'Breng kritische processen in kaart'

Welke lessen zijn er te trekken uit de computerstoring die vorige week wereldwijd voor problemen zorgde? Wat zou de nationale overheid moeten doen om te voorkomen dat een nieuwe storing de samenleving platlegt? En wat kan de lokale overheid nu al zelf regelen? Binnenlands Bestuur deed een kleine inventarisatie.

Afhankelijk van digitale systemen

De storing werd veroorzaakt door een fout in een update van de antivirussoftware van beveiligingsbedrijf Crowdstrike. Meer dan 8,5 miljoen computers werden getroffen. Onder meer op vliegvelden en in ziekenhuizen leidde dit in Nederland tot problemen. Hoewel de impact voor lokale overheden deze keer relatief beperkt was, laat de storing zien hoe afhankelijk de samenleving is van digitale systemen.

Dat benadrukt ook David van Weel, de minister van Justitie en Veiligheid. In een brief aan de Tweede Kamer wijst de minister op de verwevenheid van digitale processen in het digitale ecosysteem in het sterk gedigitaliseerde Nederland. Van Weel schrijft aan de Tweede Kamer dat organisaties zich moeten voorbereiden op en oefenen met dit soort situaties. Hij verwijst naar het Actieplan Nederlandse Cybersecuritystrategie 2022-2028. Via dit actieplan wil het kabinet onder andere investeren in cybersecurity.

Concrete acties

Sommige Kamerleden zien graag wat meer concrete acties van het kabinet. Zo betoogt Barbara Kathmann (GroenLinks-PvdA) op X dat de overheid werk moet maken van Europese en Nederlandse alternatieven voor big tech: ‘Dit kabinet moet meer investeren in het maken van plannen voor als de IT er compleet uit ligt en in alternatieve diensten, zodat 1 fout niet de hele maatschappij raakt.’

Wake-up call

Jesse Six-Dijkstra (NSC) hoopt dat het incident voor het kabinet als wake-up call dient, schrijft hij op LinkedIn. Hij doet een drietal concrete suggesties om te voorkomen dat de samenleving stilvalt als de systemen falen. ‘Er moet ten eerste werk gemaakt worden van noodscenario’s in het geval van digitale uitval. Ten tweede moeten digitaal afhankelijke organisaties in alle sectoren verplicht concrete protocollen voor dergelijke scenario’s paraat hebben. Ten derde moet er een overheidsbrede strategie komen voor het afbouwen van risicovolle eenzijdige afhankelijkheden en het realiseren van robuustere terugvalopties zonder internetverbinding.’

Praktische tips

Hoe is de impact van dit soort incidenten te beperken op lokaal niveau? Wat kan een gemeente nu al doen? Cyberveiligheidexpert Ronald van der Zon van het Nationaal Cyber Security Centrum (NCSC), deelt op LinkedIn een aantal tips ter voorbereiding op een volgende ‘Crowdstrike’-storing, waaronder deze:

1. Breng kritische processen in kaart: Begin met het identificeren van de meest kritische processen binnen je organisatie. Welke belangen moeten worden beschermd?

2. Controleer bestaande maatregelen: Zorg ervoor dat je op de hoogte bent van de beveiligingsmaatregelen die je organisatie al heeft genomen. Dit helpt je om eventuele hiaten te identificeren en aan te pakken.

3. Analyseer potentiële dreigingen: Ontwikkel een beeld van mogelijke dreigingen. Welke dreigingen kunnen je organisatie treffen? Dit stelt je in staat om proactieve maatregelen te nemen.

Updaten op zaterdag

Is een gemeenten niet een beetje laat als punt één nog onder de aandacht moet worden gebracht? Maarten Koningsveld, strategisch adviseur digitalisering en overheid, moet lachen om die suggestie. ‘De informatiehuishouding van overheden is niet op orde, concludeerde het Adviescollege Openbaarheid en Informatiehuishouding (ACOI) onlangs weer. De gemeentelijke basisarchitectuur telt meer dan 1100 zaaktypen. Gemeenten hebben al die werkprocessen niet goed in kaart. Het gevolg is dat we updates het liefst op zaterdagmiddag draaien, omdat we in feite niet precies weten welke collega we moeten bellen dat er even niet gewerkt kan worden vanwege een update.’

Drie soorten eigenaarschap

Een overzicht maken van de meest kritisch processen, zodat je kunt prioriteren, is dus inderdaad een goed begin. Volgens Koningsveld begint het verkrijgen van overzicht met het in kaart brengen van eigenaarschap. Wie gaat er over wat? Hij onderscheidt drie soorten eigenaarschap, namelijk per werkproces, per systeem of applicatie en per belang. Een belang is bijvoorbeeld privacy en cyberveiligheid. De eigenaar van een belang is bijvoorbeeld een controller of een CISO.

Koningsveld vergelijkt het overzicht met een soort kubus waar je een satéprikker doorheen moeten kunnen prikken. In de ideale situatie heb je meteen inzichtelijk welke gevolgen een incident heeft voor welke collega’s binnen de organisatie en welke belangen ermee gepaard gaan. Het ontbreken van een overzicht leidt ertoe dat gemeentesecretarissen voortdurend brandjes moeten blussen, ten koste van de leukere taken. ‘Maar als je je huiswerk goed doet, zorgt dat er juist voor dat je tijd hebt om lintjes door te knippen met je wethouders.’