Figuur 6. De opbouw van een informatierisico: kans x impact = risico (herdrukt van Van Deursen & Altawekji, 2023). Deze eenzijdige focus op preventie zien we dan ook terug in definities van cybersecurity: het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens op die systemen tegen specifieke dreigingen die kwetsbaarheden proberen te misbruiken om gevolgen te bewerkstelligen die economische of politieke impact hebben (zie bijvoorbeeld Gisladottir, Ganin, Keisler, Kepner, & Linkov, 2017). Inspanningen op het gebied van cybersecurity richten zich dan ook voornamelijk op het verminderen van kwetsbaarheden en, in mindere mate, op de gevolgen van een succesvolle aanval, bijvoorbeeld door het maken van back-ups. Het uitvoeren van risicobeoordelingen draagt hier in belangrijke mate aan bij. De bovenstaande benadering van het uitvoeren van risicobeoordelingen wordt in de veiligheidskunde gezien als exemplarisch voor zogenoemde enkelvoudige en lineaire incidentmodellen (Ebert, Schaltegger, Ambuehl, Schöni, Zimmermann, & Knieps, 2023). Enkelvoudige modellen schrijven incidenten toe aan één duidelijk omschreven gebeurtenis (bijvoorbeeld een aanval of een technische fout), terwijl lineaire modellen uitgaan van falen op meerdere (maar onderling verbonden) niveaus. De kracht van enkelvoudige en lineaire modellen ligt in hun eenvoud. Ze zijn bijzonder nuttig voor het analyseren van incidenten die veroorzaakt worden door falen van technische componenten of menselijke fouten in eenvoudige socio-technische systemen. Ze zijn dan ook populair in cybersecurity. Het is echter belangrijk te erkennen dat deze klassieke aanpak van cyberrisico’s niet onfeilbaar is en mogelijk niet altijd alle bijdragende factoren van een incident omvatten. De opbouw van cyberrisico’s 26
RkJQdWJsaXNoZXIy ODY1MjQ=