Reactie op de online opmerkingen tijdens Opstap naar weerbaarheid 2020

Tijdens het gesprek in de studio werd er online mee gepraat. Sommige vragen zijn al in het symposium aan bod gekomen, of indirect al door de sprekers beantwoord. De volgende vragen en antwoorden geven een aanvulling daarop. De antwoorden zijn geformuleerd door Agentschap Telecom.

Verschillende kwetsbaarheden

Ik mis "menselijke fouten" / procedurele fouten.
Organisaties maken zich terecht zorgen dat ze doelwit worden van een cyberaanval. In de dagelijkse praktijk zijn technisch falen en menselijke fouten echter vaker de oorzaak van verstoring dan cyberaanvallen. Organisaties doen er goed aan om beide oorzaken (cyberaanvallen en ongelukken) mee te nemen in hun plannen.

Bekend fenomeen: veel IT-afdelingen en business/overheidsorganisaties hebben grote moeite om intern voldoende expertise t.b.v. digitale weerbaarheid op te bouwen en te onderhouden op relevante vakgebieden zoals cybersecurity, cloud, compliance, enzovoorts.
De veelheid aan onderwerpen en de snelheid van alle ontwikkelingen dwingen hen keuzes te maken: welke disciplines intern opbouwen, welke inkopen. Daar komt nog bij dat dergelijke professionals relatief schaars zijn.relevante vakgebieden zoals cybersecurity, cloud, compliance, enzovoorts.

Voorbereid zijn op uitval

Er komt een hoeveelheid aan (technologische)ontwikkelingen op organisaties af. Wat kunnen we zeggen over het absorptievermogen van organisaties (kwaliteit, capaciteit, continuïteit) om zaken op te volgen. Zijn organisaties/mensen voldoende toegerust?
Medewerkers zijn vaak verrassend goed in staat om in noodsituaties te improviseren. Het hoge tempo van ontwikkelingen doet daar niets aan af. Medewerkers snappen wat belangrijk is in hun werk, en doen hun best om dat zo goed mogelijk in de lucht te houden. Een terecht aandachtspunt is schaarse kennis, en kennis van de oude systemen en werkwijzen die als back-up kunnen fungeren bij uitval. Bij personeelsverloop en pensionering kan nuttige kennis het bedrijf verlaten. Regelmatig oefenen met verstoring kan helpen om dit vroegtijdig op te merken.

Is het misschien zo dat de ondernemingen die nu zeggen onvoldoende te zijn voorbereid een realistischer beeld van hun situatie hebben dan de groep die nu denkt goed voorbereid te zijn?
Misschien wel. Veel van de afhankelijkheid van digitale verbindingen en systemen zit verborgen in bedrijfsprocessen. Oefenen met uitval van verbindingen is nuttig om een beter beeld te krijgen van hoe goed de organisatie is voorbereid op verstoringen.

De helft maakt zich zorgen, maar dus wel mensen die dit live volgen. Dat is een selectief publiek.
Dat is uiteraard waar. Maar de aanwezigen zijn veelal professioneel geïnteresseerd in bedrijfscontinuïteit en weerbaarheid, en als de helft van hen zich zorgen maakt dan is er waarschijnlijk wel een reëel probleem.

Mijn beeld is dat met innovatieprojecten meestal (cyber)weerbaarheid de sluitpost van het project is. Wanneer er vanaf het begin van het project rekening wordt gehouden, is de weerbaarheid eenvoudiger te realiseren.
Organisaties moeten een bewuste en realistische afweging maken tussen innovatie en risico’s. Dat vereist allereerst meer bewustwording van de afhankelijk van digitale verbindingen. Een bijkomend verschijnsel is dat die afhankelijkheid vaak toeneemt met de tijd: eerst noviteit, dan nuttig, maar uiteindelijk noodzakelijk.

Cyberaanvallen voltrekken zich na een voorbereiding die maanden kan duren, vaak in enkele minuten. Ik vraag me af in hoeverre voorlichting van de overheid hier gaat helpen. Vergelijk Uni van Maastricht. Hoe belangrijk is het in de eigen netwerken  inbouwen van automatische remediëring, die in seconden ingrijpt? Dit zou je dan ook moeten regelen met specialistische bedrijven en vooral kleine bedrijfjes.
Elke technische oplossing vereist bijpassende organisatorische maatregelen. Bijvoorbeeld over hoe om te gaan met onderhoud, en valse alarmen. Ook het kostenaspect weegt mee. Hoe vaak zal zo’n maatregel van nut zijn, en welke andere maatregelen hadden met dat bedrag genomen kunnen worden? Uiteindelijk is dat een afweging die organisaties zelf moeten maken.

Oefenen en leren van incidenten

In welke mate wordt er ook in ketens getest?
Nog in beperkte mate. Het zou goed zijn om oefeningen met verstoring niet alleen binnen je eigen organisatie te houden, maar daar ook ketenpartners in te betrekken.

Hoe kun je ketens antifragiel maken, anders gezegd hoe kun je ervoor zorgen dat ketens sterker worden als je ze onder druk zet in plaats van zwakker?
Organisaties kunnen leren van incidenten, bij henzelf of bij keten- of branchegenoten. Goede evaluatie van incidenten en delen van oorzaken én oplossingen van verstoringen helpt om ketens sterker te maken.

