Cyber resilience in het jaarverslag?

De recente cyberincidenten, of het nu gaat om (opzettelijke) cyberaanvallen of ongelukken, maken duidelijk dat cyber resilience (digitale veiligheid of veerkracht, zie tevens alinea ‘Wat is cyber resilience?’) een randvoorwaarde is voor omgevingen die in belangrijke mate afhankelijk zijn van ICT. Dat geldt zeker voor organisaties in de vitale infrastructuur, zoals banken, energiebedrijven, olie en gas, zorg, transport en (andere) multinationals. De Diginotar-affaire is een goed voorbeeld. Een geconstateerd lek in het rekencentrum van Diginotar in Beverwijk, zorgde ervoor dat ondernemers in, zeg, Harderwijk hun btw-aangifte niet konden doen bij de belastingdienst. Die laatste gebruikte daar namelijk digitale certificaten van Diginotar voor. De in het voorbeeld geschetste onderlinge digitale verbondenheid (we leven in een ’hyperconnected world!’) van organisaties versterkt ook het beeld dat cyber resilience noodzakelijk is én de eigen verantwoordelijkheid niet stopt bij de voordeur. Het is een gemeenschappelijke verantwoordelijkheid. Waarom? We profiteren immers allemaal van de voordelen van de digitale transformatie om ons heen, voordelen die meestal veel groter zijn dan de kosten en de risico’s die eraan verbonden zijn. ‘Net als in de gewone maatschappij, moeten we ook in de digitale wereld leren begrijpen wat de risico’s zijn.’¹

Wat is digitale transformatie?²

Met digitale transformatie bedoelen we de toepassing van digitale technologie in allerlei aspecten van de maatschappij. Door digitale transformatie (en dus het gebruik van digitale middelen) zijn nieuwe types van innovatie en creativiteit mogelijk, waardoor digitalisering meer toevoegt dan het verbeteren en efficiënter maken van bestaande werkwijzen.

Wat is cyber resilience?

In dit artikel gebruiken we in plaats van het begrip cybersecurity met opzet de term cyber resilience en als Nederlands synoniem gebruiken we ’digitale veiligheid’ (voor beide). We doen dat, omdat de term ‘cyber resilience’ ten eerste een minder technologische connotatie heeft. Cyber spreekt al een breder publiek aan dan ICT- of computersecurity, maar klinkt nog steeds vooral naar (technische) beperkingen in de toepassing van digitale technologie. Ten tweede brengen we met de term cyber resilience tot uitdrukking dat het gaat om de veerkracht die een organisatie zou moeten hebben om na een cyberaanval of onopzettelijk incident, de schade te beperken en zo snel mogelijk weer terug te veren naar een min of meer normale bedrijfsvoering. Een cyberincident is namelijk niet volledig te voorkomen en een gerichte cyberaanval heeft een hoge kans van slagen bij vrijwel alle organisaties. ‘Assume you have been breached’, is het motto.

Cyber resilience is geen zaak voor ICT alleen

De risico’s die de meeste organisaties lopen door cyberincidenten hebben rechtstreeks impact op belangrijke zaken als de continuïteit van processen, privacy van onze klanten en de bescherming van het intellectueel eigendom. Door de huidige nadruk in de maatschappelijke discussie over cybersecurity als technologisch onderwerp, blijft onderbelicht dat het een business-issue is. Het verdient echter de volle aandacht van het topmanagement én een vaste plek in het strategisch risicomanagement. De publieke opinie lijkt dit te ondersteunen voor een aantal vitale sectoren, gezien het Trends in Veiligheid onderzoek 2012 van Capgemini, uitgevoerd door TNS NIPO. Zowel op de vraag: “Als een overheidsorganisatie getroffen wordt door uitval van haar ICT-systemen, wat is dan volgens u de impact op de maatschappij?” als op de vraag: “Als een nutsbedrijf (drink-waterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij?”, antwoordt meer dan 80% van de respondenten, dat dit een grote of zeer grote impact heeft. De sense of urgency is bij het grote publiek klaarblijkelijk aanwezig.

