Digitale weerbaarheid: veilig en wendbaar in digitale tijden

 
14 juli 2020

Tekst Erik Bouwer

De digitale transformatie dicteert dat organisaties hun wendbaarheid moeten vergroten. Investeren in je aanpassingsvermogen reduceert de kans dat je organisatie het loodje legt als gevolg van disruptie. Tegelijkertijd stellen IT -organisaties alles in het werk om de vijand buiten de deur te houden, want met al die technologie aan boord worden we kwetsbaar voor cybercriminelen. Wat blijft er over van een digitale organisatie als ‘digitaal’ ophoudt te functioneren?

Eind 2019 maakte Universiteit Maastricht bijna twee ton over aan hackers om verlost te raken van ransomware. Net voor de Kerst 2019 wisten criminelen binnen te dringen en de systemen te versleutelen. Oorzaak: een klik op een phishingmail. Gevolg: in totaal 269 servers versleuteld in minder dan vijftig minuten en een universiteit met 18.000 studenten en 4.400 medewerkers die twee weken platlag. De Universiteit koos ervoor wel te betalen, want zo stelde zij (interview Trouw, 5 februari 20201) ‘als er niet was betaald, dan had het misschien wel weken of maanden geduurd voordat iedereen weer aan de slag kon en waren sommige bestanden mogelijk verloren gegaan’. Opmerkelijk: afgelopen voorjaar riep justitieminister Grapperhaus verzekeraars op om losgeldbetalingen van organisaties aan hackers niet te vergoeden.

Op 14 december 2019 riep de stad New Orleans de noodtoestand uit. Oorzaak: een cyberaanval op de dag daarvoor, veroorzaakt door een medewerker die een phishinglink in een e -mail had aangeklikt. De belangrijkste systemen van New Orleans waren gehackt door ransomware. Korte tijd later gaf de IT -organisatie van de stad aan alle medewerkers het bevel om bij alle computers de wifiverbinding uit te schakelen, alle computers uit te zetten en alle randapparatuur los te koppelen. Niet alleen moest de stad direct overschakelen op pen en papier, een maand later hadden medewerkers nog steeds geen toegang tot oude e -mails en waren de herstelkosten al opgelopen tot meer dan 7 miljoen dollar. Het zou nog maanden duren om alle systemen weer ‘schoon’ te krijgen. Verschillende processen voor zowel burgers als ambtenaren waren tot stilstand gekomen of liepen ernstige vertraging op.

Nog geen maand later waarschuwde het Nationaal Cyber Security Centrum (NCSC) van het Nederlandse Ministerie van Justitie en Veiligheid voor de gevolgen van een groot datalek bij Citrix. Meer dan zevenhonderd Nederlandse bedrijven zouden een verhoogd risico lopen op datadiefstal of ransomware; een week na de waarschuwing van het NCSC kwamen er bij de Autoriteit Persoonsgegevens 29 meldingen binnen van mogelijke datalekken.

Veilig en wendbaar in digitale tijden 

In de media is steeds meer aandacht voor bedreigingen die te maken hebben met datalekken, DDoS-aanvallen of ransomware – en de gevolgen ervan die steeds ingrijpender lijken te worden. Met steeds meer ‘digitaal’ in de bedrijfsvoering is het de vraag wat er moet gebeuren om bedrijven weerbaar te maken tegen digitale en analoge rampen. Hoewel grote organisaties investeren in security (het buiten de deur houden van de vijand) en in bedrijfscontinuïteit (denk aan redundancy en voorzieningen voor back-up en restore – zie ook het verslag van de expert interviews), zijn bedrijven nog te weinig bezig met hun digitale weerbaarheid: hoe moet je verder met je bedrijf nadat je tot stilstand bent gedwongen door ontwrichtende rampen?

Wat is digitale weerbaarheid? 

Digitale weerbaarheid gaat over de bedrijfscontinuïteit nadat de vijand de systemen en daarmee je bedrijf heeft lamgelegd. Melanie Peters, directeur van het Rathenau Instituut, zegt in vakblad iBestuur (gewijd aan de digitale overheid) dat het antwoord op kwetsbaarheid van digitale technologie – verstoringen door uitval, datalekken, hacks en ransomware – meestal gezocht wordt in ‘méér technologie’. Bedrijven zetten dan in op extra beveiligingsmaatregelen, betere back-ups, redundante oplossingen en noodvoorzieningen.