Netflix gebruikt sinds 2011 het principe van chaos engineering ook wel bekend als de chaos monkey waarbij je in de praktijk systemen met random verstoringen confronteert om meer vertrouwen in een systeem te krijgen. Zijn er ook organisaties in Nederlandse ketens die dat ook toepassen of van plan zijn?
Ons zijn geen voorbeelden bekend. Omdat incidenten relatief zeldzaam zijn en (dus) grote en moeilijk voorspelbare gevolgen hebben lijkt het verstandiger om te leren aan de hand van oefeningen. Lees je dit nu en heb je hier wel ervaring mee of heb je een  ander voorbeeld? Dan zijn we erg benieuwd en praten we graag eens verder. Mail ons via telekwetsbaarheid@agentschaptelecom.nl

Wie heeft zicht op de betrouwbaarheid van alle gehele ketens waarin een organisatie opereert? Bij een gecertificeerde partij als Diginotar ging het indertijd (ook) mis, hoe weten afnemers dat dit niet opnieuw kan gebeuren?
Hoe groter het incident, hoe groter de noodzaak om lessen te trekken en kennis daarover te delen. De Diginotar-crisis heeft geleid tot grote verbeteringen in het stelsel, waaronder Agentschap Telecom als stevige toezichthouder. Hetzelfde incident zal niet makkelijk nog eens optreden, maar zekerheid is er nooit. Organisaties moeten zich daarom blijven voorbereiden op verstoring, door hun afhankelijkheden goed in kaart te brengen, passende maatregelen te nemen, regelmatig te oefenen en in het algemeen bewust te zijn van ketenafhankelijkheden voor bedrijfscontinuïteit.

Wie is verantwoordelijk binnen de keten?

Moeten de kwekers deze afwegingen allemaal voor zichzelf uitwerken? Of worden ze daarin ondersteund?
Ondernemers zijn zelf verantwoordelijk voor hun bedrijfscontinuïteit, ongeacht of een verstoring optreedt in hun eigen infrastructuur of die van hun ketenpartner. Er zijn bedrijven die kunnen helpen met adviezen en ondersteuning. Meer vraag naar dergelijke dienstverlening zal meer aanbod creëren.

Zou de vraag kunnen zijn, kunnen bedrijven voldoende van elkaar leren, zijn daar voldoende faciliteiten en platforms voor?
Een belangrijke rol is weggelegd voor brancheorganisaties en andere samenwerkingsverbanden. Organisaties zijn zelf verantwoordelijk voor hun bedrijfscontinuïteit en weerbaarheid. Waar nodig en gewenst kunnen zakelijke dienstverleners of in voorkomende gevallen Agentschap Telecom helpen om dat op gang te brengen.

Vraag is hoe je dat continue proces [van weerbaarheid] uitvoert als bedrijf (dat een heel andere focus heeft), zoals planten verkopen.
Ongeacht wat je primaire proces is, of dat nu ouderenzorg is of verkopen van planten, is elke organisatie zelf verantwoordelijk voor weerbaarheid en bedrijfscontinuïteit. In die zin is er dus geen tegenstelling tussen je focus op je primaire proces en de zorg voor weerbaarheid.

In hoeverre is de vaste ICT-dienstverlener van MKB-bedrijven voldoende in staat om hun klant te ontzorgen inzake cyber beveiliging & weerbaarheid? Zijn ze niet te vaak gericht op het verkopen en onderhouden van hard- en software?
Organisaties moeten zorgvuldig zijn in hun keuze van leverancier, en zorgen voor de juiste expertise en dienstverlening. Juist kleinere bedrijven kunnen beter toegerust zijn om in te spelen op individuele behoeften van klanten (maatwerk).

En in welke mate zijn MKB-bedrijven bereid om terugkerend geld te besteden aan cyber professionals die hen periodiek helpen hun cyber weerbaarheid op peil te houden?
Uiteindelijk is ondernemen en kwestie van bewust nemen van risico’s. Dat vereist wel dat MKB-bedrijven zich voldoende bewust zijn van hun afhankelijkheden en kwetsbaarheden.

Is het overheidslandschap qua ondersteuning vindbaar genoeg voor organisaties, met andere woorden kunnen organisaties vinden voor wat ze bij wie moeten zijn en hoe kan dat verbeteren?
Meer informatiedeling binnen de rijksoverheid, meer informatiedeling met brancheorganisaties en regelmatige symposia over het onderwerp kunnen allemaal helpen om die vindbaarheid te verhogen.

Zou het Digital trust center geen faciliterende rol kunnen bieden om ondernemers bij elkaar te krijgen en samen te werken naar weerbare ketens?
Verhoging van weerbaarheid in ketens vraagt om inspanningen en expertise die groter zijn dan één partij bieden kan. Het Digital Trust Center van het ministerie van Economische Zaken en Klimaat helpt ondernemers met cybersecurity. Agentschap Telecom biedt expertise van verbindingen, technische kwetsbaarheden en digitale infrastructuren. Brancheorganisaties hebben sectorspecifieke kennis, en het netwerk om organisaties samen te brengen. Ieder speelt een rol, maar de kracht schuilt in de samenwerking daartussen.

Draait de vitale sector op een best-effort IT-wereld?
Aan vitale sectoren worden uiteraard hogere eisen gesteld dan aan andere organisaties. Uitval is nooit 100% te voorkomen, en organisaties moeten zich daarom realiseren dat verstoring ooit een keer zal gebeuren, en daarop voorbereid zijn. Zeker in vitale sectoren wordt daarom regelmatig geoefend en geëvalueerd.

Hoe toetsen deze bedrijven of wat er door hun leveranciers is aangeboden wel voldoet regelgeving en de laatste stand der techniek?
Meer certificering van diensten en processen zou nuttig zijn. Naast voldoende vraag en aanbod moeten ook erkende certificeringsschema’s beschikbaar zijn. Daarnaast zien we dat het toenemende belang van digitale dienstverlening gepaard gaat met meer overheidstoezicht