Hoe verklein je het gat tussen digitale weerbaarheid en digitale dreiging?
Het Cybersecuritybeeld Nederland 2017 dat staatssecretaris Dijkhoff op 21 juni 2017 naar de Tweede Kamer heeft gestuurd, geeft aan dat de digitale weerbaarheid in Nederland achterblijft bij de groei van de dreigingen. De ontwikkelingen op het gebied van informatie- en communicatietechnologie (ICT) gaan zeer snel waardoor ook de dreigingen vanuit staten en criminelen sterk toenemen. Onze weerbaarheid, die bestaat uit technische, organisatorische en mensgerichte maatregelen, kan hier geen gelijke tred mee houden. Het gevolg daarvan is dat onze maatschappij kwetsbaarder wordt omdat de beveiliging van onze ICT steeds verder achterop komt te lopen. Deze gap wordt steeds groter. Hoe zorgen we dat we meer grip krijgen op deze ontwikkeling?
De digitale weerbaarheid in Nederland blijft achter bij de groei van de digitale dreigingen, de gap groeit.
Een goede aanpak voor de veilige implementatie van innovaties helpt om de gap kleiner te maken.
Cybersecuritykennis van de boardroom is hierbij cruciaal.
Manifestatie van een dreiging
Hoe groot de gevolgen kunnen zijn bleek op 27 juni 2017, toen een wereldwijde besmetting met ransomware plaatsvond, waardoor ook meerdere organisaties in Nederland werden geraakt. De zogenaamde Petya malware (ook wel Wannacry genoemd) legt de informatievoorziening van verschillende organisaties plat. Het meest bekende voorbeeld in Nederland is het stilvallen van containerterminal Maersk, waarmee ook de daaraan verbonden logistieke ketens flink werden verstoord. Veel meer organisaties hebben wekenlang niet goed kunnen functioneren, zonder dat dit altijd de pers heeft gehaald.
Toenemende afhankelijkheid
Deze cyberaanval toont aan dat onze maatschappij in grote mate afhankelijk is van de betrouwbare werking van ICT. Wanneer ICT als gevolg van een cyberaanval niet meer (goed) functioneert, komen organisaties en de ketens waarin zij deelnemen tot stilstand. De afhankelijkheid van ICT neemt in rap tempo toe, waardoor ook de gevolgen van een cyberaanval voor de Nederlandse samenleving toenemen.
We staan aan de vooravond van een hausse aan innovaties, waarmee ICT steeds dieper in onze samenleving doordringt en de complexiteit toeneemt. Met het Internet of Things (IoT) wordt alles aan elkaar verbonden, een modern witgoed apparaat heeft tegenwoordig wifi en kan met een app worden bediend en communiceert met zijn omgeving. Nog ingrijpender is de virtuele robotisering die wordt ingezet met robotic process automation (RPA), gevolgd door Artificial Intelligence (AI) waarbij steeds meer voorzieningen zelfbeslissend worden, zoals zelfsturende auto’s.
Onze weerbaarheid
Met de toenemende afhankelijkheid van ICT wordt het belang van het goed functioneren ervan en het daaraan gekoppelde vertrouwen van de samenleving in innovaties steeds groter. Daarvoor is nodig dat onze weerbaarheid gelijke tred houdt met de dreigingen die de betrouwbaarheid van ICT aantasten. De cruciale vraag die voorligt is: welke mogelijkheden heeft de samenleving om de gap tussen dreiging en weerbaarheid het hoofd te bieden? De digitalisering van processen is immers niet te stoppen en innovaties die we nu nog niet kennen (de zogenaamde unknown unknowns, een term geïntroduceerd Donald Henry Rumsfeld, voormalig U.S. Secretary of Defense2) zullen zich de komende jaren ook aandienen. Een aantal initiatieven is gelukkig in gang gezet om vroegtijdig cybersecurity mee te nemen in de ontwikkeling van producten. Denk aan het voorgenomen voorstel van de Europese commissie om de kwaliteit van securityproducten te bevorderen door certificering3. Door op deze wijze security by design te bevorderen wordt cybersecurity in de ontwikkeling van producten en diensten meegenomen en krijgen burgers en bedrijven producten die in grotere mate inherent veilig zijn.
Omgaan met de gap
Hoe kun je het beste omgaan met cybersecurity en de adoptie van innovaties zoals IoT, RPA en AI? De volwassenheid van innovaties is vanzelfsprekend beperkt en cybersecurity wordt vaak niet vanaf de start van de ontwikkeling en introductie meegenomen. Van het grootste belang is dat de primaire processen blijven functioneren en dat geen onnodige risico’s worden geïntroduceerd. Wat u zelf kunt en moet doen is daarom afhankelijk van de mate waarin technologie innovatief is.
Gaat het om zeer innovatieve technologie, zoals AI, dan is het verstandig om in een vroeg stadium expertise op te bouwen van niet alleen de functionele toepassingsmogelijkheden, maar ook van de risico’s en van wat passende cybersecuritymaatregelen voor uw organisatie zijn. Zie ring 1 in figuur 1.
Gaat het om technologie die nieuw voor u is, zoals IoT, maar inmiddels breed toegepast wordt, zorg er dan voor dat u in een Proof of Concept (PoC) zowel de benefits als de risico’s voor uw organisatie in de praktijk test, inclusief de cybersecuritymaatregelen die in uw situatie nodig zijn. Zie ring 2 in figuur 1.
Gaat het om nieuwe technologie die u toepast in uw primaire proces, zorg er dan door middel van security & privacy by design voor dat u meteen bij de start de juiste maatregelen in kaart brengt en onderdeel laat zijn van de implementatie.
Zorg daarnaast voor een gefaseerde invoering door klein te beginnen met niet-kritische processen.
Iedere organisatie moet voor zichzelf het innovation playbook invullen, wat past bij het ambitieniveau van de organisatie. Zie in figuur 2 een voorbeeldinvulling.
Het innovation playbook kan worden gebruikt als hulpmiddel om op boardroomniveau begrip te kweken voor het cybersecure implementeren van innovaties. Een voorwaarde hierbij is dat op boardroomniveau voldoende begrip is van wat cybersecurity betekent voor de organisatie. Als er in de boardroom te weinig kennis aanwezig is, zorg dan dat je dit kennisniveau omhoog brengt.4
Is de gap hiermee gedicht? Dat nog niet, maar u heeft ervoor gezorgd dat u zelf het maximale heeft gedaan om niet te struikelen over innovatie. Mind the gap!