Ook Marleen Stikker (directeur Waag Society) wijst in hetzelfde artikel op die neiging: de respons op calamiteiten wordt gezocht in ‘méér digitaal’. Ze vreest dat weinig organisaties zijn voorbereid op de stap terug van digitaal naar analoog – zoals in New Orleans, waar ambtenaren letterlijk moesten terugkeren naar werken met pen en papier. Waar Peters vindt dat meer technologie toevoegen geen oplossing is voor de digitale kwetsbaarheid van organisaties, gaat Stikker een stap verder: zij vindt dat we terug moeten naar de tekentafel. Zo pleit ze onder meer voor multidisciplinaire ontwerpprocessen en voor een ‘maatschappelijke windtunnel’ die wordt ingezet voordat nieuwe technologie wordt uitgerold.

Hoe groot is dit probleem?  

De versnipperde IT-landschappen van decennia geleden – zo hadden zowel Gemeente Amsterdam als Philips een aantal jaren geleden nog meer dan vijfduizend applicaties in de lucht – maken geleidelijk plaats voor landschappen met omvangrijke standaardoplossingen. Als daar snel nieuwe functionaliteit aan moet worden toegevoegd, omdat de business snel wil inspelen op nieuwe ontwikkelingen, gebeurt dat veelal via ‘point solutions’ en API’s.

Daarnaast dringt technologie steeds dieper door in bedrijven en in de samenleving – onder meer door de opkomst van het internet of things (IoT). Dat het IoT geen toekomstmuziek is, maar onderdeel van ons dagelijks leven, toonde Aiko Pras (hoogleraar internetveiligheid, Universiteit Twente)2 afgelopen zomer aan in dagblad Tubantia. In een onderzoek naar de beveiliging van de Nederlandse fysieke infrastructuur (bruggen, sluizen, enzovoorts) bleken zestig van de duizend onderzochte objecten zo lek als een mandje – “… dermate grote beveiligingslekken dat het voor hackers kinderspel is om ze uit te schakelen of te saboteren”, aldus Pras.

Complexiteit van IT – vaak een reden waarom veiligheidsrisico’s niet of te laat worden ontdekt – wordt dus niet gereduceerd, maar verandert van gedaante. Terwijl ook IT-eindgebruikers fouten blijven maken, zitten de aanvallers niet stil. Cybercriminelen beschikken over de meest actuele IT-kennis. Alleen al rond het coronavirus is een criminele deelsector ontstaan die zich niet beperkt tot de online verkoop van ‘antibacteriële bankpassen’, maar ook gevaarlijke COVID-tracker apps en grote volumes aan spam rondom corona omvatten.

Corona-proof

De recente coronacrisis laat zien dat ontwrichting ook uit onverwachte hoek kan komen. De crisis maakt duidelijk dat de wendbaarheid van gedigitaliseerde organisaties relatief is. Veel bedrijven hadden meer dan een maand nodig om over te schakelen op thuiswerken – niet omdat de technologie er niet was, maar omdat de aanpassing niet snel schaalbaar bleek. In andere markten bleken de digitale disruptors van weleer even kwetsbaar als hun analoge voorlopers: de businessmodellen van Uber en Airbnb kwamen net zo in het nauw als die van de horeca. Gemeente Amsterdam kwam tot de ontdekking dat de infrastructuur rondom de digitale werkplek niet berekend was op grootschalig gebruik van Microsoft Teams. Offshore IT- en BPOdienstverleners in India en de Filipijnen ontdekten dat thuiswerken niet langer werd tegengehouden door klanten (wat lange tijd aan de orde was), maar dat in veel gevallen de gebrekkige internetverbinding bij de medewerkers thuis voor grote problemen zorgde. De Australische telecomprovider Telstra haalde daarom grote aantallen supportfuncties terug vanuit de Filipijnen naar eigen land. Ook in Duitsland leidde de bandbreedte van privé-internetvoorzieningen tot beperkte mogelijkheden met videoconferencing. Met name Indiase serviceproviders zijn geconfronteerd met een enorme terugval in de vraag3 naar IT-diensten van Amerikaanse en Europese opdrachtgevers.

