Lectorale rede Dr. Rick van der Kleij 8 mei 2025
Dr. Rick van der Kleij Lectoraat Cyberweerbare Organisaties Lectorale rede in verkorte vorm uitgesproken bij de publieke aanvaarding van de functie van lector Cyberweerbare Organisaties aan het Centre of Expertise Veiligheid & Veerkracht, Avans Hogeschool op 8 mei 2025
1. Een groot digitaal dilemma 6 2. Het belang van cyberweerbaarheid 9 De veiligheidssituatie in Europa 9 Slachtofferschap cybercrime 10 Slachtofferschap onder bedrijven 12 Minder cyberweerbaar dan we denken 15 Niet wachten op een digitale ramp 16 Balans is de sleutel tot innovatiesucces 18 Vrij van zorgen over cyberrisico’s 22 3. Aanpak van cyberrisico’s meer weerbaar maken 25 De opbouw van cyberrisico’s 25 Naar een nieuwe aanpak van cyberrisico 27 Weerbaarheid is meer dan een modewoord 29 Vier vermogens staan centraal 31 Weerbaarheid in het veiligheidsdomein: cyberweerbaarheid 34 Cybersecurity is ongelijk aan cyberweerbaarheid 34 Een systemische kijk op cyberweerbaarheid 36 Cyberweerbaarheid gaat niet zonder slag of stoot 38 De cyberweerbaarheidsopgave 41 Zeven inzichten voor optimale cyberweerbaarheid 45
4. Mijn leeropdracht 52 Praktijkgericht onderzoek 52 Is cyberweerbaarheid een markt voor zilveren kogels? 53 Drie onderzoekslijnen 56 Cyberweerbaarheid van bedrijven, ketens en ecosystemen 58 Digitale veiligheid van hard- en software 62 Cybersecurity-arbeidsmarkt, onderwijs en cyberweerbaar gedrag 67 5. Dankwoord 75 6. Referenties 77 7. Over Rick van der Kleij 87 8. Colofon 88
Deze vraag was mijn eerste kennismaking met het cyberdomein in 2017. Ik werkte bij de unit Defensie en Veiligheid van TNO, de Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek, aan het thema nationale veiligheid. Als psycholoog onderzocht ik het functioneren van teams die werken onder uitdagende omstandigheden. Het was dan ook niet vreemd dat die vraag bij mij en mijn collega’s terechtkwam. Het cyberdomein was sterk in opkomst. We besloten om een verkennend onderzoek te doen naar incidentresponsteams in dit opkomende veld. We huurden een ervaren consultant in van een cybersecuritybedrijf om ons te helpen contacten te leggen met deze teams. Niet veel later stonden we in een kleine kamer met vier computerwerkplekken in een kantoorgebouw in Den Haag. Hier werkte de Informatiebeveiligingsdienst (IBD), een onderdeel van de Vereniging van Nederlandse Gemeenten. De IBD ondersteunt gemeenten bij het verbeteren van hun informatiebeveiliging en helpt hen met incidentrespons. Taken die het kleine team al behoorlijk boven het hoofd begonnen te groeien. We spraken ook met leden van de cybersecurity incidentresponsteams van Defensie, Thales, Northwave en Fox-IT. Dit leverde mijn collega’s en mij, naast relevante inzichten en de start van een nieuwe onderzoekslijn, uiteindelijk een mooi artikel op over de behoeften aan ondersteuning van deze teams in het academische tijdschrift Frontiers in Psychology.1 Al snel na deze verkenning ontdekte ik dat niet alleen de teams die zich beroepsmatig met cybersecurity bezighouden uitdagingen ondervinden. Ook bedrijven ondervinden uitdagingen. Zij staan voor een groot digitaal dilemma (zie ook Van Rijsewijk, 2016, p.33). De Nederlandse samenleving is in hoge mate gedigitaliseerd. Volgens recente gegevens van de Wereldbank over 2023 maakt 97% van alle inwoners gebruik van het internet.2 Digitale processen en technologieën zorgen voor veel gemak. Volgens de jaarlijkse Digital Economy and Society Index (DESI) van de Europese Unie (EU) heeft Nederland zelfs 1 Van der Kleij, R. Kleinhuis, G., & Young, H. (2017). Computer Security Incident Response Team Effectiveness: A Needs Assessment. Frontiers in Psychology. doi: 10.3389/fpsyg.2017.02179. 2 https://data.worldbank.org/indicator/IT.NET.USER.ZS?locations=NL Een groot digitaal dilemma ‘Wat zijn de uitdagingen van cybersecurity incidentresponsteams?’ Hoofdstuk 1 6
een van de beste digitale infrastructuren van Europa (Europese Unie, 2022). Het heeft voordelen om overal met elkaar in verbinding te staan en toegang tot veel informatie te hebben. Bij bedrijven staat digitalisering dan ook hoog op de agenda. En daar waar ik het heb over bedrijven in deze rede, kunt u natuurlijk ook denken aan organisaties, instellingen, instanties of individuen. Maar zoals we nu weten, opende digitalisering tegelijk nieuwe ‘deuren’ voor cybercriminelen. Digitalisering vergroot ook de kwetsbaarheid van bedrijven. Een effectieve verdediging tegen een veelheid aan potentiële cyberdreigingen zou vereisen dat bedrijven geen toegang meer tot het internet hebben. Dit isoleren van systemen biedt bescherming tegen allerlei cyberdreigingen, vooral in omgevingen waar de beveiliging van cruciaal belang is, zoals militaire netwerken en medische apparatuur. Voor de meeste bedrijven is een evenwicht tussen beveiliging en functionaliteit echter noodzakelijk. Hierbij is connectiviteit, en dus het internet, onmisbaar. Ziehier het dilemma dat veel bedrijven onder ogen moeten komen. Hoe vind je als ondernemer een goede balans? Want je wilt als ondernemer gebruik kunnen maken van de digitale infrastructuur die Nederland rijk is, zonder je bedrijf helemaal op slot te moeten zetten. Dit groot digitaal dilemma gaat niet vanzelf weg. De dreigingen nemen alleen maar toe, met kans op grote schade, zelfs met faillissement tot gevolg. Dreigingen zijn bovendien steeds minder voorspelbaar. De klassieke aanpak van cyberrisico’s (hierna: cybersecurity) vereist dat risico’s kunnen worden geïdentificeerd ex ante. Maar door de snelle ontwikkelingen in het dreigingslandschap ontstaan telkens nieuwe dreigingen die op voorhand niet kunnen worden voorzien of zelfs niet kunnen worden voorkomen. Cybersecurity legt de focus op veiligheid. Deze aanpak richt zich op het versterken van kwetsbare onderdelen van het bedrijf om voorspelbare dreigingen te kunnen weerstaan. Een aanpak die vaak de metafoor oproept van een kasteel met hoge muren en diepe slotgrachten: een ondoordringbare barrière tegen externe aanvallen. Maar bovenal een aanpak van cyberrisico’s die niet langer voldoet, want het aantal incidenten en de impact ervan neemt alleen maar toe. Het idee dat bedrijven weerbaar moeten zijn als reactie op cyberrisico’s is de afgelopen jaren opgekomen en populair geworden. We noemen deze nieuwe kijk op de aanpak van cyberrisico’s ook wel cyberweerbaarheid. Een groot digitaal dilemma 7