Cyber resilience in strategisch risicomanagement

Bij strategisch risicomanagement gaat het om de driehoek assets (belangen), threats (bedreigingen) en controls (maatregelen). Een dreigingsanalyse, gerelateerd aan de kritische belangen van een organisatie, voedt de mate waarin maatregelen ter bescherming van die kritische belangen moeten worden genomen. Dit geldt overigens mutatis mutandis ook op nationaal en internationaal niveau. Inpassing van cyberrisico’s in het strategisch risicomanagement laat zien dat het topmanagement digitale dreigingen daadwerkelijk onderkent als risico voor de kernbelangen van de organisatie. Hieronder noemen we drie voorbeelden.

• Ten eerste (bescherming van) klantgegevens, zoals persoonsgegevens van bancaire klanten, patiënten, of kinderen die aan de zorg van een instelling zijn toevertrouwd. Het lekken van dergelijke gegevens of alleen al de schijn dat dit gebeurd is of had kunnen gebeuren, heeft een negatieve uitwerking op de reputatie van de organisatie. De hack van een server van Het Groene Hart Ziekenhuis in oktober 2012 en de daarop volgende (negatieve) publiciteit en kamervragen illustreren dit belang.
• Ten tweede continuïteit en integriteit van processen (niet alleen administratieve processen, maar juist ook fysieke processen in bijvoorbeeld de chemie of luchtvaart waar industriële controle systemen (ICS) voor monitoring en sturing moeten zorgen). De cyberaanval op Aramco in Saoedi Arabië laat zien, dat het uitschakelen van 30.000 kantoorcomputers een zeer grote impact heeft op de bedrijfsvoering. Jeffrey Carr is duidelijk over wat de CEO moet doen in zo’n geval: ”… the correct course of action for not only Aramco’s CEO but every CEO is to focus on being able to absorb an attack and not have it affect its critical operations.”³
• Ten derde het beschermen van het intellectueel eigendom, zoals in de farmacie of een hightech onderneming, maar ook de overheid als het bijvoorbeeld gaat om internationale onderhandelingsinformatie. Overheids- of bedrijfsspionage langs digitale weg is al jaren een zorg van de AIVD.⁴ Gevallen als de Night Dragon operatie laten zien hoe kwetsbaar industriële ondernemingen kunnen zijn.⁵ In Night Dragon werden met gerichte cyberaanvallen gegevens buit gemaakt bij multinationals uit de olieen gas sector.

Als een overheidsorganisatie getroffen wordt door uitval van haar ICTsystemen, wat is dan volgens u de impact op de maatschappij?” “Als een nutsbedrijf (drinkwaterbedrijf bijvoorbeeld) getroffen wordt door uitval van ICT-systemen, wat is dan volgens u de impact op de maatschappij?”

Met de assets in het achterhoofd kijken we vervolgens naar de dreigingen. Het algemene dreigingsbeeld voor Nederland, al dan niet aangevuld met eigen cyber threat intelligence van de organisatie, én een vertaling naar de eigen organisatie (welke belangen, kwetsbaarheden, algemene dreigingen, innovaties, marktontwikkelingen enzovoort) geven outside-in aan welk dreigingsprofiel de organisatie heeft. In zijn presentatie ‘The threats out there’ op The Grand Conference 2012, schetste Mikko Hypponen daders, motieven, uithoudingsvermogen en cybercapaciteiten als factoren die van belang zijn. Uiteindelijk constateerde hij dat hacktivisten, cybercriminelen en staten de belangrijkste actoren zijn om rekening mee te houden. Tot slot zijn er maatregelen nodig om onderkende risico’s te mitigeren. Twee trends zijn hierin zichtbaar:

• Ten eerste groeit de overtuiging dat de focus op (technologische) preventie niet voldoende is. Het versterken van de digitale veerkracht betekent ook dat detectie, respons en herstel geregeld moeten zijn.
• Ten tweede zien we, dat andere disciplines dan ICT zich voorzichtig aan bewust beginnen te worden van het belang van cyber resilience en van het belang van hun eigen discipline in het versterken van cyber resilience.