De zorgen nemen toe 

Er is meer te beschermen dan ooit. Dat bij bestuurders en toezichthouders van bedrijven de zorgen toenemen, is dan ook terecht. Datalekken en cyberaanvallen staan bovenaan het lijstje met risico’s, zo blijkt uit onderzoek van advocatenkantoor Allen & Overy en consultancybureau Willis Towers Watson.4 De helft van de ondervraagde bestuurders noemt datalekken en cyberaanvallen de grootste bedreigingen voor de continuïteit van de organisatie. Dat bewustzijn is wellicht vergroot door de invoering van de General Data Protection Regulation (GDPR) in Europa, waarbij overtredingen kunnen leiden tot forse boetes.

Competenties schieten tekort 

Maar de zorgen bij bestuurders leiden niet tot ander gedrag. Een van de oorzaken is het gebrek aan relevante competenties bij bestuurders en toezichthouders. Volgens het onderzoek Nulmeting digitale transformatie in boardrooms in Nederland5 uit maart 2019 (een initiatief van het Nationaal Register, Nederland ICT en VNO-NCW) denkt slechts een kwart van de commissarissen in Nederland dat hun kennis over digitalisering en de digitale transformatie afdoende is. Eén procent van de directeuren denkt dat hun toezichthouders ook werkelijk capabel genoeg zijn om over de digitale transformatie te oordelen. Niet onbelangrijk: van de 173 respondenten was 76 procent ouder dan vijftig jaar en 72 procent man; ruwweg twee derde deel is werkzaam in een rvc/rvt, de rest in een rvb– of directiefunctie. Die conclusies werden door het Nationaal Register ‘pijnlijk’ genoemd. Ze werden als volgt door onderzoeker Valerie Frissen samengevat6: “Commissarissen zien digitalisering toch vooral als iets operationeels en niet als iets dat grote impact heeft op hun organisatie en dus van strategisch belang is.” Veel commissarissen blijven naar haar mening steken aan de oppervlakte – met als risico dat je blijft hangen bij wat je in de media kunt lezen over technologietrends. Dat commissarissen en bestuurders tekortschieten in digitale kennis, is overigens een lang bestaand probleem, zo blijkt uit onderzoek7.

Ook het Centrum voor Informatiebeveiliging en Privacybescherming (CIP, een publiek-private organisatie, opgezet door de Belastingdienst, DUO, SVB en UWV waar ook het bedrijfsleven aan deelneemt) kwam afgelopen najaar met slecht nieuws. Uit onderzoek van CIP blijkt dat de Chief Information Security Officer (CISO) bij de overheid relatief onervaren is en vaak geen of nauwelijks budget heeft. Veertig procent heeft nul tot twee jaar ervaring en nog eens veertig procent heeft twee tot vijf jaar ervaring. 69 procent heeft een parttimefunctie, 77 procent heeft geen medewerkers, 62 procent heeft geen of slechts een klein budget. 

CISO is geen superman 

Om het IT-securityvraagstuk aan te pakken, besluiten sommige bedrijven tot het aanstellen van een CISO. Maar dat lost het probleem niet op, zo blijkt uit onderzoek van Kaspersky. Uit een wereldwijde enquête onder 305 informatiebeveiliging-leidinggevenden (uitgevoerd in het derde kwartaal van 2019) bleek dat de CISO in negentig procent van de gevallen regelmatig door het bestuur wordt geraadpleegd voor beveiligingsaanbevelingen. Meestal is dat na een incident. Maar uitgebrachte adviezen van CISO’s (die slechts in 23 procent van de gevallen rapporteren aan de rvb) leiden niet tot een bijbehorend budget. CISO’s moeten hun budget vrijwel altijd uit het IT-budget halen en bijna de helft van de CISO’s ervaart hierbij concurrentie met andere IT-initiatieven.

