Weerbaarheid in het veiligheidsdomein: cyberweerbaarheid Het gebruik van het concept weerbaarheid in het veiligheidsdomein, waar cybersecurity een subdomein van is, is van recentere datum. In de veiligheidskunde werd vanaf de jaren 2010 het begrip pas populair. Dit werd mede veroorzaakt doordat een groeiend aantal wetenschappers, maar ook praktijkmensen, inzag dat de traditionele definitie van veiligheid in de zin van de afwezigheid van ongevallen niet langer functioneel was en wel een revisie kon gebruiken (Hollnagel, 2022). In de veiligheidspraktijk is weerbaarheid sterk geïnspireerd door organische systemen, zoals het menselijk immuunsysteem, die zich aan veranderende omstandigheden kunnen aanpassen en zichzelf kunnen herstellen. Net zoals biologische systemen immuniteit ontwikkelen om te reageren op infecties en andere aanvallen, moeten systemen zich aanpassen, zo is de gedachte, aan de steeds veranderende bedreigingen (Wlodarczak, 2017). Net als het menselijk lichaam zijn systemen niet hermetisch afgesloten. Het immuunsysteem is ook niet in staat alle aanvallen buiten de deur te houden (Van Boheemen e.a., 2020; zie ook Ross, Pillitteri, Graubart, Bodeau, & McQuaid, 2021). Systemen moeten in staat zijn om vitale systeemfuncties te blijven beschermen en veerkrachtig te herstellen van de gevolgen van incidenten nu en in de toekomst. Dit idee sluit aan bij het idee om systemen in het veiligheidsdomein te bezien vanuit de sociotechniek, waarbij alle onderdelen van een systeem – zoals mensen, technologie, en organisatorische structuren – in samenhang worden gezien. Samenwerking tussen deze componenten is vereist ten behoeve van gezamenlijke optimalisatie (Appelbaum, 1997). Het streven is naar een veerkrachtig systeem dat niet alleen problemen voorkomt, maar ook steeds beter wordt in het omgaan met en herstellen van verstoringen (Ross e.a., 2021). Cybersecurity is ongelijk aan cyberweerbaarheid Cybersecurity legt de nadruk op het voorkomen van degradatie van prestatie en het behoud van functionaliteit. Cyberweerbaarheid daarentegen omvat niet alleen het voorkomen van schade, maar ook het vermogen om te kunnen reageren op, te herstellen van, en zich aan te passen aan ongunstige gebeurtenissen of activiteiten die kunnen leiden tot verstoring van het systeemfunctioneren. Het is zoals gezegd een dynamischer concept dat erkent dat absolute veiligheid niet haalbaar is (Kott & Linkov, 2021). Er bestaat niet zoiets als 100% veiligheid. Organisaties moeten handelen vanuit de aanname dat er aanzienlijke cyberincidenten zullen plaatsvinden. In die zin is cybersecurity niet hetzelfde als cyberweerbaarheid, maar een essentieel onderdeel in het streven ernaar (WEF, 2024, p. 8). Zelfs wanneer risico's worden Cybersecurity is ongelijk aan cyberweerbaarheid 34
RkJQdWJsaXNoZXIy ODY1MjQ=