Een paar voorbeelden om dit te illustreren:

• Communicatie: kan bijdragen in (onder andere) versterken van bewustwording, crisiscommunicatie en reputatiemanagement.
• Juridische zaken: expert op het gebied van aansprakelijkheid en intellectueel eigendom.
• Strategie: geen plannen voor digitale transformatie zonder oog voor digitale veiligheid.
• Het primaire proces, zeker in ICSomgevingen waar operationele technologie (OT) en ICT naar elkaar toe groeien: integreren van de benadering veiligheid als safety met veiligheid als security.

The Grand Conference
Op 16 oktober 2012 vond de eerste ‘The Grand Conference’ plaats in Amsterdam, als outreach van de EU-US Working Group on Cyber Security and Cyber Crime en georganiseerd door CPNI.NL. Meer dan 150 functionarissen uit de vitale infrastructuur en cybersecurity uit Europa, de VS en Japan bezochten deze conferentie, die de vooruitgang van learning by doing naar leading by doing in cyber resilience faciliteerde. The Grand Conference 2012 deed dit door presentaties van onder andere Neelie Kroes, Rod Beckstrom, Harry van Dorenmalen en Mikko Hypponen met meer dan genoeg voer voor gedachten, masterclasses, discussies met peers en de gelegenheid om door het ondertekenen van de World Economic Forum Principles on Cyber Resilience daadwerkelijk leiderschap te tonen. TNO, KPN en Alliander deden dat dan ook en meer zullen volgen. The Grand Conference 2013 zal nog een stap verder gaan in het slaan van bruggen tussen verschillende disciplines, om cyberresilience nog verder in te bedden in de normale bedrijfsvoering van organisaties uit de vitale infrastructuur.

Stakeholders verwachten meer transparantie

Volgens een recent redactiestuk van het NRC zijn cyberdreigingen rechtstreeks van belang voor de beurswaarde van een organisatie. Het op straat terechtkomen van vertrouwelijke informatie kan bijvoorbeeld tot verlies aan beurswaarde en maatregelen van toezichthouders leiden. Wie zich slecht beveiligt, heeft ook een slecht verhaal naar de buitenwereld, is de conclusie. Belangrijke stakeholders zullen meer transparantie willen zien over de wijze waarop bedrijven en andere vitale organisaties omgaan met vertrouwelijke gegevens en/of het waarborgen van de continuïteit van gedigitaliseerde bedrijfsprocessen. Kortom, de vragen die op de bestuurstafel en in de aandeelhoudersvergadering thuishoren zijn die naar de risico’s en het overzicht op de kritische belangen die in de lucht moeten blijven. Cyber resilience moet wat ons betreft een onderdeel zijn van de jaarverslaggeving, net zoals duurzaamheid dat is geworden. Ook dit is in de afgelopen jaren uitgegroeid van hype tot hygiënefactor. Deze transparantie is belangrijk om het vertrouwen van de buitenwereld te versterken en intern de inspanningen die nodig zijn om dat vertrouwen waar te
maken te ondersteunen en te stimuleren. Twee vliegen in één klap!

Hoe maak je een organisatie meer cyber resilient?
Langs digitale weg kunnen kwaadwillenden schade aan een organisatie brengen, door inbreuk te doen op zaken die de reputatie en/of continuïteit van de organisatie raken. Bijvoorbeeld door het stelen of veranderen van (persoons- en bedrijfs-)gegevens, de operationele processen te verstoren of zaken die financiële positie van een organisatie raken. Juist daarom verdient het onderwerp een plek op de agenda van het strategisch management. Maar waar staat een organisatie op het gebied van cybersecurity/cyber resilience en wat is de concrete verbeterstrategie waarop het management zich moet richten? Hiervoor heeft Capgemini een Cyber Security scan ontwikkeld. Deze bestaat uit een analyse die circa zes weken duurt en geeft een organisatie inzicht in de belangrijkste waarden, bedreigingen en risico’s op het gebied van cybersecurity en cyber resilience . Via een proces waarin sleutelspelers uit de organisatie een belangrijke rol hebben, levert de scan in korte tijd meer inzicht op waar de organisatie nu staat, waar maatregelen op moeten worden genomen en een concrete verbeteragenda om de weerbaarheid en wendbaarheid van organisaties te vergroten. Tevens draagt de Cyber Security scan bij aan een hogere bewustwording van de digitale veiligheid in de organisatie.