Ook recenter internationaal onderzoek8 van de Information Systems Audit and Control Association (ISACA, februari 2020) onder ruim tweeduizend IT-beveiligingsverantwoordelijken, laat zien dat bijna twee derde van de organisaties klaagt over onderbezette securityteams. In 2019 becijferde ISACA dat het wereldwijde tekort aan IT-beveiligers 4,07 miljoen professionals bedraagt – 26 procent meer dan in 2018. Daarbij is er vooral een tekort aan specialisten die begrijpen hoe operationele processen werken – een beeld dat ook wordt bevestigd in de expert interviews. Daarnaast is IT-security vaak meer gericht op technologie dan op de toestand van de organisatie na een digitale ramp.

Ook op andere plekken in de organisatie is zichtbaar dat het omgaan met bedreigingen en risico’s een probleem is. Als het gaat om die verantwoordelijkheid, gaapt er een groot gat tussen de verwachtingen van debusiness en de maatregelen die de ontwikkelaar neemt. Afgaand op een eerste onderzoek voelt nog geen derde van de ontwikkelaars zich verantwoordelijk voor de veiligheid9 van het geleverde werk. Dit roept de vraag op in welke mate er bij het inkopen en uitvragen van nieuwe functionaliteit rekening wordt gehouden met ontwerpprincipes zoals bij Common Ground (een architectuur-filosofie voor de overheids-IT) het geval is. Moeten klant en IT-dienstverleners samen met elkaar verder vooruitkijken en hun ideeën toetsen aan verschillende toekomstscenario’s?

Oplossingen: kijk verder dan IT 

Dit brengt ons bij de oplossingen. Dat organisaties overvallen worden door rampen die het primaire proces volledig lamleggen, is niet per definitie een natuurverschijnsel. Een groot deel van eventuele schade is een gevolg van menselijke beslissingen uit het verleden. 

Zo is het ook een keuze om te gaan nadenken over de vraag in hoeverre ‘het onplanbare planbaar’ is. Daarnaast zouden IT’ers, naast privacy by design, ook meer rekening kunnen gaan houden met security by design. Dat betekent onder meer dat IT meer verstand moet krijgen van mensen (meer rekening houden met menselijk gedrag), en dat mensen meer verstand moeten krijgen van IT (meer rekening houden met de consequenties van hun gebruik van IT).

Uit de expert interviews blijkt dat security, weerbaarheid en scenariodenken onder druk staan van onder meer budgetten, de waan van de dag en het gebrek aan competenties. Daarmee wordt duidelijk dat het versterken van digitale weerbaarheid eerder een kwestie is van mensen dan van technologie. Oplossingen kunnen worden gezocht in het verjongen van raden van bestuur en raden van commissarissen. Een goede veiligheidscultuur, tot uiting komend in budget en gedrag, komt eerder tot stand als de CISO en/of CIO het verhaal goed kunnen uitleggen aan met name de board. 

Daarnaast zouden vraagstukken rond bedrijfscontinuïteit onderdeel moeten zijn van de samenwerkingsverbanden met serviceproviders. Serviceproviders en uitbesteders kunnen – juist nu, in crisistijd – op drie niveaus naar de bedrijfscontinuïteit kijken.

Bij het eerste niveau gaat het om het zorgdragen voor ‘keeping the lights on’. Bij de coronacrisis hebben serviceproviders bijvoorbeeld veel klanten geholpen met het versneld en op grote schaal uitrollen van thuiswerkplekken. Dat is méér dan alleen opschalen: omdat er minder tijd beschikbaar is voor het checken van hardware, netwerken en beveiligingsmaatregelen, nemen de risico’s navenant toe. Dat wordt ook onderschreven door meer dan helft van de legal en compliance officers van 145 bedrijven, ondervraagd door Gartner in april 2020. Meer dan de helft was ervan overtuigd dat cybersecurity en datalekken het grootste risico vormden in de samenwerking met serviceproviders10 tijdens crisistijd.

Bij het tweede niveau gaat het erom dat bedrijven samen met hun dienstverleners kijken naar het beschermen van de bottom-line. Onderdeel hiervan is het reflecteren op de maatregelen uit de eerste fase: waar moet worden bijgestuurd en wat is de impact van de genomen maatregelen op zowel serviceprovider als klantorganisatie?

