Cybersecurity als randvoorwaarde voor sterke ketens

Digitaal afhankelijk

Nederland heeft de ambitie om uit te groeien tot de ‘Digital Gateway to Europe’¹. Als het gaat om gebruik én inzet van ICT in de samenleving wil Nederland tot de wereldtop behoren. Een belangrijke randvoorwaarde hiervoor is dat de digitale veiligheid van de digitale samenleving gewaarborgd is. Veilige en betrouwbare ICT is van fundamenteel belang voor onze welvaart en welzijn en een belangrijke impuls voor duurzame economische groei. ICT biedt kansen, maar verhoogt ook de kwetsbaarheid van de continuïteit in de samenleving. Een moedwillige of onopzettelijke verstoring als gevolg van technisch of menselijk falen of door natuurlijke oorzaken kan leiden tot maatschappelijke ontwrichting. De complexiteit van ICT-voorzieningen en de toenemende afhankelijkheid van deze voorzieningen leidt tot nieuwe kwetsbaarheden die misbruik en verstoring in de hand werken². Beroepscriminelen misbruiken deze kwetsbaarheden en vormen dan ook een steeds grotere bedreiging voor de digitale veiligheid in Nederland³. Steeds meer organisaties worden in het bedrijfsproces verbonden aan elkaars systemen. Deze afhankelijkheid neemt verder toe als gevolg van het ‘Internet of Things’. Een verstoring in de keten krijgt daarmee in potentie een grotere impact: het raken van de belangen van één deel van de keten kan consequenties hebben voor de keten als geheel. De keten is immer zo sterk als de zwakste schakel. Als het belang van één van de partijen in het geding is, heeft dit onmiddellijk invloed op de overige partijen in de keten. Individuele of organisatiebelangen groeien zo uit tot gedeelde belangen.

Het risico van zwakke schakels

Dat organisaties steeds afhankelijker worden van elkaars systemen en data is niets nieuws. Vanuit bedrijfsperspectief treden publieke en private organisaties steeds meer buiten hun eigen organisatiegrenzen om effectiever en doelmatiger te werken. Maar volgens de Cyber Security Raad staan bedrijven en overheden nauwelijks stil bij het feit dat zij voor het ontwikkelen of leveren van producten en diensten onderdeel uitmaken van een digitale keten⁴. Gezamenlijke belangen, afhankelijkheden, kwetsbaarheden en verschillende typen cyberdreigingen nemen toe. Maar wat betekent deze toename voor publieke en private organisaties? Aan de hand van enkele manifestaties laten we zien hoe deze afhankelijkheden impact hebben op meerdere organisaties die met elkaar zijn verboden in een keten of een breder netwerk.

Hack Antwerpse Containerbedrijf⁵
Tussen 2011 en 2013 is in de haven van Antwerpen het containerlogistieke systeem gehackt, met als doel drugscontainers te laten passeren. Deze criminelen maakten gebruik van verschillende vormen van cybercrime. Zij hackten een aantal belangrijke afhandelingbedrijven in de Antwerpse haven door onder andere phishing. De hackers wisten precies waar hun container zich bevond en manipuleerden het systeem zodanig dat de container op een gunstige plek in de haven geplaatst werd. Daarnaast kregen ze toegang tot de unieke pincodes van de terminals om een container vrij te krijgen. Justitie gaat ervan uit dat er zo meer dan een ton heroïne, bijna drie ton cocaïne en zeldzame mineralen zijn binnengeloodst en ontvreemd. In deze casus speelt dataprotectie: het voorkomen van het manipuleren en/of stelen van gegevens, een belangrijke rol.

DDoS op DigiD
De DDoS-aanvallen op DigiD zijn illustratief voor de impact die een aanval kan hebben op een belangrijke schakel in de keten. De beperkte beschikbaarheid van DigiD als gevolg van enkele DDoS-aanvallen medio 2013 zorgde er niet alleen voor dat (semi-)overheidsdiensten minder toegankelijk waren voor burgers. Ook zorginstellingen en zorgverzekeraars maken steeds meer gebruik van DigiD als vertrouwd middel om toegang te verlenen tot hun klantportalen. Hierdoor kon het verstoren van één enkele schakel leiden tot ernstige verstoringen in meer dan één vitaal proces⁶. Dit voorbeeld laat zien dat leveranciers en dienstverleners dus in de keten van afhankelijkheden zitten en dat zij impact kunnen hebben op bedrijfsprocessen.

Bescherming tegen dergelijke manifestaties gaat verder dan ‘je eigen cybersecurity op orde hebben’. Om inzicht in risico’s en kwetsbaarheden te krijgen moet actief worden samengewerkt met onder andere ketenpartners, leveranciers en publieke partijen. Cybersecurity en continuïteitsvraagstukken staan daarom ook steeds vaker op de samenwerkingsagenda. Maar de stap naar daadwerkelijke actie blijft lastig. Want, hoe weet een organisatie precies van wie hij afhankelijk is (in systemen, processen of data)? Welke kritieke ICT- systemen zijn van invloed op de keten? Wie is hiervoor verantwoordelijk? Welke dreigingen, kwetsbaarheden en risico’s op ketenniveau zijn aanwezig? Wat is het effect van verstoring op de keten? En welke maatregelen moeten er gezamenlijk worden genomen? De vraag is dus eigenlijk: wie zet de eerste stap om deze vragen te stellen aan de ketenpartijen?

