Naar een Landelijk Crisisplan Digitaal

LEESTIJD: 3,5 MIN

Wonen, werken, recreëren, betalen, daten, reizen: we leven op een digitale infrastructuur. Een verrijking – natuurlijk – maar ook een ontwikkeling die zorgen geeft. Want een klein incident, kwaadwillend of per ongeluk, kan grote gevolgen hebben. Digitale veiligheid is daarmee een zaak van nationaal belang, waar iedereen een rol in heeft. Dat is ook het uitgangspunt van het Landelijk Crisisplan Digitaal dat in de maak is.

We zijn van ver gekomen. Ruim 20 jaar geleden ontving een nietsvermoedende PC-gebruiker een mail met als onderwerp: I Love You. Misschien weet u het nog? Het bleek moeilijk om zo’n aansprekende boodschap te negeren. Miljoenen mensen openden de mail en de bijbehorende bijlage. En daarmee werd een worm geactiveerd die niet alleen belangrijke bestanden overschreef maar zich ook verspreidde naar alle contactpersonen van het slachtoffer. Het bleek een uitgekiende tactiek van de makers met als verwoestend resultaat: miljoenen geïnfecteerde pc’s en vele miljarden dollars aan schade.

Het is verleidelijk om anno 2022 een beetje schamper terug te blikken: wat waren we naïef, en wat hebben we veel geleerd sindsdien. Toch wil dat niet zeggen dat we inmiddels voldoende weerbaar zijn tegen cyberdreigingen. Integendeel zelfs. Onze weerbaarheid blijft achter bij de dreiging, zo waarschuwen de NCTV en het NCSC al jaren in de publicatie Cybersecuritybeeld Nederland. En dat terwijl onze afhankelijkheid van digitale systemen alleen maar toeneemt. Het is inmiddels zo gewoon geworden dat we er nauwelijks bij stilstaan: bijna elk aspect van ons bestaan wordt beïnvloed door de digitalisering van onze samenleving. En door de onderlinge verwevenheid en afhankelijkheid van gedigitaliseerde processen kan één omgevallen dominosteentje een ketenreactie op gang brengen die zijn weerga niet kent. De afhankelijkheid van gedigitaliseerde processen en systemen is zo groot geworden dat aantasting van de processen en systemen onze maatschappij zou kunnen ontwrichten.

Portretfoto Hester Somsen

Hester Somsen

Basis op orde

Wat kunnen we doen om te voorkomen dat het zover komt? Om te beginnen is het belangrijk dat iedereen de basis op orde heeft. Vorig jaar heeft het NCSC een handreiking uitgebracht met de tien cybersecuritymaatregelen die elke overheidsorganisatie en vitale aanbieder sowieso zou moeten treffen. Van log-informatie en netwerken segmenteren tot multifactor authenticatie en het versleutelen van opslagmedia met bedrijfsgevoelige informatie. Het is het minste dat organisaties kunnen doen.

'Zorg dat je de risico's van je eigen organisatie kent, weet wat je moet beschermen en breng vervolgens de beveiliging op orde.'

Een andere belangrijke aanbeveling is het op orde brengen van risicomanagement. Zorg dat je de risico’s van je eigen organisatie kent, weet wat je moet beschermen en breng vervolgens de beveiliging op orde. Daarbij gaat het in de eerste plaats om het primaire proces op organisatieniveau met aanverwante risico’s. Als voorbeeld: voor gemeenten gaat het dus niet alleen om de continuïteit van de dienstverlening aan burgers en bedrijven; het gaat ook over het risico van een datalek. Wat als de persoonsgegevens van burgers worden aangeboden op het dark web? Het is een ongemakkelijke maar noodzakelijke denkexercitie. Risicomanagement gaat ook verder dan de eigen organisatie. Om echt effectief te zijn is het belangrijk om de onderlinge verwevenheid en afhankelijkheid tussen organisaties en ook tussen sectoren in kaart te brengen en daarop te acteren. Pas dan is er sprake van een echt gedegen en integrale aanpak.

Effectief reageren

Zelfs als we de digitale weerbaarheid in heel Nederland op een hoger peil krijgen, weten we dat honderd procent veiligheid niet bestaat. Daarom zullen we ons ook moeten voorbereiden op wanneer het onverhoopt misgaat. Op dit moment wordt hard gewerkt aan de opvolger van het Nationaal Crisisplan Digitaal: het Landelijk Crisisplan Digitaal (LCP-Digitaal). Hierin worden geleerde lessen verwerkt van recente incidenten zoals Log4J en Citrix en van de grote nationale cyberoefening ISIDOOR. De belangrijkste wijziging is dat het nieuwe plan breder wordt getrokken: het gaat niet alleen over de crisisaanpak op nationaal niveau, maar ook over die op regionaal niveau en over de onderlinge samenwerking met alle betrokken crisispartners. Veiligheidsregio’s pakken dus een duidelijke rol als mede-eigenaar van het plan. Dit betekent natuurlijk ook iets voor gemeenten, die voor digitale incidenten ook graag weten hoe ze de regionale en landelijke aansluiting kunnen vinden in de crisisbeheersing. De landelijke inbedding van het LCP-Digitaal en het mede-eigenaarschap van de veiligheidsregio’s zorgt voor verdere professionalisering van de crisisbeheersing bij digitale incidenten.

'Digitale veiligheid is een zaak van nationaal belang, waar iedereen een rol in heeft.'

Ruim 20 jaar geleden stond digitale veiligheid nog in de kinderschoenen. Het I Love You-virus kon genadeloos toeslaan. Die naïviteit hebben we van ons afgeschud; er zijn maar weinig mensen die de risico’s van cyberdreigingen onderschatten. Maar om de boel echt op orde te krijgen, zal ieder zijn rol moeten pakken. Het Landelijk Crisisplan Digitaal is daarvoor straks een prachtig vertrekpunt.

Hester Somsen plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cybersecurity en Statelijke dreigingen. Somsen is sinds 26 oktober 2020 plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cybersecurity en Statelijke dreigingen. Hiervoor werkte zij 23 jaar bij Buitenlandse Zaken, de laatste jaren als directeur Veiligheidsbeleid. Van 2013 tot en met 2016 was Hester ambassadeur in Beiroet.

deel deze pagina: