrokken zijn dan alleen de medewerkers van een gegeven organisatie. Wil men die betrokken partijen intrinsiek motiveren, dan zal men moeten beginnen met het herkennen van hun rol, hun macht en hun motieven om mee of tegen te werken.

Design thinking vraagt bestuurlijke moed

Terug naar de vitale sectoren en de beveiliging van operationele technologie. Bezien door de ‘bril’ van de design thinking aspecten, trof de onderzoeksgroep 11 goede voorbeelden aan van het betrekken van alle soorten stakeholderrelaties in ontwerp- en ontwikkeloverwegingen bij industriële automatiseringsvraagstukken en voor de diverse sectoren van de Nederlandse vitale infrastructuur konden ook 11 goede voorbeelden worden aangeduid waarbij stakeholderorientatie het beginpunt vormde van het ontwikkelen of verbeteren van voorzieningen.

Design thinking vindt dus al plaats in de infrastructuurpraktijk en is behulpzaam bij het behandelen van complexe ontwerpvraagstukken rondom beveiliging. De uitdaging is om hier van uitzondering naar regel te gaan. Zoals COT aanduidt dat er bij organisaties aarzeling bestaat om het autonome beleid boven het overheidsadvies te stellen, vraagt het bestuurlijke moed om volgens de design thinking benadering in essentie ‘bottom up’ te werk te gaan, waar projectmatige ‘top down’ benaderingen nu nog gangbaar zijn. Het vergt de omslag van taakstelling naar doelstelling. En het vergt van organisaties dat zij willen verdedigen waarom zij extra stakeholders in hun product- en dienstontwerpen betrekken.

Voor beveiligingsvraagstukken is het argument voor stakeholderoriëntatie snel gevonden: Inhoudelijk gemotiveerde betrokkenen geven van nature vorm aan een veiligheidscultuur zonder te hoeven worden gedwongen. Dit leidt tot soepelere en meer trefzekere oplossingen. Maar daar houden de voordelen van stakeholderoriëntatie niet op: meer in het algemeen is behulpzaam wanneer betrokkenen in de meedenkstand worden gebracht.

Meer achtergrondinformatie

Wie meer wil weten over de security by design en mensgerichte oplossingen in de vitale infrastructuurcontext, verwijzen we naar het onderzoeksrapport (WODC rapport nr 3052). Daarin worden aanbevelingen gegeven hoe organisaties meer ruimte kunnen maken voor design thinking.

Wie komend jaar vraagstukken rondom beveiliging en ketenregie in de eigen organisatie met een design thinking benadering wil aanpakken, kan contact opnemen met de onderzoekers.

Henk de Poot en Melina McKim (Nobis Policy Lab) hebben, samen met Rob Dieleman en Marcel Spruit (Haagse Hogeschool), onderzoek gedaan naar security by design en mensgerichte oplossingen in de vitale infrastructuurcontext.

Referenties

• Brennenraedts, R. ; R. Bekkers, J. Kats, M. Hanswijk, R. Bakhyshov, W. Sahebali en R. Jansen (2020) Informatie-uitwisseling landelijk dekkend stelsel cybersecurity WODC rapport 3097 Dialogic Innovatie & Interactie. Utrecht oktober 2020.
• Blok, E. & D. Schoof (2017) Naar een landelijk dekkend stelsel van informatieknooppunten. Advies inzake informatie-uitwisseling met betrekking tot cybersecurity en cybercrime CSR-advies 2017, nr. 2 Cyber Security Raad ’s-Gravenhage, juni 2017.
• COT (2020) Samenvatting indrukken en leerpunten leerevaluatie respons Citrix. COT Instituut voor Veiligheids- en Crisismanagement. Rotterdam, 18 maart 2020. Bijlage bij: Kamerbrief Min. V&J d.d. 20 maart 2020 evaluatie Citrix-problematiek en kabinetsreactie WRR-Rapport: voorbereiden op digitale ontwrichting.
• Modderkolk, H. (2020) Informatie over lekken in computernetwerken wordt niet goed gedeeld. Volkskrant 12 december 2020.
• NCVT (2020) Nationaal Crisis Plan Digitaal Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Den Haag februari 2020.
• Poot, H.J.G. de , M.E. McKim, R. Dieleman, M. Spruit (2020) Security-by-design in de vitale sector Operational technology beveiligen vanuit Design Thinking perspectief WODC rapport 3052. Nobis Policy Lab. Enschede oktober 2020.
• Prins, J.E.J. ; E.K. Schrijvers, R. Passchier, M. de Visser Voorbereiden op digitale ontwrichting WRR-rapport nr. 101 Wetenschappelijke Raad voor het Regeringsbeleid, Den Haag augustus 2019.
• Varst, L. van der; D. Heijmen, E. Berger, Th. van der Sleen, E. Bosman 2020 Cybergevolgbestrijding. Lessen uit recente Nederlandse casus. Instituut Fysieke Veiligheid. Arnhem november 2020.