Het managen van cyberweerbaarheid omvat niet alleen een aanpak gericht op het voorkomen van schade. Het omvat ook het vermogen om onverwachte, positieve mogelijkheden te benutten om de veiligheid te verbeteren en te kunnen reageren op, te herstellen van, en zich aan te passen aan ongunstige gebeurtenissen of activiteiten. Het is een dynamischer concept dan cybersecurity, omdat het erkent dat absolute veiligheid niet haalbaar is, vandaar de titel van deze rede: Nu veiligheid er niet meer is. Bedrijven moeten dus handelen vanuit de aanname dat er aanzienlijke cyberincidenten zullen plaatsvinden op regelmatige basis. Maar hoe helpt dit idee de bedrijven met hun dilemma? Cyberweerbaarheid is een complex begrip dat lastig te implementeren is. De uitdaging is hoe je als organisatie open en verbonden kan zijn, gebruik kan maken van de kansen die digitalisering brengt, en tegelijkertijd kan vertrouwen op het vermogen om weerbaar te zijn tegen cyberrisico’s (Van Rijsewijk, 2016). Dit idee is niet geheel nieuw, maar het vereist een andere kijk op veiligheid. Een doorbraak naar een nieuw paradigma is nodig. Het is tijd voor een aanpak van cyberrisico’s die wel werkt. Dat dit idee niet nieuw is, wil niet zeggen dat we alles al weten. Ik geef in deze rede dan ook geen blauwdruk voor cyberweerbaarheid. Op veel vragen over weerbaarheid weten we het antwoord gewoonweg nog niet, omdat het onderzoek ernaar nog in de kinderschoenen staat. Mijn taak als lector is om op zoek te gaan naar de antwoorden door praktijkgericht onderzoek. Dit zorgt voor oplossingen die direct toepasbaar zijn en aansluiten bij de behoeften van de praktijk. Praktijkgericht onderzoek is naar mijn mening dan ook doorlopend nodig. Zo creëren we een situatie waar bedrijven voldoende geïnformeerd zijn om de juiste besluiten te kunnen nemen over het toepassen van de laatste stand van kennis over cyberweerbaarheid in hun bedrijfspraktijken. Een groot digitaal dilemma 8
De veiligheidssituatie in Europa In de ons land goed gezinde internationale context was weerbaarheid geen zorg meer, zo valt te lezen in een recent rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR, 2024, p. 14). Sinds het einde van de Koude Oorlog inde Nederland het vredesdividend en bezuinigde fors op veiligheid. Die tijd is voorbij. Veel Nederlanders hebben echter nog niet of nauwelijks een voorstelling van de fundamentele veranderingen die mondiaal gaande zijn. Ze zijn er niet van doordrongen dat vitale publieke voorzieningen, onze levensstandaard en mogelijk zelfs onze vrijheid daadwerkelijk op het spel komen te staan (WRR, 2024). De veiligheidssituatie in Europa is in rap tempo drastisch verslechterd. Door geopolitieke spanningen en verschuivende internationale machtsverhoudingen neemt ook de dreiging tegen Nederland toe.3 Het gaat dan vooral om de oorlog tegen Oekraïne, de strijd tussen Israël en Hamas en de rol van China op het wereldtoneel (Nationaal Coördinator Terrorismebestrijding en Veiligheid [NCTV], 2024a). Nederland kan weer in oorlog raken. Lang leek dat ondenkbaar, maar door de rivaliteit tussen de grootmachten is dat een scenario dat ook ons land nu serieus moet nemen. Zelfs NAVO-baas Rutte vindt het tijd om ons geestelijk voor te bereiden op oorlog.4 De fragmentatie van tonelen van machtsuitoefening maakt bovendien dat oorlog allerlei vormen kan aannemen. Zelfs nu al zijn er dagelijks talloze pogingen tot inbraak in de digitale systemen van bedrijven en overheden (WRR, 2024). Zowel statelijke actoren als criminelen hebben het op onze digitale infrastructuur en onze gegevens gemunt, zo valt te lezen in de Veiligheidsstrategie voor het Koninkrijk der Nederlanden (NCTV, 2023b). De kans op cyberincidenten neemt toe.5 Wat precies door mag gaan als een cyberincident verschilt voor elk bedrijf. Maar over het algemeen is iets een cyberincident als De veiligheidssituatie in Europa 3 h ttps://www.dutchitchannel.nl/news/511906/rijksoverheid-waarschuwt-bugers-zich-voor-te- bereiden-op-cyberaanval 4 https://nos.nl/artikel/2548057-navo-baas-rutte-tijd-om-ons-geestelijk-voor-te-bereiden-op-oorlog 5 Zie ook het AIVD dreigingsbeeld 2023 en het Cybersecuritybeeld (CSBN) 2023 van de NCTV. Hoofdstuk 2 9
dit bedrijfsprocessen, financiën of reputatie ernstige schade kan toebrengen (World Economic Forum [WEF], 2024, p. 5). Dit kan variëren van een hack (digitale inbraak) en gijzelsoftware tot een datalek en een softwarefout. Omdat de kans op cyberincidenten toeneemt, vraagt een goede aanpak ervan maximale aandacht van bedrijven. Toch lijkt het gevoel van urgentie bij veel bedrijven nog te ontbreken (Krauwer, 2024). Niet alleen de kans op cyberincidenten neemt toe. Bedrijven worden daadwerkelijk voortdurend aangevallen. Soms zelfs zonder dat ze het zelf in de gaten hebben. Vaak gaat het om cybercriminelen die snel en makkelijk geld willen verdienen. Of om scholieren die cyberaanvallen doen voor de lol. Maar we hebben ook te maken met voorbereidingshandelingen voor sabotage, spionage en ongewenste beïnvloeding door andere landen. Denk aan de bemoeienis van Russische schepen met onderzeese infrastructuur in de Noordzee.6 Een zogenaamde statelijke dreigingsactor kan enorm veel schade aanrichten door een operationeel proces te verstoren of door data te stelen, te veranderen of te wissen. We zijn echter niet klaar voor wat er de komende vier of vijf jaar op ons afkomt, aldus Rutte in zijn eerste grote toespraak als secretaris-generaal van de NAVO.7 Onze aanpak schiet te kort. Slachtofferschap cybercrime Volgens de Volkskrant zijn in 2021, 735 duizend fietsen gestolen (Eshuis, 2022). Dat lijkt veel, maar in datzelfde jaar waren volgens het Centraal Bureau voor de Statistiek (CBS), bijna 2,5 miljoen Nederlanders, naar eigen zeggen, slachtoffer van online criminaliteit (Akkermans, Kloosterman, Moons, Reep, Tummers-Van der Aa, 2022). En dat aantal zit al jaren in de lift. Recente cijfers van het CBS (Akkermans, Derksen, Kennis, Kloosterman, & Moons, 2024) laten zien dat in 2023, 16% van de Nederlanders van vijftien jaar en ouder slachtoffer is geweest van een of meerdere vormen van online criminaliteit; een aandeel dat iets lager ligt dan in 2021 (17%), maar hoger ligt dan in 2017 (11%) en 2012 (12%). Uit het Fenomeenbeeld 2024 van de Eenheid Landelijke Opsporing en Interventies & de Eenheid Landelijke Expertise en Operaties (2024) blijkt dat de politie in 2023, 70.000 meldingen en aangiften van online criminaliteit kreeg. Het totale schadebedrag bedroeg 109 miljoen euro. 6 h ttps://www.techzine.nl/nieuws/infrastructure/559051/russisch-spionageschip-ook-boven-datakabel-in-noordzee-actief/ 7 h ttps://nos.nl/artikel/2548057-navo-baas-rutte-tijd-om-ons-geestelijk-voor-te-bereiden-op-oorlog Slachtofferschap cybercrime 10
Nederlanders werden volgens het CBS in 2023 het vaakst slachtoffer van online oplichting en fraude (9%). Denk hierbij aan aankoopfraude via handelsplaatsen zoals Marktplaats, waarbij online gekochte producten niet werden geleverd, terwijl ze wel vooruitbetaald waren. Ook hacking (6%) en online bedreiging en intimidatie (3%) kwamen vaak voor. Bij hacking breekt iemand met kwade bedoelingen zonder toestemming in op een apparaat (zoals een computer of tablet) of een account (zoals een e-mail- of bankaccount) (Akkermans, Derksen, Kennis, Kloosterman, & Moons, 2024). Jongeren tussen de 15 en de 25 zijn ongeveer anderhalf keer zo vaak slachtoffer van online criminaliteit in vergelijking met andere leeftijdsgroepen (CBS, 2023). Het verschil is het grootst bij online bedreiging en intimidatie en bij hacken. Een op de vijf (21%) van de slachtoffers van online criminaliteit geeft aan dat het online delict heeft geleid tot emotionele, psychische of financiële problemen. Van alle slachtoffers van online criminaliteit heeft bijna de helft (46%) bij een instantie, zoals de fraudehelpdesk - een instantie die slachtoffers adviseert en naar de juiste instantie verwijst - gemeld wat hen is overkomen; 17% heeft aangifte gedaan bij de politie (CBS, 2023). Hierbij moet worden opgemerkt dat het CBS lang niet alle vormen van online criminaliteit meet. Bovendien laten cijfers op basis van zelfrapportage een onvolledig beeld zien, omdat mensen niet altijd weten dat ze slachtoffer zijn, zoals bij diefstal van persoonsgegevens. Deze niet-geregistreerde criminaliteit staat in de criminologie ook wel bekend onder de term ‘dark number’. Ook kunnen respondenten zich niet altijd herkennen in het label ‘slachtoffer’, omdat dit voor hen een te negatieve lading heeft. Er kan worden geconcludeerd dat slachtofferschap van online criminaliteit in werkelijkheid hoger is dan de cijfers laten zien (Cyberweerbaar NL, 2024). Nederland is dus niet langer het land van traditionele criminaliteit, zoals fietsendiefstal (zie figuur 1), maar het land van cybercriminaliteit, zoals hacken en online oplichting (zie ook Ruiter, Van Leuken, Van Ruitenburg, Schiks, & Leukfeldt, 2023). Slachtofferschap cybercrime 11
Figuur 1. Gestolen fiets (bron: Wikimedia Commons; beeld: FunctioningMemberOfSociety). Slachtofferschap onder bedrijven Ook bedrijven lijden elke dag onder cyberaanvallen. Niet zo lang geleden, in 2017, lagen twee containerterminals in de Rotterdamse haven weken stil als gevolg van een gijzelsoftware-aanval bij logistiek concern Maersk. In 2019 kwam de Universiteit Maastricht volledig stil te liggen als gevolg van een digitale gijzeling.8 In 2020 konden medewerkers van de gemeente Hof van Twente niet meer bij hun gegevens na een aanval met gijzelsoftware.9 In 2021 vond de zogenaamde kaashack plaats. Door een gijzelsoftware-aanval bij Bakker Logistiek kon er dagenlang minder voedsel aan retailers geleverd worden en raakten kaasschappen leeg.10 En onlangs was schoolboekenverkoper Iddink slachtoffer van een cyberaanval waarbij de data in de systemen werd gestolen en versleuteld met gijzelsoftware. Voor al deze gevallen gold dat het soms weken duurde voor de problemen opgelost waren. 8 https://www.maastrichtuniversity.nl/nl/cyberaanval-een-samenvatting 9 h ttps://vng.nl/sites/default/files/2021-04/20210401-bestuurlijke-lessen-uit-de-hack-bij-hof-vantwente.pdf 10 https://nos.nl/artikel/2376425-kaas-hack-opgelost-ging-om-gijzelsoftware Slachtofferschap onder bedrijven 12
Elk jaar krijgt volgens het CBS (2023) ongeveer een op de vijf bedrijven te maken met een cyberincident.11 Een cyberincident komt het vaakst voor bij middelgrote en grote bedrijven met honderd medewerkers of meer. Daarvan heeft volgens het CBS ongeveer een op de vijftien te maken met een aanval van buitenaf, ofwel een aanval die afkomstig is van een externe bron of partij. Deze incidenten kunnen de bedrijfsvoering ernstig verstoren. Onderzoek onder de Nederlandse bedrijvenpopulatie, exclusief zelfstandigen, laat zien dat in 2023 de primaire bedrijfsprocessen bij een op de vijftien bedrijven al eens stil hebben gelegen als gevolg van een cyberincident (De Jong, Koeman, Konijn, Volberda, & Hollen, 2023). Schattingen wijzen uit dat 60% van de mkb-bedrijven die slachtoffer worden van een cyberaanval binnen zes maanden hun deuren moeten sluiten (Leigh, 2023). Zo vroeg onlangs nog Wodkaproducent Stoli faillissement aan in de Verenigde Staten, mede vanwege een ransomwareaanval.12 Opmerkelijk is dat er ook bedrijven zijn die niet weten of ze te maken hebben gehad met een cyberincident. Recent onderzoek laat zien dat 6% van alle IT-verantwoordelijken binnen een bedrijf met een omvang tot 400 medewerkers niet weet of het bedrijf een cyberincident heeft doorgemaakt in de afgelopen twaalf maanden (Hof, Van der Kleij, & Mergler, 2024). Onderzoek dat ABN AMRO samen met onderzoeksbureau MWM2 onder 895 organisaties heeft verricht, laat een nog ‘zwarter’ beeld zien van slachtofferschap onder bedrijven (Krauwer, 2024).13 Uit dat onderzoek blijkt dat in 2023 bijna driekwart van de Nederlandse bedrijven te maken had met een cyberaanval.14 Maar liefst 86% van het grootbedrijf – met een jaaromzet van minimaal 25 miljoen euro – was doelwit van cyberaanvallen. Bij middelgrote en kleine bedrijven gold dit voor 71% en onder zelfstandigen was dit 55%. Dat is een forse stijging ten opzichte van vorige jaren. Waar het percentage getroffen bedrijven in 2021 29% was, steeg dat in 2022 naar 45%.15 11 Het CBS onderscheidt voor incidenten drie varianten: uitval van een ICT-systeem, data- vernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). 12 https://www.security.nl/posting/867828/Wodkaproducent+Stoli+vraagt+mede+wegens+ ransomware+faillissement+aan+in+VS 13 https://itchannelpro.nl/abn-amro-verfijndere-cyberaanvallen-zijn-geen-wake-up-call/#:~:text=- Maar%20liefst%2086%20procent%20van%20het 14 Dit betrof cybercriminaliteit in de brede zin, inclusief phishing, malware, datalekken, ransomware, DDoS-aanval, fraude door medewerker en CEO-fraude. 15 https://www.abnamro.nl/nl/zakelijk/insights/cybersecurity/cyberaanval/aantal-bedrijven-getroffen-door-cyberaanval-gestegen-tot-45procent.html Slachtofferschap onder bedrijven 13
