Veerkracht bij uitval van digitale dienstverlening

De afhankelijkheid van digitale dienstverlening

Digitale dienstverlening dringt diep door in ons dagelijks leven. Denk maar aan het gebruik van online bankieren, winkelen op internet of het gebruik van de OV-chipkaart. Ook de belastingaangifte en het beschikken over de laatste gegevens over ons pensioen gaat online. Bijna iedere vorm van digitaal contact met onze overheid verloopt via identificatie met DigiD. Maar
ook onze persoonlijke brievenbus is online en in de Cloud via een mailservice van Google, Microsoft of Apple. De maatschappij en de overheid digitaliseren in rap tempo en ontwikkelen steeds meer kritieke diensten online. In rampen en crisistijd hebben we NL-Alert die ons waarschuwt, onze telefoons worden gebruikt als alarmoproepsysteem. Als de website van Albert Hein’s Allerhande op eerste kerstdag er uit ligt, is er grote paniek over de bereiding van het kerstdiner. We kunnen niet meer zonder goed functionerende en veilige digitale dienstverlening. Verstoringen zorgen voor een grote impact in onze maatschappij. Zowel organisaties als individuele gebruikers vertrouwen op de veiligheid en werkzaamheid van digitale systemen. Of in woorden van de Europeese Commissie: “The more we depend on the internet – the more we depend on its security.”

“Afgelopen jaren kregen diverse organisaties te maken met DDoSaanvallen. In 2013 waren voornamelijk de banken in het nieuws, in 2014 richtten de aanvallen zich op diverse internet providers, scholen en een aantal andere organisaties zoals bijvoorbeeld Wegener en 9292.nl. In verschillende phishingcampagnes werden de namen van Nederlandse organisaties misbruikt. In sommige gevallen was het doel van deze phishes de installatie van cryptoware (gericht op bijvoorbeeld Intrum Justitia, DHL, PostNL en Bol.com) en in andere gevallen was er sprake van meer traditionele phishing met als doel het verkrijgen van inloggegevens of andere gevoelige gegevens zoals paspoortkopieën (gericht op bijvoorbeeld de Belastingdienst, IBAN, rijksoverheid.nl, RDW en KPN).”

 

Bron: Ministerie V&J, Nationaal Cyber Security Centrum, End-of-year.

Verstoringen van digitale dienstverlening nemen toe

Verstoring van dienstverlening manifesteert zich in verschillende hoedanigheden. Variërend van fouten in het systeem, direct verstorende activiteiten zoals DDoS aanvallen, tot indirecte verstoringen die gericht zijn op stelen van kwetsbare en waardevolle data en informatie. Er zijn afgelopen jaar een aantal verstoringen geweest met aanzienlijke impact op de dienstverlening van de getroffen organisaties (zie kader). Grote vraag is of deze organisaties voorbereid zijn geweest op dit soort verstoringen en hoeveel impact heeft het gehad op hun klanten, medewerkers en het resultaat van de organisatie. Digitale verstoringen vormen een relatief nieuwe dimensie in een breed scala aan verstoringen die een organisatie kunnen treffen. Het vormt daarmee een aanvulling op de set van bestaande veiligheidsrisico’s van een organisatie. Digitale veiligheid is daarmee een noodzakelijke randvoorwaarde voor de continuïteit van de organisatie en moet onderdeel zijn van een integrale veiligheidsbenadering. In de voortschrijdende digitalisering van onze samenleving kunnen organisaties digitale verstoringen niet onderschatten en zullen zij noodzakelijke
maatregelen moeten nemen.

Respons op digitale verstoringen

Verstoringen van digitale diensten zijn er iedere dag. Veelal is er een aanwijsbare oorzaak die eenvoudig kan worden opgelost. Kleine organisatie hebben een eigen beheerder, grote organisaties een professioneel Security Operations Center (SOC). Van deze entiteiten wordt verwacht dat zij verstoringen snel verhelpen en zorgen dat een verstoring geen incident wordt. Binnen de nationale crisisstructuur wordt een incident omschreven als: “Een klein voorval dat de openbare orde in enige mate stoort. Een incident is redelijk eenvoudig en met beperkte inzet van middelen te herstellen.” Een incident kan dus gemitigeerd worden op operationeel niveau maar vraagt wel specifieke aandacht van een specialist. In sommige gevallen is een team van specialisten noodzakelijk, er is dan sprake van een ‘interne opschaling’. In de volksmond word al snel gesproken van ‘crisis’, een term een term die op nationaal niveau niet snel gebruikt wordt. “Onder een IT-crisis wordt verstaan een dreiging of crisis waarbij de bron en/of het effect ligt in het IT-domein, waarbij één of meer vitale belangen in het geding zijn en waarvoor de reguliere structuren niet toereikend zijn.” Een IT-crisis is dus een voorval met grote impact, zoals een IT-dreiging, kwetsbaarheid of incident, dat zich (mogelijk) voordoet, de betrouwbaarheid, integriteit of bereikbaarheid van de vitale sectoren schaadt en qua besluitvorming rond de te nemen maatregelen niet kan worden afgedaan op operationeel niveau. Bij een crisis is, in tegenstelling tot een incident, ook een tactische en strategische dimensie betrokken. Deze systematiek van definiëring op operationeel, tactisch en strategisch niveau is zowel bruikbaar voor publieke als private partijen. Iedere organisatie moet voor zichzelf duiden welke impact een verstoring van een digitale dienst heeft. De impact gaat verder dan de IT-impact, cruciaal is de inschatting van de business impact. Is er sprake van een kort durende verstoring, raakt de verstoring primaire dienstverlening of is er sprake van een continuïteitsrisico voor de organisatie? Organisaties in de vitale sectoren hebben daarbij nog de mogelijkheid om een hulpvraag in te dienen bij het Nationaal Cyber Security Center. In sommige sectoren (onderwijs, gemeenten en waterschappen) zijn er sectorale CERT’s opgezet om ondersteuning te bieden. Ander organisaties staan er alleen voor.

