Uit de discussies zijn verschillende inzichten en aanbevelingen naar voren gekomen, die we voor dit whitepaper in vijf categorieën zullen opdelen, drie categorieën (directie, oefenen, techniek) organisatie-intern, en twee categorieën (opleiden, overheid) organisatieoverstijgend. Daarnaast zijn nog een aantal algemene beschouwingen die de moeite van het opnemen waard zijn. Disclaimer: het onderstaande is gedestilleerd uit de uitkomsten van discussies in vier verschillende CISO groepen. De CISO’s spraken hier op persoonlijke titel, en de bevindingen en aanbevelingen worden niet steeds unaniem door alle CISO’s gedeeld.
Directie
De directie (board / raad van bestuur) is vaak nog te naïef als het om cyberincidenten en de daaruit mogelijk voortvloeiende gevolgen gaat. Ze denken er vaak liever niet over na en willen het niet weten. Dit is deels te verklaren uit het feit dat ICT security als ongrijpbaar en onbegrijpbaar wordt beschouwd en deels uit het feit dat security een negatief image heeft - in plaats van kansen gaat het alleen maar over risico’s en gevaren. Security wordt dan ook graag uitbesteed aan CISO of ICT afdeling, maar blijft uiteindelijk een board verantwoordelijkheid. Van dat laatste is de directie zich niet altijd bewust. Om hier verandering in te brengen zal de CISO de taal van de board moeten spreken. Dat betekent onder andere dat cybersecurity van context moet worden voorzien en vertaald moet worden naar de business.
AANBEVELING: Laat een business impact analyse uitvoeren naar de gevolgen van een langer durende uitval van ICT systemen. Wat zijn de kosten? Waar liggen de verantwoordelijkheden? Wat zijn de kroonjuwelen? Volwassen bedrijven beschikken over een Business Continuity Management framework. ICT gerelateerde rampen dienen hierin opgenomen te worden. Ook spraken verschillende CISO’s de wens uit om de board op te leiden zodat ze over voldoende kennis en tools beschikken om de juiste beslissingen te nemen om cyberincidenten te voorkomen of het hoofd te bieden. Zo zouden ze de board graag eens meenemen naar een bijeenkomst als deze om over dit onderwerp te praten en te ondervinden dat het geen ICT problematiek maar een management issue is Tenslotte wordt in verschillende groepen genoemd dat veel bedrijven nog te veel op compliance inzetten, maar dat een lijstje met vinkjes niet hetzelfde is als een veilig bedrijf. Compliance is te veel een papieren werkelijkheid, en daarnaast vaak het absolute minimum aan maatregelen dat moet worden genomen. Echte security is risk based en biedt de mogelijkheid om te reageren op echte dreigingen.
AANBEVELING: Neem geen genoegen met compliance, maak de stap naar risk based ICT security. De CISO’s zouden graag een soortgelijke sessie als deze over dit onderwerp doen, en daarbij de board uitnodigen.
Oefenen
Er is de afgelopen jaren veel aandacht besteed aan awareness. Het is een open discussie in de cybersecurity community in hoeverre dit effectief is. Ook in de bijeenkomsten worden voorbeelden aangehaald van awareness campagnes die succesvol zijn tot phishingcampagnes die niet tot meetbare verbetering leiden. Dit kan mogelijk verklaard worden door het gegeven dat veel campagnes een rationele insteek hebben. De medewerkers kennen de risico’s, weten wat ze zouden moeten doen, maar voelen het niet. Ook is in de bijeenkomsten geconstateerd dat er nog een gat zit in de response en recovery. De nadruk in cybersecurity ligt nog op preventie, en dan vaak ook nog technisch, terwijl de response het cyberdomein overstijgt en bij een groter incident de hele organisatie kan raken. Bij volledige uitval van het netwerk is dat zeker het geval. De hele organisatie moet dan ook getraind zijn. Oefeningen vangen beide punten af: ze maken awareness emotioneel door de deelnemers te betrekken en onder te dompelen in een scenario. En ze maken de gaten in de response-organisatie zichtbaar, zodat de rampenplannen navenant aangepast kunnen worden. Ook eventuele cascade effecten worden zichtbaar. Daarnaast kunnen ze het negatieve image van cybersecurity helpen verbeteren. Over de vorm van de oefeningen geven de groepen geen aanbeveling: table top oefeningen, grootschalige rampenscenario’s, red teaming - ze lijken allen te werken. Wel belangrijk is dat de oefeningen serieus worden genomen, vooral ook door de directie. Een goed voorbeeld van een succesvolle oefening is TIBER van DNB, die op een van de sessies uitgebreid werd gepresenteerd. AANBEVELING: Meer cyber-oefeningen. Betrek de directie. De gevolgen van veel cyber-incidenten zijn fysiek; sluit op bestaande fysieke oefeningen aan. Leg de verbanden tussen ICT rampen en fysieke gevolgen. De oefeningen hoeven overigens niet goed te gaan. Ze zijn immers bedoeld om gebreken aan het licht te brengen. Een oefening waarin iedereen de juiste beslissingen neemt is een mislukte oefening.