Het feit dat het aantal cyberaanvallen met 57% is toegenomen sinds 2021, heeft volgens ABN AMRO met twee zaken te maken. Allereerst ontstaat er door de toenemende digitalisering een groter aanvalsoppervlak voor cybercriminelen. Met aanvalsoppervlak wordt gedoeld op manieren waarop een dreigingsactor digitale processen kan aanvallen (NCTV, 2024a, p. 45). Dit betekent dat het gemak voor cybercriminelen toeneemt om een aanval uit te voeren. Een andere verklaring is de professionalisering van cybercriminelen. De trend dat het onderzoek van ABN AMRO schetst, wordt door andere bronnen bevestigd. Zo registreerde de Nederlandse politie in 2021 zo’n 14 duizend gevallen van cybercriminaliteit, een toename van een derde in vergelijking met 2020 en een verdriedubbeling in vergelijking met 2019.16 Ongeveer de helft van alle cyberincidenten leidt tot kosten voor bedrijven. Een recent voorbeeld speelde zich af in Hong Kong. Daar werd een financieel medewerker overtuigd om 25,6 miljoen dollar over te schrijven naar online fraudeurs, via een videocall waarin de werknemer in een vergadering dacht te zitten met verschillende collega’s. De video bleek op basis van AI in elkaar te zijn gezet en de collega’s waren nep.17 Volgens een recent onderzoek door het Ponemon Institute in opdracht van IBM (2024) zijn de gemiddelde kosten van een datalek in 2024 alleen al $4,88 miljoen. Dit zijn kosten voor onder andere het niet operationeel zijn, apparatuurschade, boetes, reputatieschade, het bemensen van een helpdesk om gedupeerde klanten te woord te kunnen staan en omzetverlies. In Nederland bedroegen de mediane kosten door cyberaanvallen18 in 2023 zo’n $21 duizend per bedrijf, zo rapporteert verzekeraar Hiscox (2023). IT-beveiliger ESET Nederland schat de kosten van een cyberincident in 2022 bij een mkb-bedrijf in Nederland gemiddeld echter op zo’n €270 duizend, een halve ton meer dan het wereldwijde gemiddelde (Lucas, 2022). Een recente ontwikkeling is bovendien dat cyberincidenten steeds schadelijker worden voor organisaties (Allianz, 2024). Met de voortdurende digitalisering van onze samenleving wordt verwacht dat de jaarlijkse kosten van cyberincidenten de komende jaren blijven toenemen. Deze verwachting wordt onderbouwd door de resultaten van de studie van Ponemon Institute die een stijging laten zien van meer dan 15% in gemiddelde kosten in 2024 ten opzichte van 2020 (IBM, 2024). 16 Het aantal geregistreerde gevallen van cybercrime is in 2022 licht gedaald ten opzichte van 2021. De politie registreerde in 2022 13.949 incidenten. Dat is een afname van 2 procent in vergelijking met 2021. Toen betrof het 14.166 aangiftes. Zie ook: https://www.politie.nl/ nieuws/2023/januari/19/politie-registreert-minder-cybercrime.html 17 https://www.techzine.nl/blogs/security/549695/fraude-met-deepfakes-hoe-kan-een- organisatie-zich-beschermen/#:~:text=Een%20recenter%20voorbeeld%20daarvan%20 speelde,te%20zitten%20met%20verschillende%20collega%27s. 18 Het is onduidelijk wat Hiscox verstaat onder een cyberaanval en hoe dat is uitgevraagd. Slachtofferschap onder bedrijven 14
Ondanks het hoge dreigingsniveau blijft de risicoperceptie in het Nederlandse bedrijfsleven achter volgens ABN AMRO en MWM2.19 Ondernemers lijken de risico’s pas te onderkennen als een aanval tot schade leidt, zoals in de vorm van kosten voor herstel van systemen, gederfde inkomsten door stilstand van het bedrijf of reputatieschade door gelekte klantgegevens. Inmiddels hebben aanvallen al bij 59% van het grootbedrijf en 43% van het midden- en kleinbedrijf (hierna: mkb) tot dergelijke schade geleid. Percentages die overeenkomen met de resultaten uit de Cybersecuritymonitor van het CBS (2023). Het aantal mkb-bedrijven en zelfstandigen dat cybercriminaliteit als ‘hoog’ of ‘heel erg hoog’ risico beschouwt, is ondertussen echter afgenomen. Daar komt bij dat bijna één op de vijf bedrijven naar eigen zeggen onvoldoende voorbereid is op deze dreiging (De Jong, Koeman, Konijn, Volberda, & Hollen, 2023). Een zorgwekkende ontwikkeling als je het mij vraagt, waar in de onderliggende onderzoeken geen verklaring voor wordt gegeven. Minder cyberweerbaar dan we denken In een bijdrage voor de rubriek Opinie van BN DeStem mocht ik op 14 september 2024 uiteenzetten dat de cyberweerbaarheid van Nederland op dit moment veel minder groot is dan we denken (Van der Kleij, 2024).20 Als land zijn we onvoldoende voorbereid op cybercrises. Om echt goed voorbereid te zijn, moeten we onze software, hardware en infrastructuur zelf kunnen fiksen als het mis gaat. En of we dit kunnen is nog maar de vraag. Als we de kranten mogen geloven dan hebben we onszelf te afhankelijk gemaakt van buitenlandse partijen.21 De software die we elke dag gebruiken, draait op de cloudservers van Amerikaanse bedrijven. Onze hardware is vaak afkomstig van bedrijven uit Azië. Op dit moment is dat geen probleem. Als we hulp nodig hebben, springen deze bedrijven graag bij. Maar kunnen we ook op ze bouwen als het echt mis gaat? Want het is volgens Defensie niet ondenkbeeldig dat een lidstaat van de NAVO wordt aangevallen door Rusland.22 19 D e Nederlandse innovatie monitor schets een vergelijkbaar beeld. Bijna de helft van de bedrijven (44%) meent dat cybercriminaliteit een sterk groeiende dreiging vormt in hun sector. Bijna een op de vijf bedrijven is naar eigen zeggen onvoldoende voorbereid op deze dreiging (De Jong, Koeman, Konijn, Volberda, & Hollen, 2023). 20 Zie ook: Henk Strikkers (2024, 10 september). ‘Misschien is er wel een grote ramp nodig om belang in te zien van cyberveiligheid.’ Interview met cyberveiligheid-expert Rick van der Kleij. BN DeStem. 21 https://www.nu.nl/tech/6133272/nederland-zou-te-afhankelijk-van-buitenlandse- techbedrijven-worden.html 22 https://www.gld.nl/nieuws/8122468/oorlogsdreiging-is-reeel-en-dat-moeten-we-ons- realiseren-zegt-nieuwe-generaal Minder cyberweerbaar dan we denken 15
Ook de kennis en de vaardigheden ontbreken die nodig zijn om snel te kunnen herstellen na een incident. Kennis verdwijnt uit Nederland, omdat belangrijke bedrijven weggekocht worden door buitenlandse partijen.23 Door jarenlange uitbesteding aan buitenlandse bedrijven kunnen we zelf bovendien steeds minder. Mensen die glasvezel kunnen lassen bijvoorbeeld, zijn schaars (figuur 2). Het is nu eenmaal goedkoper om die expertise uit het buitenland te halen. Maar kunnen we ook op die mensen rekenen als onze glasvezelverbindingen beschadigd raken in een oorlogssituatie? Figuur 2. L assen van glasvezel (bron: CTNED.nl; beeld: Peter Timmer Fotografie, www.petertimmerfotografie.nl). Niet wachten op een digitale ramp Soms heb je een ramp nodig om voor hervormingen te zorgen binnen een sector. Na de Watersnoodramp van 1953 ontstond een omslag in het denken in Nederland over waterveiligheid (Vergouwe, 2014). We gingen aan de slag met de Deltawerken en er kwamen strengere veiligheidsnormen voor primaire waterkeringen (zie figuur 3).24 23 https://www.rijksoverheid.nl/documenten/rapporten/2023/04/06/de-economische-kansen-van-de-cybersecuritysector 24 https://www.rijkswaterstaat.nl/water/waterbeheer/bescherming-tegen-het-water/watersnoodramp-1953 Niet wachten op een digitale ramp 16
