Het is noodzakelijk om te weten: 1. wat de huidige positie is, 2. wat het doel is, en 3. welke middelen nodig zijn, dat wil zeggen welke veranderingen nodig zijn en hoe deze te maken om in de richting van het doel te bewegen (Hollnagel, 2022). Ik licht dit hieronder toe. Het bepalen van de huidige positie Een belangrijke eerste stap in de cyberweerbaarheidsopgave waar bedrijven voor staan is het meten van hun huidige cyberweerbaarheid (zie ook Kott & Linkov, 2021). Zonder goede metingen is het lastig te bepalen of maatregelen de cyberweerbaarheid verbeteren of juist verminderen. De CSR pleit in een beleidsreactie van 25 november 2024 voor een jaarlijkse meting.46 Huidige metingen zoals de Cybersecuritymonitor van het CBS meten vooral cybercrime-gerelateerde incidenten en de maatregelen die getroffen worden om deze incidenten te voorkomen. Dit zijn uitdrukkelijk geen metingen van cyberweerbaarheid. Maar eerder van cybersecurity. Hoe moet het dan wel? Eerder refereerde ik al aan de opvatting dat weerbaarheid een emergent fenomeen is. Van Harmelen (2022) stelt dat weerbaarheid niet refereert aan een vaste eigenschap die je kan meten zoals temperatuur met een thermometer, of gewicht met een weegschaal. Weerbaarheid refereert aan het proces van dynamische adaptatie aan een schokgebeurtenis. Dat betekent dat we weerbaarheid alleen kunnen vaststellen uit de reactie op de schokgebeurtenis. Een goede meetmethode dient derhalve in staat te zijn om de dynamische interacties over het verloop van tijd in kaart te brengen. Nederveen en collega’s (2024) inventariseerden onlangs methoden om maatschappelijke weerbaarheid te meten. Ze onderscheiden daarbij verschillende methoden, waaronder indices, methoden gebaseerd op beoordelingen door deskundigen en kwantitatieve benaderingen. Slechts drie methoden voldeden aan redelijke eisen, zoals repliceerbaarheid en validiteit. Om een inschatting te kunnen maken van de weerbaarheid in de context van nationale veiligheid is uiteindelijk gekozen voor de weerbaarheidsmatrix van Linkov, Eisenberg, Bates, Chang, Convertino, Allen, Flynn en Seager (2013). Deze methode laat per cel bepaalde capaciteiten van het systeem scoren door deskundigen. De cyberweerbaarheidsopgave 46 https://www.cybersecurityraad.nl/documenten/adviezen/2024/06/04/csr-advies- verkleinen-van-de-cyberweerbaarheidskloof 42
RkJQdWJsaXNoZXIy ODY1MjQ=