Techniek
Daar waar technische oplossingen te implementeren zijn verdient het aanbeveling om dit ook te doen. Het is echter een fout om te denken dat dit voldoende is om rampen te voorkomen of op te lossen. Toch kunnen technische maatregelen bijdragen aan een grotere robuustheid van de organisatie. Genoemde opties zijn compartimentaliseren, standaardiseren en simplificeren. Alle drie de methoden verlagen de complexiteit van het systeem en daarmee de kwetsbaarheid. Compartimentalisatie kan er bij grootschalige uitval voor zorgen dat onderdelen van het systeem blijven draaien. Standaardisatie vergroot de beheersbaarheid van het systeem, en simplificatie heeft te maken met het feit dat veel systemen organisch gegroeid zijn en er verbanden zijn die allang niet meer nodig of wenselijk zijn. Overigens is wel opgemerkt dat standaardisatie niet te ver doorgevoerd moet worden. Er is een belangenafweging met de innovatiekracht van de organisatie. Een van de deelnemers merkte zelfs op dat bij grootschalige uitval van onbeperkte duur het wel eens de shadow IT zou kunnen zijn die de organisatie draaiend houdt. AANBEVELING: Verhoog de robuustheid van de organisatie door systemen en processen goed onder de loep te nemen: kan er worden gecompartimentaliseerd, gestandaardiseerd, gesimplificeerd? Maar blijft het daarbij dan wel werkbaar? Besteed hierbij vooral aandacht aan scheiding van IT en OT.
Opleiden
In een maatschappij die sterk leunt op automatisering is het tekort aan specialisten, capaciteit en kennis op cybersecurity gebied een ernstig risico op de langere termijn. Mede door het tekort wordt het bestaande personeel vaak zwaar belast. Volgens een door Nominet in begin 2019 gepubliceerd onderzoek is de kans op burn-out bij CISO’s hoog. De werkdruk is overigens hier niet de enige oorzaak van. Om de capaciteit te verhogen zijn er grofweg drie opties: Aantrekken vanuit het buitenland Beter omspringen met beschikbare capaciteit Meer mensen opleiden Om Nederland aantrekkelijker te maken voor buitenlandse specialisten is een cybersecurity delta nodig waar innovatie, onderzoek en hoogwaardig werk samenkomen. Dit valt buiten het aandachtsgebied van dit whitepaper. We gebruiken in Nederland nog maar een fractie van ons potentieel. Op termijn kan door opleiding en anders denken dit percentage verhoogd worden. Zo zijn vrouwen nog sterk ondervertegenwoordigd in deze sector, wordt nog te veel geleund op universitair geschoolden en is er een groep goede ICT’ers die helemaal geen diploma heeft. Ook is er een groep goede kandidaten die moeilijk in de klasieke kantooromgeving te plaatsen is, en dient aandacht besteed te worden aan het op het goede pad houden van jeugdig talent (project Hackright is hier een goede aanzet voor). Een beter gebruik maken van het beschikbare potentieel betekent dat werkgevers anders zullen moeten gaan werven, en overheid en onderwijsinstellingen het studieaanbod moeten verbreden en aantrekkelijker maken voor meer doelgroepen. Het tekort in de sector is niet weg te werken zonder actieve stimulans van het onderwijs. Dit betekent verbreden van het aanbod, en het aantrekkelijker maken van het vakgebied voor meer groepen. Dit houdt overigens ook in dat de afnemers van nieuw talent, zowel bij overheid als bedrijfsleven, zelf een investering moeten doen in het onderwijs, bijvoorbeeld door hun experts (gast)colleges te laten geven, door bij te dragen aan curriculum en ontwikkeling middels leeropdrachten, afstudeer- en stageprojecten.
AANBEVELING: Verbeter het cybsersecurity onderwijs op HBO en MBO niveau. Stimuleer onderwijs aan vrouwen en ouderen. Ondersteun vanuit bedrijfsleven en overheidsorganisaties dit onderwijs actief. Naast specialisten is er ook behoefte aan een hoger niveau van algemene ontwikkeling op het gebied van cybersecurity. Met ICT dermate verweven in onze samenleving zou security een standaardonderdeel van het curriculum op voortgezet onderwijs én basisscholen moeten zijn. Om dit te kunnen bewerkstelligen zullen eerst de onderwijzers onderwezen moeten worden.
Overheid
Uitval komt zelden alleen. Een volledige ICT uitval bij een bedrijf of instelling heeft gevolgen bij andere bedrijven en instellingen. In veel gevallen zal de overheid er daarom mee te maken krijgen. Daarnaast speelt de overheid een belangrijke rol als het gaat over de preventie van grote cyberincidenten en de voorbereiding op het omgaan met dergelijke incidenten, mochten ze toch plaatsvinden. Regulering is een middel waarmee bedrijven en instellingen gedwongen kunnen worden om hun cybersecurity naar een hoger niveau te tillen. Veel van de op de bijeenkomsten aanwezige CISO’s hebben in de praktijk het nut van regulering gezien. Daarnaast waarschuwen ze echter wel dat regulering het risico meebrengt dat bedrijven en instellingen inzetten op compliance, terwijl security risk-based zou moeten zijn. De overheid zou misschien een tweede stap kunnen aanbieden in de vorm van een risk management framework. De overheid kan ook een rol spelen in een nationale samenwerking op het gebied van cybersecurity. Op security zou niet geconcurreerd moeten worden. Maar samenwerken vergt vertrouwen, en in het opbouwen van dit vertrouwen kan de overheid een aanjagende rol spelen. Tenslotte zouden de CISO’s graag een duidelijkere visie van de overheid willen zien. AANBEVELING: Met het toenemen van grote cyberdreigingen is er behoefte aan een nationaal ICT Deltaplan. De overheid zou hierin het voortouw moeten nemen, maar het onderwijs en bedrijfsleven dient nadrukkelijk meegenomen te worden.
Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