Gegeven het huidige risicobeeld heeft de Nederlandse samenleving dringend een wake-up call nodig die niet alleen leidt tot meer bewustwording, maar ook bedrijven en burgers middelen biedt om weerbaarder te worden, aldus de WRR (2024). De overheid bereidt zich al voor, maar verwacht ook in toenemende mate van inwoners (en bedrijven) dat ze zich beter gaan voorbereiden op de gevolgen van een mogelijke ramp of incident.25 Op de website Denk vooruit worden concrete handelingsperspectieven voor inwoners geboden om zich voor te bereiden op een crisis of ramp.26 De eerste voorproefjes van een digitale ramp hebben we als samenleving al gehad. Een grote storing aan het zogenoemde ‘Netherlands armed forces integrated network’ (Nafin) leidde in augustus 2024 tot grote problemen, onder meer op Eindhoven Airport en bij de hulpdiensten.27 Een wereldwijde computerstoring van Microsoftsystemen in juli van dat jaar, veroorzaakt door een foutieve configuratie-update van de software van cyberbeveiligingsbedrijf CrowdStrike, legde onder andere Schiphol plat. Voor deze cyberincidenten, als gevolg van niet-moedwillig handelen, gold dat de problemen gelukkig snel opgelost waren. Maar wat als we daadwerkelijk worden aangevallen door een statelijke dreigingsactor? Niemand zit te wachten op een digitale ramp. Om te zorgen dat we digitaal droge voeten houden, moeten we op tijd in actie komen. Een proactieve houding is nodig, oftewel uitvoeringskracht, waarbij problemen niet alleen worden gesignaleerd, maar ook actief oplossingen worden gezocht en uitgeprobeerd. Intussen zitten ook cybercriminelen niet stil. De dreiging neemt constant toe onder invloed van nieuwe technologische ontwikkelingen zoals generatieve artificiële intelligentie (hierna: GenAI). GenAI is een specifieke vorm van kunstmatige intelligentie die nieuwe inhoud kan genereren, zoals tekst, beeld, broncode en meer (AIVD & RDI, 2024). Een voorbeeld hiervan is een chatbot zoals ChatGPT van OpenAI. Cybercriminelen kunnen GenAI inzetten om geavanceerde malware te ontwikkelen of zeer overtuigende phishing-e-mails te creëren. We kunnen wel stellen dat cybercriminelen met de komst van GenAI superkrachten hebben gekregen. De druk om te innoveren ligt dus hoog. 25 Informatie over hedendaagse dreigingen is gebundeld in het nieuwe webdossier ‘Dreiging in Nederland’ op de website van de Rijksoverheid. 26 https://www.denkvooruit.nl/ 27 Het Nafin is een eigen, zwaarbeveiligd glasvezelnetwerk van het Nederlands Ministerie van Defensie. Niet wachten op een digitale ramp 17
Figuur 3. D eltawerken: Oosterscheldekering (bron: Wikimedia Commons; beeld: Vladimír Šiman). Balans is de sleutel tot innovatiesucces Oplossingen in het cyberdomein worden traditioneel gezocht in de technologische hoek. Een technische benadering van innovatie is leidend. Deze benadering is gebaseerd op het idee dat technologische oplossingen leiden tot meer veiligheid. Maar is dat ook zo? Technologische oplossingen kunnen zeker oplossingen bieden voor het groot digitaal dilemma. Nieuwe en bestaande, maar onderbenutte technologische maatregelen, bieden kansen om de cyberweerbaarheid te verhogen (Van Boheemen, Munnichs, Kool, Diercks, Hamer & Vos, 2020). Denk aan het gebruik van de principes van de kwantummechanica om de overdracht van gegevens te beveiligen. Technologie ontwikkelt zich momenteel echter veel sneller dan de bedrijven aan kunnen.28 Er lijkt sprake van een steeds groter wordende kloof tussen wat ontwikkelaars aanbieden en de vaardigheden van bedrijven om de technologie goed in te zetten. 28 https://made-in-europe.nu/2019/04/industrie-houdt-tempo-technologische-innovatie- niet-meer-bij/ Balans is de sleutel tot innovatiesucces 18
Het tempo van de technologische vooruitgang ligt dus hoger dan het vermogen van de meeste bedrijven om nieuwe technologische oplossingen te begrijpen, te implementeren en te maximaliseren in termen van operationele voordelen. Het succes van innovaties wordt daardoor steeds afhankelijker van de manier waarop mensen, bedrijven, organisaties en instellingen omgaan met innovaties (ABI Research, 2019). Naast en in samenhang met technologische innovatie is daarom dus ook sociale innovatie nodig om de technologische innovatie beter te kunnen benutten en om het innovatief vermogen van organisaties in reactie op de toenemende dreiging te vergroten (Pot, 2009; 2012). Volgens Pot (2009) is sociale innovatie het vernieuwen van de arbeidsorganisatie en het maximaal benutten van competenties, gericht op het verbeteren van de bedrijfsprestaties. In de context van cybersecurity wil ik sociale innovatie definiëren als: Technische en sociale innovatie zijn dus onlosmakelijk met elkaar verbonden.29 Sociale innovatie is cruciaal om meer rendement te halen uit technische innovaties. Alleen door de juiste balans te vinden bereiken we innovatiesucces. Om te innoveren hebben we mensen nodig die op hun beurt de juiste processen hebben gedefinieerd. Techniek is maar een onderdeel van innovatiesucces. 29 https://www.sol-online.nl/nieuws/technische-innovatie-is-niet-succesvol-zonder-sociale- innovatie-food-in-transitie-2030/#:~:text=Sociale%20innovatie%20zorgt%20ervoor%20dat, beschikken%20over%20voldoende%20sociale%20innovatiekracht. Balans is de sleutel tot innovatiesucces ‘Het ontwikkelen en implementeren van nieuwe strategieën, processen en samenwerkingsvormen die gericht zijn op het benutten van technische cybersecurity oplossingen door optimaal gebruik te maken van menselijke en organisatorische capaciteiten.’ 19