Het derde niveau heeft betrekking op het zoeken naar structurele oplossingen en aanpassingen in de nieuwe situatie. Voor welke processen is het urgent en belangrijk dat ze geformaliseerd en/of geautomatiseerd worden, zodat ze ook op middellange termijn beheersbaar blijven? Bij deze stap is het essentieel dat bedenkers en beslissers geoefend zijn in afwijkende toekomstscenario’s. En dat ze rekening houden met een dubbele uitdaging: het ontwerpen van een nieuw toekomstplan, dat op zijn beurt weer snel ingehaald kan worden door een ander scenario.

De coronacrisis zal in de nodige gevallen zijn aangegrepen om terug te vallen op overmachtclausules, met aan de andere kant wellicht meerwerk voor het bieden van extra flexibiliteit. Onderdeel van de derde stap is dan ook dat opnieuw moet worden gekeken naar de samenwerking en de contracten tussen uitbesteders en dienstverleners. Het gaat dan om uiteenlopende vragen, zoals:  
– Welke scenario’s kunnen worden opgesteld voor de komende maanden en kwartalen?  
– Welke aanvullende diensten zijn nodig om een volgende crisissituatie het hoofd te bieden?  
– Kan de IT-dienstverlener nog aan de verplichtingen voldoen?  
– Welke projecten lopen gevaar?  
– Kunnen nearshore- en offshore-locaties het noodzakelijke tempo van door te voeren aanpassingen verwerken?
– Welke extra flexibiliteit verwacht de klant van de dienstverlener?  
– Welke risico’s treden op en welke mitigerende maatregelen zijn nodig, bijvoorbeeld als gevolg van toegenomen VPN-gebruik? 
Welke extra activiteiten zijn nodig op het gebied van managed security (monitoring, trainingen)?
– Welke data zijn wel en niet toegankelijk?  
– In hoeverre is het nodig om de planning van audits aan te passen?  
– Hoe wordt omgegaan met werklocaties, overlegmomenten en reiskosten? 

Scenarioplanning 

De CIO zal in het post-coronatijdperk de focus nog verder moeten verbreden en meer moeten bewaken dan alleen de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en de bijbehorende processen en systemen. Een uitstekend securitybudget en -beleid zijn niet voldoende om de bedrijfscontinuïteit te waarborgen in extreme situaties. Bijvoorbeeld de situatie dat je extreem moet afschalen (IT uitzetten, zoals New Orleans en Universiteit Maastricht) of extreem moet opschalen (bedrijven zoals Eneco en ING moesten in een paar dagen tijd meer dan duizend medewerkers voorzien van een thuiswerkplek).

Wellicht wordt het tijd voor het oprekken van de traditionele incidentresponseplannen als steeds meer processen digitaal worden. Daarom zouden bedrijven onder leiding van CISO’s nog meer aan scenarioplanning kunnen doen. Het kan niet anders dan dat de coronacrisis hiervoor voldoende aanleiding én inspiratie biedt.

Noten
1. https://www.trouw.nl/binnenland/universiteitmaastricht-over-de-hack-we-konden-niet-anders-danbetalen~bb2f0c13/ 
2. www.utwente.nl/nieuws/2019/8/233528/vitaleinfrastructuren-in-nederland-kwetsbaar-voor-hackers
3. www.moneycontrol.com/news/business/covid-19- impact-it-outsourcing-business-takes-a-hit-as-us-ukenterprises-cut-back-on-operations-5103851.html
4. iir.nl/blog/dit-staat-de-ciso-van-de-toekomst-tewachten/
5. www.nationaalregister.nl/files/onderzoek_ nulmetingcover-13maart2019-b-per_pagina.pdf 
6. www.nationaalregister.nl/kennisbank/zorgelijkegeluiden-nulmeting
7. www.toii.nl/commissaris-is-nog-steeds-voetgangerop-de-digitale-snelweg/ 
8. https://www.agconnect.nl/artikel/vooral-vraag-naartechnische-it-beveiliger 
9. https://www.agconnect.nl/artikel/weinigontwikkelaars-zien-veiligheid-als-hunverantwoordelijkheid 
10. www.gartner.com/en/legal-compliance/trends/gc-covid-response