Komen tot de eerste stap

Om tot actie te komen, zullen de organisaties in de keten eerst een aantal thema’s moeten onderzoeken om tot een goede samenwerking te komen in het kader van cybersecurity. Op enkele thema’s is al een aantal best practices beschikbaar zoals (FERM) en Schiphol Group (Cyber Synergie Schiphol Ecosysteem (Cyssec).

Mobiliseren
De eerste stap is het in contact komen en leren kennen van de ketenpartners. Cybersecurity is bij uitstek een domein waarbij samenwerking tussen zowel publieke en private organisaties, als tussen private organisaties onderling, noodzakelijk is om de toegenomen cyberdreigingen het hoofd te bieden. Om partijen in beweging te krijgen moet gezocht worden naar gezamenlijke belangen, zoals een gezamenlijke dienstverlening.

Ketenverantwoordelijkheid
Ketenverantwoordelijkheid is een complex vraagstuk dat besproken dient te worden in de ketens, waarbij het van belang is om alle partijen hierbij te betrekken. Afspraken met toeleveranciers, onderaannemers of afnemers die onderdeel zijn van de keten zorgen voor helderheid en betrokkenheid van ketenpartners. De verantwoordelijkheid voor een ‘cybersecure’ keten ligt niet bij één partij. Grote bedrijven kunnen door verantwoordelijkheid te nemen een voorbeeldfunctie aannemen voor kleinere ondernemingen. Vaak hebben grotere organisaties bepaalde methodes ontwikkeld, waar kleinere bedrijven de tijd en het geld niet voor vrij kunnen maken.

Kritische ketens in kaart brengen
De Cyber Security Raad heeft geconstateerd dat maar weinig bedrijven en overheden zicht hebben op de digitale ketens waar zij afhankelijk van zijn⁷. Inzicht in de keten is essentieel om risico’s en maatregelen in kaart te brengen. Volgens de raad ligt de nadruk bij cybersecurity nog te veel op risico’s binnen de eigen organisatie en is een integrale aanpak tussen ketenpartijen een belangrijke stap naar verbetering van de beveiliging. Om deze kritische ketens in kaart te brengen is het van belang dat tussen de organisaties dus voldoende vertrouwen bestaat om gevoelige informatie met elkaar te delen.

Gezamenlijke risico’s in kaart brengen
Nadat de ketens in kaart zijn gebracht is het van belang dat de partijen heldere prioriteiten stellen en focussen op gebieden waar de risico’s het grootst zijn (een ‘risk based approach’). Voor ketens die onderdeel zijn van vitale nationale processen komen er bovendien nieuwe aspecten aan de orde, bijvoorbeeld de rol van de overheid en de noodzaak om rollen en verantwoordelijkheden tussen verschillende organisaties te regelen. Het is daarom belangrijk dat door organisaties in de keten zelf best practices worden ontwikkeld en toegepast om deze ketens afdoende te beschermen tegen de toegenomen cybersecurity-dreigingen. Zo hebben in de energiesector enkele bedrijven een methodiek ontwikkeld, namelijk de Cyber Security Supply Chain Risicoanalyse⁸.

Ketenimpact
Wanneer organisaties transparant kunnen zijn over hun risico’s is het van belang dat de impact van een verstoring op de keten kan worden beoordeeld. Een business impact assessment wordt al door veel individuele organisaties gebruikt. Het uitvoeren van een Keten Impact Assessment (KIA) kan ketens inzicht geven in de primaire en ondersteunende bedrijfsprocessen. Bijvoorbeeld door de afhankelijkheid van een belangrijk ICT-proces, en de gevolgen en impact van eventuele uitval ervan, in kaart te brengen.

Maatregelen
Organisaties die deel uitmaken van een keten kunnen het beste samen met ketenpartners de juiste maatregelen definiëren en initiatieven ontplooien om cybersecurityrisico’s te verlagen. Hiervoor zijn maatregelen nodig bij de (individuele) organisaties die deel uitmaken van een keten of netwerk. Deze maatregelen kunnen zowel binnen de bedrijfsprocessen als binnen de systemen worden gerealiseerd. Een voorbeeld is het gezamenlijk oplossen van de top tien kwetsbaarheden.

Complexe ketens in een ecosysteem

Ketens zijn vaak complex, zijn een netwerk of verbinden partijen in een regio. Er zijn twee initiatieven gestart die zich richten op het zogenaamde ecosysteem: het geheel van afhankelijkheden van verschillende ketens in een omgeving. De twee initiatieven, de Rotterdamse haven (FERM) en Schiphol Group (Cyber Synergie Schiphol Ecosysteem (Cyssec), zijn beide in 2016 gestart om de cybersecurity in het ecosysteem te versterken. Deze initiatieven worden ondersteund door verschillende publieke en private organisaties, zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Dit zijn publiek-private samenwerkingen gericht op het versterken van de cybersecurity en tegelijkertijd het benutten van de economische kansen van alle partijen die verbonden zijn aan het ecosysteem.

Zet de eerste stap!
De eerste stap die ketens moeten zetten is het in contact komen met alle partijen in het ecosysteem en bewustwording creëren over risico’s, kwetsbaarheden en het belang van samenwerking. Samen zijn ketens weerbaarder. Het zetten van de eerste stap leidt op termijn tot een sterkere keten.