De gouden driehoek Een goede strategie om de digitale dreigingen aan te pakken zou zich dus moeten richten op innovatie in elk van de drie pijlers: mens, proces en technologie (zie ook: Assibi, 2023). Dit is in mijn ogen een belangrijk inzicht. Ik ga er hieronder wat dieper op in. Deze drie pijlers zijn oorspronkelijk afgeleid van het Diamond-model van Leavitt (1964). Dit model illustreert de relaties tussen vier afhankelijke onderdelen binnen organisaties: taken, mensen, structuur en technologie.30 • Taken: De routinematige en kritische activiteiten die een organisatie moet uitvoeren. • Mensen: De mensen in een organisatie en de eigenschappen of attitudes die binnen deze mensen moeten worden bevorderd om succesvol te zijn. • Structuur: de organisatiestructuur stelt mensen in staat verantwoordelijkheden te verdelen en efficiënt samen te werken. • Technologie: De apparatuur die het vermogen van een organisatie om haar noodzakelijke functies uit te voeren mogelijk maakt en ondersteunt. Het model stelt dat veranderingen in één component waarschijnlijk de andere drie zullen beïnvloeden. Om verandering succesvol te laten zijn, moet men dus de impact op alle vier de gebieden evalueren en beheren.31 Uiteindelijk werden structuur en taken gecombineerd tot processen, waardoor de ‘diamant’ veranderde in de zogenaamde ‘gouden’ driehoek met de componenten die tegenwoordig het meest worden gebruikt, ook in het cyberdomein: mens, proces en technologie. Als een component verschuift, moeten de andere twee ook verschuiven om een effectief evenwicht te behouden naarmate de verandering vordert (zie figuur 4). Balans is de sleutel tot innovatiesucces 30 https://whatfix.com/blog/people-process-technology-framework/ 31 https://www.forbes.com/councils/forbestechcouncil/2022/12/29/is-the-60-year-old-peopleprocess-technology-framework-still-useful/ 20
Figuur 4. D iamond-model (links) en de gouden driehoek (rechts) (bron: Simon, 2019). In de jaren negentig maakte computerbeveiligings- en privacyspecialist Bruce Schneier de gouden driehoek populair binnen het cyberdomein. Hij probeerde hiermee onder de aandacht te brengen dat er naast aandacht voor IT, aandacht moest zijn voor mens en processen in het algemene systeem. De term ‘systeem’ verwijst in deze context naar een geïntegreerd geheel van hardware, software, netwerken, gegevens, processen en mensen die gezamenlijk werken om essentiële functies en diensten te leveren. Het idee is dat firewalls, virusscanners, proxyservers, enz. (technologie) weinig voorstellen als je ze niet op de juiste manier gebruikt (proces) en het juiste team hebt om ze te gebruiken (mens). Een veelvoorkomend probleem is dat bedrijven een ‘vinkje zetten’-aanpak hanteren voor beveiliging, waarbij ze investeren in specifieke technologie om te voldoen aan verplichtingen die de geldende wet- en regelgeving ze oplegt (compliant te zijn), zonder de juiste mensen of processen in te zetten om optimaal gebruik te maken van die technologie en het systeem echt te beveiligen.32 Een belangrijk punt dat ik wil maken in deze rede is daarom dat we naast een technologisch perspectief ook een niet-technologisch perspectief bezien als we kijken naar vraagstukken op het gebied van cyberweerbaarheid. En dus de inbreng van alfa- en gammawetenschappen beschouwen. Balans is de sleutel tot innovatiesucces 32 Dat neemt niet weg dat bij mensen geen uitdagingen liggen. Want hoe kan het toch dat steeds meer mensen zich zorgen maken over veiligheid, maar nog lang niet iedereen maatregelen neemt? Denk hierbij bijvoorbeeld aan ondernemers die bewust ervoor kiezen om geen maatregelen te nemen om hun digitale veiligheid te versterken (zie ook Deloitte, 2024, p.13). 21
Ik durf met stelligheid te beweren dat het maatschappelijke probleem van cyberweerbaarheid niet op te lossen is zonder de inbreng van alfa- en gammavakken als psychologie, rechten en economie (zie ook Adviesraad voor het Wetenschaps- en Technologiebeleid, 2007). Dit belang wordt benadrukt in onderstaande quote: Daar komt bij dat diverse factoren cybersecurity beïnvloeden en compliceren (NCTV, 2024a). Ook ontwikkelingen die ogenschijnlijk niets met cybersecurity van doen hebben, kunnen blijvend van invloed zijn op de digitale dreiging. Dat geldt bijvoorbeeld voor de eerdergenoemde geopolitieke situatie, arbeidsmarktontwikkelingen, maar ook voor technologische ontwikkelingen. Zo vormt een toekomstige kwantumcomputer niet alleen een kans, maar tevens een digitaal risico van jewelste. Versleutelde data die nu onderschept en opgeslagen wordt, kan mogelijk op een later moment worden ‘ontsleuteld’ met een kwantumcomputer. Een cyberincident bij een organisatie kan bovendien doorwerken naar vele andere organisaties, zoals de foutieve software-update van CrowdStrike en de softwarefout op het glasvezelnetwerk van Defensie demonstreerden (NCTV, 2024a). We spreken dan over een cyberincident in de toeleveringsketen of een cyber cascade-effect.33 Vrij van zorgen over cyberrisico’s Wat we ook doen, alles begint met het creëren van een gevoel van urgentie. Bouwen aan een cyberweerbaar Nederland is niet alleen een taak van de staat. Het is een verantwoordelijkheid die we samen moeten dragen en samen moeten voelen. De overheid bereidt zich goed voor, maar er wordt steeds meer verwacht van de samenleving. Iedereen moet zijn cyberweerbaarheid vergroten: overheden, bedrijven, maatschappelijke organisaties en inwoners.34 Het WEF (2024) stelt dat bedrijven worstelen om de impact op hun belangrijkste doelen te minimaliseren en hun diensten te blijven leveren bij cyberincidenten. Cyberweerbaarheid is te belangrijk om aan het toeval over te laten. ‘We’ve had too many computer scientists looking at cybersecurity, and not enough psychologists, economists and human-factors people’, aldus Douglas Maughan, hoofd van de cybersecurity onderzoeksafdeling van het U.S. department of Homeland Security (Waldrop, 2016). Vrij van zorgen over cyberrisico’s 33 Zie ook: https://crisismanager.nl/roelofsma-e%C3%A9n-klein-foutje-kan-een-hele-keten- platleggen 34 https://www.dutchitchannel.nl/news/511906/rijksoverheid-waarschuwt-bugers-zich-voor-te- bereiden-op-cyberaanval 22