Zijn we goed voorbereid op de uitval van digitale diensten?

Stel nu dat het nieuwsbericht op NU.nl waar is en dat ING inderdaad de bank is met wereldwijd de meeste storingsdagen, of in andere woorden de laagste beschikbaarheid. Dan zou ik als ING-klant de stelling aandurven dat het zo slecht nog niet is met de digitale dienstverlening van banken. Ik heb afgezien van enkele hick-ups afgelopen jaar naar volle tevredenheid gebruik kunnen maken van internet en mobiel bankieren. Natuurlijk zijn er klanten waarvoor dat minder het geval is, maar over het algemeen zijn er geen grote ontwrichtende situaties geweest. Toch moet op basis van de constante toename van verstoringen (Bron NCSC CSBN, Jaarbericht) in digitale dienstverlening, niet alleen in de financiële sector, geconcludeerd worden dat prepareren op de uitval van digitale dienstverleningmeer aandacht moet krijgen.

Organisaties zullen bij de planning van maatregelen er vanuit moeten gaan dat zij een keer te maken krijgen met verstoring van hun digitale dienstverlening. Dit betekent dat het accent van de veiligheidsmaatregelen verschuift van het steeds hoger maken van de digitale muren (weerbaarheid) naar de capaciteit veerkrachtig (‘resilient’) op te kunnen treden. Detectie van, en de respons op verstoringen (‘recovery’) moeten goed worden georganiseerd. Om de hinder voor klanten en het eigen bedrijfsproces te minimaliseren, is aandacht nodig voor het herstellend vermogen en continuïteitsmanagement.

Op nationaal niveau is middels de tweede Cyber Security Strategy een duidelijke visie en richting neergezet voor de overheid. In de operationalisering van deze strategie wordt meer en meer gefocust op opleiding, training en oefening van de overheidsdiensten zoals NCSC, Politie, OM, Defensie, Inlichtingendiensten en nationale crisisbesluitvormingsstructuur. Dit jaar wordt er bijvoorbeeld zowel een operationele als bestuurlijke oefening gehouden, gericht op uitval van digitale dienstverlening. Binnen de overheid heeft de voorbereiding op de uitval van digitale diensten dus prioriteit. Belangrijke uitdaging blijft het vasthouden van deze prioriteit. Het is noodzakelijk om jaarlijks de uitval van digitale dienstverlening te blijven testen. Dat kan in verschillende vormen van kleinschalige teamtrainingen tot ketenoefeningen met verschillende organisaties.

Met name bij private organisaties is momenteel een digitale revolutie gaande. De aandacht voor de uitval van digitale diensten blijft echter achter. Vanuit de klassieke informatiebeveilingshoek is er natuurlijk aandacht voor uitval van systemen en kijken IT-verantwoordelijken naar beschikbaarheid, integriteit en vertrouwelijkheid van IT-systemen. Veelal wordt echter binnen de organisatie volledig op de CISO vertrouwd dat ‘het wel goed geregeld is’. Heel af en toe wordt het primaire proces betrokken bij een mogelijke uitval van een systeem, en dus uitval van dienstverlening binnen het primaire proces. De nadruk bij private organisaties ligt tot dusverre vooral in het opstellen en/of adopteren van baselines, standaarden en frameworks voor informatiebeveiliging. Certificering door een derde onafhankelijke partij moet vervolgens borgen dat de maatregelen ook daadwerkelijk zijn genomen.

De hoge dynamiek van digitale dreigingen vraagt bij materiële toetsing om een dynamische aanpak, die rekening houdt met de ontwikkelingen in dreigingen en het specifieke risicoprofiel van de eigen organisatie. Toets dus op realistische, actuele dreigingen. De golf van Distributed Denial of Services (DDoS) aanvallen in april 2013 liet zien, dat met oefeningen voorbereide organisaties beter in staat bleken de aanvallen te absorberen en sneller hun dienstverlening te herstellen. Voor de meeste getroffen organisaties kwam dat ‘oefenen’ helaas tijdens de aanvallen zelf. Hoe weet een organisatie of het werkelijk weerbaar en veerkrachtig genoeg is tegen de digitale dreigingen van nu? Alleen met een oefening die de realiteit van nu benadert, kun je toetsen of de organisatie daadwerkelijk voldoende is voorbereid: de ‘cyberstresstest’. De cyberstresstest is een preventief middel, dat medewerkers voorbereidt op eventuele calamiteiten, maar ook inzage geeft in de materiële weerbaarheid en veerkracht van een organisatie. De nevenopbrengst is verder toegenomen bewustwording, op kennis, houding én gedrag. De beste test is natuurlijk de praktijk, maar om daar nu op te wachten…?