Digitale ketenveiligheid krijgt veel te weinig aandacht

Nederland heeft grote ambities als het gaat om digitalisering van de economie. Het Ministerie van Economische Zaken heeft daarvoor een strategische agenda gepresenteerd. Ook de Cyber Security Raad ziet kansen en nieuwe mogelijkheden als het gaat om IT-toepassingen en -innovaties.

Een meer ICT-afhankelijke economie brengt ook meer risico's op het gebied van digitale veiligheid met zich mee. Steeds meer bedrijven, overheden, systemen en applicaties worden met elkaar verbonden, terwijl er nauwelijks wordt nagedacht over de digitale veiligheid in deze keten. Dit kan grote economische gevolgen hebben. De Raad roept daarom op niet alleen de cyberrisico’s in organisaties in kaart te brengen, maar ook de risico’s in de keten. Een keten is nu eenmaal zo sterk als de zwakste schakel.

Bedrijven en overheden staan nauwelijks stil bij het feit dat zij voor het ontwikkelen of leveren van producten en diensten onderdeel uitmaken van een digitale keten. Zij zijn aan de ene kant van het productie- of dienstverleningsproces digitaal verbonden met leveranciers en aan de ander kant van het proces met hun afnemers. Dat kunnen bedrijven zijn die zelf nog weer een bewerking uitvoeren of eindgebruikers.

Gebrek aan inzicht in digitale keten

De Cyber Security Raad constateert dat maar weinig bedrijven en overheden zicht hebben op de digitale ketens waar zij afhankelijk van zijn. Die afhankelijkheid neemt verder toe als gevolg van het ‘Internet of Things’. Steeds meer productiemachines, apparatuur, consumentenproducten en sensoren worden met internet verbonden en gekoppeld aan bedrijfsnetwerken. Deze netwerken worden daardoor kwetsbaarder en in potentie kan het effect van een cyberaanval daardoor groter worden. De bedrijfscontinuïteit kan hierdoor op spel komen te staan, met grote economische schade tot gevolg. De Cyber Security Raad roept daarom alle bedrijven, overheden en sectoren op te onderzoeken van welke digitale ketens zij deel uitmaken, welke risico’s zij lopen en welke cyberveiligheidsmaatregelen zij zouden moeten treffen.

Gratis analysemethode

Ben Voorhorst is operationeel directeur bij TenneT en lid van de Cyber Security Raad namens de Nederlandse vitale infrastructuur. Naar aanleiding van gesprekken in de Raad heeft hij de handschoen opgepakt. Samen met Shell, Gasunie, Nuon, Alliander en het Nationaal Cyber Security Centrum heeft hij een risicoanalyse cybersecurity uitgevoerd binnen de energiesector. Wie is van wie afhankelijk? Welke kritieke IT-systemen zijn er? Welke risico’s lopen de verschillende partijen in de sector? Welke digitale veiligheidsmaatregelen moeten we nemen? “Al die vragen hebben ons anders naar onze bedrijfscontinuïteit laten kijken. Je kunt de fysieke processen wel op orde hebben, maar de digitale informatiestromen zijn zeker zo belangrijk. Uitval bij de een kan zo maar leiden tot uitval bij de ander.” Aangezien er geen effectieve analysemethode bestaat voor digitale ketenveiligheid, heeft de energiesector deze zelf ontwikkeld. De analysemethode voor digitale veiligheid is hier te downloaden.

Over de Cyber Security Raad

De Cyber Security Raad (CSR) is het onafhankelijke en strategische adviesorgaan van het Kabinet als het gaat om cybersecurity in Nederland. De Raad is toekomstgericht en adviseert onder andere over nieuwe cybersecurity ontwikkelingen en dreigingen die op Nederland afkomen. De leden van de Raad zijn hooggeplaatste vertegenwoordigers uit de publieke, private en wetenschappelijke sector. Door deze publiek-private-wetenschappelijke samenstelling bekijkt de CSR de nationaal strategische cybersecurity-uitdagingen vanuit meerdere invalshoeken en worden gewogen adviezen aan het Kabinet gegeven.