Toch schieten veel bedrijven tekort in hun aanpak. Dit onderstreept de noodzaak om het concept van cyberweerbaarheid volledig te doorgronden en een gedeeld begrip van het belang ervan te ontwikkelen (WEF, 2024, p. 6). Ook de verschillende opvattingen over de aanpak van cyberrisico’s leiden tot verwarring. Velen hanteren een ‘kasteel-mentaliteit‘, waarbij de nadruk ligt op robuustheid tegen voorspelbare risico‘s. Voor anderen betekent dit juist het accepteren van onkenbare risico‘s en het leren omgaan met deze onzekerheden door middel van flexibiliteit. Deze meerduidigheid van het begrip ‘aanpak’ kan leiden tot verwarring en een gebrek aan duidelijke praktische toepassing (Dupont, Shearing, Bernier, & Leukfeldt, 2023). Het kan een negatieve invloed hebben op het vermogen om cyberrisico's te beheren. Deze verwarring wordt versterkt door de hype rond cybersecurity, waarbij leveranciers marketingtaal en hippe modewoorden gebruiken om hun producten te verkopen. Waar dit verschil in opvatting over de aanpak van cyberrisico’s toe kan leiden, wordt weerspiegeld in de rechtszaak die Delta Air Lines onlangs is gestart tegen het beveiligingsbedrijf CrowdStrike, als gevolg van de eerder besproken grootschalige storing in juli van 2024. Die storing leidde tot annuleringen en verstoorde reisplannen van 1,3 miljoen klanten van het luchtvaartbedrijf (zie figuur 5). De financiële schade bedroeg $500 miljoen, zegt het bedrijf.35 Delta zegt dat CrowdStrike ‘ongeteste en foutieve updates bij zijn klanten opdrong, met als gevolg dat meer dan 8,5 miljoen Microsoft Windows-gebaseerde computers wereldwijd crashten’, schrijft Reuters.36 Delta beschuldigt CrowdStrike van grove nalatigheid en wangedrag, onder meer omdat de problematische update niet gefaseerd naar klanten werd gedistribueerd, maar deze in één keer voor iedereen beschikbaar werd gesteld. CrowdStrike zegt dat de claims van de luchtvaartmaatschappij laten zien dat het bedrijf niet goed begrijpt hoe een moderne aanpak van cyberrisico’s werkt. ‘Het weerspiegelt een wanhopige poging om de schuld voor het trage herstel van zich af te schuiven’. Volgens CrowdStrike is dat trage herstel namelijk het gevolg van een verouderde IT-infrastructuur. Wat Crowdstrike hier eigenlijk zegt is dat de aanpak van cyberrisico’s door Delta niet meer van deze tijd is. Dat Delta teveel een cybersecuritystrategie heeft gevolgd, terwijl dat eigenlijk een cyberweerbaarheidsstrategie had moeten zijn. Wie heeft hier gelijk? Vrij van zorgen over cyberrisico’s 35 https://www.dutchitleaders.nl/news/512015/delta-air-lines-klaagt-crowdstrike-aan-na- grootschalige-storing-in-juli 36 https://www.reuters.com/legal/delta-sues-crowdstrike-over-software-update-that- prompted-mass-flight-2024-10-25/ 23
Figuur 5. Vliegtuigen van Delta Air Lines staan geparkeerd (bron: Wikimedia Commons; beeld: Elisfkc2). Vrij van zorgen over cyberrisico’s 24
De opbouw van cyberrisico’s Naast omvangrijk slachtofferschap met schade tot gevolg, laat het jaarlijkse Cybersecuritybeeld Nederland (CSBN) zien dat cyberrisico´s steeds meer toenemen (NCTV, 2024a). In het licht van bovenstaande is het dan ook niet verwonderlijk dat de Cyber Security Raad (CSR) - een nationaal en onafhankelijk adviesorgaan van het kabinet dat is samengesteld uit vertegenwoordigers van publieke en private organisaties en de wetenschap - het nieuwe kabinet adviseert om meer te investeren in digitale veiligheid. De CSR waarschuwt dat de huidige inspanningen en investeringen in cybersecurity niet genoeg zijn om de groeiende digitale dreigingen vanuit statelijke actoren en cybercriminelen het hoofd te bieden (Emerce, 2024). Los van het feit dat meer investeringen nodig zijn, en dat de Nederlandse staat van mening lijkt te zijn dat de bedrijven, burgers en gemeenten zelf verantwoordelijk zijn voor het verbeteren van hun cyberweerbaarheid37, rijst de vraag waar dan in te investeren? Om die vraag te beantwoorden is het nodig om eerst goed naar het begrip cyberrisico te kijken en hoe daar mee om te gaan. Onlangs publiceerde SURF, de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen, een ‘formule’ voor het berekenen van risico in informatiebeveiliging, wat ook de beveiliging van fysieke informatie omvat (zie figuur 6) (Van Deursen, & Altawekji, 2023). Algemeen gesteld is risico de kans op een incident maal de impact. Binnen de mogelijkheid dat een cyberincident optreedt (kans) is het voor cybersecurity nuttig om een onderscheid te maken tussen dreiging en kwetsbaarheid. Daar waar de politie en het Openbaar Ministerie zich vooral richten op het bestrijden van dreigingen via opsporing en vervolging van criminelen en het verstoren van criminele activiteiten (Openbaar Ministerie & Politie, 2024), nemen bedrijven traditioneel vooral maatregelen om kwetsbaarheden te verhelpen en zich te beschermen tegen cyberdreiging. Hoofdstuk 3 De opbouw van cyberrisico’s 37 In het akkoord tussen de Rijksoverheid en de Nederlandse gemeenten, gepubliceerd in de Staatscourant in december 2023, zijn bijvoorbeeld afspraken gemaakt over de cyberweerbaarheid van gemeenten. Echter, er zijn geen specifieke middelen toegekend om deze afspraken te realiseren. Zie ook Kamerstuk 26643, nr. 1112, https://zoek.officielebekendmakingen.nl/ kst-26643-1112.html 25
Figuur 6. De opbouw van een informatierisico: kans x impact = risico (herdrukt van Van Deursen & Altawekji, 2023). Deze eenzijdige focus op preventie zien we dan ook terug in definities van cybersecurity: het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens op die systemen tegen specifieke dreigingen die kwetsbaarheden proberen te misbruiken om gevolgen te bewerkstelligen die economische of politieke impact hebben (zie bijvoorbeeld Gisladottir, Ganin, Keisler, Kepner, & Linkov, 2017). Inspanningen op het gebied van cybersecurity richten zich dan ook voornamelijk op het verminderen van kwetsbaarheden en, in mindere mate, op de gevolgen van een succesvolle aanval, bijvoorbeeld door het maken van back-ups. Het uitvoeren van risicobeoordelingen draagt hier in belangrijke mate aan bij. De bovenstaande benadering van het uitvoeren van risicobeoordelingen wordt in de veiligheidskunde gezien als exemplarisch voor zogenoemde enkelvoudige en lineaire incidentmodellen (Ebert, Schaltegger, Ambuehl, Schöni, Zimmermann, & Knieps, 2023). Enkelvoudige modellen schrijven incidenten toe aan één duidelijk omschreven gebeurtenis (bijvoorbeeld een aanval of een technische fout), terwijl lineaire modellen uitgaan van falen op meerdere (maar onderling verbonden) niveaus. De kracht van enkelvoudige en lineaire modellen ligt in hun eenvoud. Ze zijn bijzonder nuttig voor het analyseren van incidenten die veroorzaakt worden door falen van technische componenten of menselijke fouten in eenvoudige socio-technische systemen. Ze zijn dan ook populair in cybersecurity. Het is echter belangrijk te erkennen dat deze klassieke aanpak van cyberrisico’s niet onfeilbaar is en mogelijk niet altijd alle bijdragende factoren van een incident omvatten. De opbouw van cyberrisico’s 26
