Goede voorbereiding op digitale ontwrichting verbetert de crisisrespons

Op 9 september 2019 publiceerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport ‘ Voorbereiden op digitale ontwrichting’. De WRR concludeert in hun rapport dat een betere voorbereiding nodig is om zowel de overheid, bedrijven als de samenleving te beschermen tegen digitale ontwrichting.

Op 9 september 2019 publiceerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport ‘Voorbereiden op digitale ontwrichting’. De WRR concludeert in hun rapport dat een betere voorbereiding nodig is om zowel de overheid, bedrijven als de samenleving te beschermen tegen digitale ontwrichting. Uitval van de digitale infrastructuur kan namelijk grote gevolgen hebben op de fysieke wereld (bruggen, watervoorziening, elektriciteit, etc.) met alle gevolgen van dien.

De steeds groter wordende wisselwerking tussen de digitale en fysieke wereld maakt ons kwetsbaar. Uit het boek ‘Het is oorlog maar niemand die het ziet’ van Huib Modderkolk dat vorige week is verschenen, blijkt Nederland een grote rol gespeeld te hebben in de ontwrichting van de nucleaire centrale in Natanz, Iran. Dit is het ultieme voorbeeld van wat cyberaanvallen kunnen aanrichten in de fysieke wereld. Dit voorbeeld speelde zich tien jaar geleden af. Welke nieuwe methoden en technieken zijn er tegenwoordig al niet beschikbaar om ons elektriciteitsnetwerk, dataverkeer of bruggennetwerk te verstoren?

De noodzaak om goed voorbereid te zijn op een cybercrisis is iets wat organisaties tegenwoordig in zowel het publieke als private domein inzien. Toch hanteren veel van deze organisaties hun traditionele crisisbeheersing, terwijl een cyberaanval diverse kenmerken bevat die om een andere crisisaanpak vragen. Tijdens een cyberaanval kan er bijvoorbeeld sprake zijn van een snelle (geografische) verspreiding en is er niet altijd direct een oplossing aanwezig doordat de bron vaak onbekend is.

Om beter voorbereid te zijn op een cyberaanval, heeft de WRR verschillende aanbevelingen opgenomen in hun rapport:

  1. Creëer een helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen.
  2. Stel in aanvulling op het huidige Cybersecuritybeeld een Cyberafhankelijkheidsbeeld op, dat inzichtelijk maakt van welke partijen, digitale processen en diensten het functioneren van vitale processen in de Nederlandse samenleving afhankelijk is.
  3. Besteed bij het beleid voor vitale infrastructuur meer aandacht aan de ketens en netwerken die vitale processen ondersteunen. Onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen.
  4. Stimuleer onderzoek naar de haalbaarheid van een Nederlandse of Europese cyberpool om schade als gevolg van digitale ontwrichting te verzekeren.
  5. Benut nationale en internationale incidentdata beter om lessen te trekken met het oog op toekomstige verstoringen.

De aanbevelingen uit het rapport van de WRR helpen om ons beter te voor te bereiden op digitale ontwrichting. Aanvullend op deze aanbevelingen zien wij vanuit verschillende opdrachten de volgende relevante aandachtspunten voor de crisisbeheersingsorganisatie:

  1. Borg in de organisatie een verantwoordelijke (groep) voor de duiding van de effecten van het cyberincident. Binnen een organisatie zijn er medewerkers die de bedrijfsprocessen kennen. Daarnaast zijn er partijen die aan bronbestrijding kunnen doen. Maar welke effecten heeft de cyberaanval op jouw bedrijfsprocessen? Belangrijk is om te zorgen dat iemand dit op een begrijpelijke manier kan uitleggen zodat de juiste maatregelen – zowel operationeel als strategisch – kunnen worden genomen.
  2. Zorg voor een constante OTO-cyclus gedurende het jaar (Opleiden, Trainen en Oefenen). Benadruk in de OTO-cyclus zowel mens, proces als techniek: het creëren van awareness, het up-to-date houden van crisisplannen, het trainen en oefenen van de crisisorganisatie en het bijscholen van technisch personeel.

100% veiligheid bestaat niet. Toch laat het rapport van de WRR zien dat er nog veel stappen moeten worden gezet om in toekomst beter voorbereid te zijn. Dit vraagt om aandacht en implementatie van de bovengenoemde aanbevelingen. Alleen dan kan de crisisrespons bij digitale ontwrichting worden verbeterd.