Een stop op onze drinkwatervoorziening, nul communicatie tussen hulpdiensten of compleet platgelegd betaalverkeer. Zwarte scenario’s die alleen te voorkomen zijn met cybersecurity én goed toezicht daarop. Hoe dat toezicht eruit moet zien en welke uitdagingen er op dat vlak zijn, beschrijven zeven toezichthouders in hun tweede samenhangende inspectiebeeld. Lees hier de belangrijkste inzichten.
Of het gaat om zorg, defensie, (water)wegen, telecomsystemen of elektriciteit: cybersecurity is voor zo’n beetje elke sector van vitaal belang. Daarmee valt het toezicht op die digitale veiligheid ook onder veel verschillende inspecties. Geen wonder dat zeven inspecties (zie kader) de handen ineenslaan en inventariseren wat de grootste risico’s en trends zijn. Ze deden dat in 2021 al in hun eerste ‘Samenhangend inspectiebeeld cybersecurity vitale processen 2020 – 2021’. Dit jaar maakten ze een tweede samenhangend inspectiebeeld.
De zeven inspecties hebben allemaal individueel naar hun eigen sector gekeken. Naar de staat van cybersecurity bij hun ondertoezichtstaanden en hoe het toezicht is georganiseerd. Nadat ze de resultaten hadden samengevoegd, bundelden ze hun inzichten over de cybersecurity van vitale processen in Nederland:
Risicomanagement op peil
Het zit bij alle dienstverleners van vitale diensten over het algemeen al goed met het risicomanagement van cyberdreigingen. Ze hebben allemaal een zogenaamd Information Security Management Systeem (ISMS) dat ook goed werkt. Het ISMS monitort continu of maatregelen rondom cybersecurity nog effectief zijn en helpt organisaties om snel te reageren op kwetsbaarheden.
Het blijkt dat organisaties in sommige gevallen niet goed voorbereid zijn op onvoorziene scenario’s. Ook is er vaak te weinig zicht op de cybersecurity van toeleveranciers.
Tóch kan het risicomanagement beter. Zo blijkt dat organisaties in sommige gevallen niet goed voorbereid zijn op onvoorziene situaties. Zo speelt sinds 2021 de zogenaamde Log4j-kwetsbaarheid. Uit inspecties blijkt dat cybersecurity-specialisten nog steeds niet goed de risico’s overzien die met deze kwetsbaarheid samenhangen. Log4j is een stuk software dat veel organisaties en bedrijven gebruiken om foutmeldingen van hun systemen te onderzoeken. In Log4j bleek een lek te zitten waardoor hackers computerservers over kunnen nemen. Hoewel het lek nog niet tot ernstige problemen heeft geleid, hebben organisaties niet goed in beeld wat de impact van een hack via Log4j kan hebben. Dat moeten ze dus aanscherpen in hun cybersecurity-processen.
Leveranciers in beeld
Ook is er vaak te weinig zicht op de cybersecurity van toeleveranciers, die daardoor een interessant doelwit worden voor kwaadwillenden. Daarom bevelen de toezichthouders samen aan om het risiciomanagement verder te verbeteren met:
- integrale beveiliging, dus nog meer samenhang tussen verschillende beveiligingssystemen;
- meer inzicht in mogelijke scenario’s voor dreigingen;
- betere metingen van de effectiviteit van cybersecurity-maatregelen;
- meer risicomanagement rondom leveranciers.
Open normen verder invullen
De open norm is ook in het toezicht op cybersecurity volop aanwezig. Zo staan bijvoorbeeld in de Telecomunnicatiewet open formuleringen over het waarborgen van de continuïteit van dienstverlening. Maar staat niets vermeld over hóe een organisatie die moet waarborgen. De open formulering van open normen is dus voor verschillende interpretaties vatbaar. En dat heeft zijn voor- en nadelen. Aan de ene kant geven open normen organisaties de ruimte om cybersecurity goed in te passen in hun processen. Aan de andere kant kan vaagheid in de normen leiden tot onveilige situaties. Bovendien willen organisaties weten hoe ze kunnen aantonen dat ze aan de normen voldoen.
De toezichthouders geven in hun inspectiebeeld aan dat bij het invullen van die normen wel maatwerk per sector vereist is. Dit kan deels door de sector zelf gedaan worden, maar de inspecties wijzen erop dat de praktijkervaring van toezichthouders een waardevolle factor is bij de invulling van open normen. Is dit eenmaal gelukt, dan is het grote voordeel van standaarden (erkende normen), guidelines en best practices dat ze makkelijker aan te passen zijn dan wet- en regelgeving. En dat is geen overbodige luxe, gezien de snelle ontwikkeling van digitale toepassingen.
Effectieve interventies in de hele keten
Informele interventies zoals educatieve en normatieve communicatie blijken binnen toezicht op cybersecurity het beste te werken. Doordat ze juiste prikkels weten te geven leiden ze vaak tot verbeteringen en verbetertrajecten die door ondertoezichtstaanden zelfstandig in gang gezet worden.
Aandachtspunt voor toezichthouders is wel dat ze zicht houden op de hele keten.
Aandachtspunt voor toezichthouders is wel dat ze zicht houden op de hele keten. Vaak zijn er namelijk derden betrokken bij digitale processen, zoals certificerende instellingen en leveranciers van apparatuur of diensten. Hun gedrag heeft effect op de kwaliteit van cybersecurity. Het is uitdagend om voor dit soort leveranciers ook regels af te dwingen, omdat er geen wettelijke basis voor is.
Oppassen voor oogkleppen
De inspecties zien ook dat er scopevernauwing voor risicomanagement plaatsvindt, oftewel het risico dat organisaties te veel maar één probleem aanpakken. Zo zien de inspecties in al hun sectoren dat er te veel focus kan liggen op digitale dreigingen door criminelen of buitenlandse overheden. Het risico hiervan is dat er een soort tunnelvisie ontstaat, waardoor een ondertoezichtstaande andere risico’s – bijvoorbeeld ‘simpelweg’ veroorzaakt door fouten in systemen – over het hoofd ziet.
Diensten en aanbieders spreiden zich uit over meerdere sectoren. Dit dwingt toezichthouders niet alleen om zicht te krijgen op ketens, maar ook om nauw samen te werken.
Complexe digitale systemen
Een laatste inzicht is dat er steeds meer digitale ecosystemen ontstaan die effect hebben op digitale veiligheid. Door verregaande digitalisering is er namelijk eigenlijk geen sprake meer van een simpele a-naar-b-keten. Het gaat eerder om een systeem waarin verschillende digitale diensten van verschillende aanbieders meerdere rollen vervullen. Zo spreiden diensten en aanbieders zich ook uit over allerlei sectoren. Dan kan een klein cyberincident bij één partij meerdere cruciale processen of zelfs in andere sectoren raken. Dit dwingt toezichthouders om voor een completer overzicht van risico’s nauw samen te werken met elkaar én met publieke en private stakeholders.
Zeven inspecties
Onderstaande inspecties werkten voor de tweede keer aan een ‘Samenhangend inspectiebeeld cybersecurity vitale processen’:
- Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS)
- Autoriteit Persoonsgegevens (AP)
- Agentschap Telecom (AT)
- De Nederlandsche Bank (DNB)
- Inspectie Gezondheidszorg en Jeugd (IGJ)
- Inspectie Justitie en Veiligheid (IJenV)
- Inspectie Leefomgeving en Transport (ILT)