Het uitvoeren van een risicobeoordeling is een steeds grotere uitdaging geworden. Dit komt deels door de moeilijkheid om adequaat rekening te houden met mogelijke cascade-effecten die voortvloeien uit storingen (zie ook Dunn Cavelty, Eriksen, & Scharte, 2023; Roelofsma, 2024). Een complicerende factor is dat klassieke risicobeoordelingsmethoden niet kunnen worden toegepast als data niet beschikbaar is, incompleet is, of anderszins niet kan worden bepaald (Dunn Cavelty e.a., 2023). Een risicobeoordeling vereist dat risico’s kunnen worden geïdentificeerd ex ante (Collier, Hassler, Lambert, DiMase, & Linkov, 2019). Door de snelle ontwikkelingen in het dreigingslandschap ontstaan echter telkens nieuwe dreigingen die op voorhand niet kunnen worden voorzien of voorkomen. Het gebrek aan data over deze nieuwe dreigingen, bijvoorbeeld over de frequentie van voorkomen en mogelijke impact op de bedrijfsvoering, maakt het uitvoeren van risicobeoordelingen lastig. Hierdoor is een cybersecuritystrategie slechts gedeeltelijk effectief. Catastrofale incidenten zoals de COVID-19 pandemie hebben bovendien de politieke significantie vergroot om weerbaar te zijn tegen zogenaamde laagwaarschijnlijke, hoog-impact gebeurtenissen (Dunn Cavelty e.a., 2023). Naar een nieuwe aanpak van cyberrisico Een nieuwe risicomanagementbenadering is dus nodig (Collier e.a., 2019; Linkov e.a. 2014). Een aanpak van cyberrisico’s die rekening houdt met de toename aan complexiteit in het dreigingslandschap en die ook bescherming biedt tegen toekomstige cyberdreigingen. Leukfeldt noemde in dit verband ‘pop-upcriminaliteit’38: plotselinge vormen van criminaliteit die in één keer heel groot worden, zoals whatsappfraude. Het onverwachte karakter hiervan maakt het lastig om ons ertegen te beschermen. Het idee dat bedrijven cyberweerbaar (in het Engels: cyber resilient) moeten zijn als reactie op cyberincidenten is de afgelopen jaren dan ook opgekomen en populair geworden (zie ook figuur 7). Naar een nieuwe aanpak van cyberrisico’s 38 https://slachtofferhulp.maglr.com/jaarverslag-slachtofferhulp-nederland-2022/ deskundige-en-slachtoffer-online-criminaliteit-aan-het-woord 27
Figuur 7. I nteresse over tijd wereldwijd sinds 2004 voor de zoekterm ‘cyber resilience’ (bron: Google Trends; geraadpleegd op 30 september 2024). Het algemene idee van weerbaarheid is dat in plaats van alle inspanningen te richten op het buitenhouden van criminelen uit bedrijfsnetwerken, het beter is aan te nemen dat zij uiteindelijk door de verdediging van de systemen zullen breken. Er moet dus ook aandacht zijn voor het verminderen van de impact van deze gebeurtenis. De overheid stapt al over van de notie dat Nederland beschermt moet worden tegen cyberaanvallen, naar de invalshoek assume breach: ga ervan uit dat er al een kwaadwillende in je netwerk zit (NCTV, 2023a; 2024a). In het verlengde hiervan zei justitieminister David van Weel in augustus 2024, nadat meerdere overheidsinstanties getroffen waren door de eerder genoemde storing in het digitale krijgsmachtnetwerk Nafin: ‘Get used to it.’ Later voegde hij tijdens zijn openingsspeech bij de ONE Conference, een internationale cybersecurity conferentie, hieraan toe: ‘And deal with it.’39 Van Weel: ‘Kwetsbaarheden gaan we altijd houden. De kwestie is hoe snel kunnen we zorgen dat we kunnen doorwerken als er een storing is. En hoe snel kunnen we de storing vinden en zorgen dat het netwerk weer online komt.’ Van Weel benadrukte ook dat overheid en bedrijfsleven weerbaarder moeten worden.40 Ook premier Dick Schoof relativeerde deze storing in Nafin onlangs nog.41 Hij noemt het ‘op zijn minst gezegd ontzettend vervelend’, maar benadrukt daarbij dat kwetsbaarheden in cruciale ict-systemen nu eenmaal niet helemaal te voorkomen zijn: ‘Telefoons doen het ook weleens niet. Zo is het ook met systemen.’ Naar een nieuwe aanpak van cyberrisico’s 39 One conference 2024. Den Haag 40 https://www.agconnect.nl/maatschappij/beheer/politici-boos-op-justitie-minister-over- reactie-ict-storing 41 https://www.agconnect.nl/maatschappij/infrastructuur/premier-schoof-wuift-grote-ict- storing-nederland-weg 28
Weerbaarheid is meer dan een modewoord Zoals gezegd is het idee dat organisaties cyber resilient moeten zijn als reactie op cyberincidenten de afgelopen jaren opgekomen en populair geworden. Het woord resilience is afgeleid van het Latijnse woord resilire wat ‘to leap back’ betekent volgens Oxford English Dictionary, ofwel terugveren.42 Het eerste geregistreerde gebruik is volgens de Oxford Living Dictionary uit 1529.43 In de context van cyberdreigingen is echter de term weerbaarheid gangbaarder dan terugveren. Dat heeft deels te maken met het feit dat weerbaarheid het actieve vermogen benadrukt van een systeem om weerstand te bieden aan dreigingen. Het legt meer de nadruk op de capaciteit van systemen om niet alleen terug te veren, maar ook om zichzelf te verdedigen en aan te passen aan voortdurende en toekomstige dreigingen. Weerbaarheid is zoals gezegd geen nieuw begrip. Het concept weerbaarheid werd voor het eerst gebruikt in de materiaalkunde. In deze context verwijst het naar het vermogen van een materiaal om te herstellen van stress of spanning zonder permanente vervorming of schade. Het concept beschrijft hoe goed een materiaal kan terugkeren naar zijn oorspronkelijke vorm en functie nadat het is blootgesteld aan krachten die het vervormen, zoals druk, rek, of buiging. In de materiaalkunde gaat het specifiek om de capaciteit van een materiaal om energie op te nemen wanneer het wordt belast en deze energie weer vrij te geven wanneer de belasting wordt verwijderd. Een veerkrachtig materiaal kan bijvoorbeeld buigen onder druk en vervolgens terugveren naar zijn oorspronkelijke vorm zodra de druk wordt weggenomen. Het conceptueel kader van weerbaarheid is later toegepast in andere vakdisciplines, zoals ecologie en psychologie. Weerbaarheid is een complex concept, aangezien dit geen lineair proces of enkele handeling is, maar eerder vereist dat er competenties aanwezig zijn in verschillende fasen, zowel vóór als na een potentiële schokgebeurtenis, dat makkelijker te observeren is als het ontbreekt dan als het er is (Eken e.a., 2024). Van Harmelen beschrijft weerbaarheid zelfs als een emergent fenomeen (2022). Weerbaarheid is volgens haar geen ding of vaste eigenschap, maar refereert aan een complex dynamisch proces van positieve adaptatie aan een stressor dat zich ontvouwt over tijd. Van Harmelen (2022) stelt dat we weerbaarheid niet kunnen zien of testen, maar wel kunnen afleiden uit de reactie op een Weerbaarheid is meer dan een modewoord 42 Zie ook https://www.nytimes.com/1983/12/04/magazine/on-language-when-you-say-that- resile.html 43 https://english.stackexchange.com/questions/397293/what-made-the-usage-of-the- figurative-meaning-of-resilience-popular 29
RkJQdWJsaXNoZXIy ODY1MjQ=