Op 28 oktober is de Overheidsbrede Cyberoefening in Utrecht, onder het motto: “Wat zou jij doen?” Dagvoorzitter is Chris van ’t Hof, internetsocioloog, schrijver en presentator. Hij deelt alvast een aantal veelvoorkomende valkuilen bij cybersecurity.
Valkuilen
Van ’t Hof stuit regelmatig op misverstanden over cybersecurity, dat blijken dan valkuilen voor de praktijk. Die helpt hij graag de wereld uit.
“Zo’n crisis overkomt ons niet, we hebben een hele goede leverancier.”
Van ’t Hof vertelt: ‘Het gebeurt vaak dat organisaties dachten dat ze de zorg voor veiligheid hadden uitbesteed, maar bij een crisis blijken ze er – om verschillende redenen – toch zelf over te gaan. Tijdens een crisis blijken regelmatig de vooronderstellingen over verantwoordelijkheden helaas toch niet te kloppen.’
“Onze afdeling IT is verantwoordelijk voor de cyberveiligheid.”
‘Dan denk ik meteen: het management en de bestuurders zijn niet aangehaakt. Dat levert problemen op bij een grote hack of andere cyberdreiging.’
“Onze organisatie heeft de cyberveiligheid op orde. Klaar!”
‘Veel organisaties zijn zich niet bewust van hun plek in de keten. Cyberveiligheid gaat niet alleen over de eigen organisatie; IT volgt een eigen logica en trekt zich weinig van organisatiegrenzen aan. Partners in de keten gebruiken dezelfde applicaties en delen vertrouwelijke informatie. Bij een crisis blijkt dan bijvoorbeeld dat de protocollen en crisishandboeken slecht op elkaar aansluiten.’
Oefenen
‘Met oefenen maak je dergelijke vooronderstellingen expliciet, bijvoorbeeld over verantwoordelijkheden. Vaak blijken die tijdens een oefening of crisis dan niet te kloppen.’ Of, meer positief, ziet Van ’t Hoff tijdens een crisis een onverwachte held opstaan die een belangrijke rol pakt in het bezweren ervan. ‘Tijdens zo’n oefening leer je vooral wat je nog niet weet en nog niet kent. Een goede aanvulling op risicomodellen, want die gaan uit van de bekende gevaren.’
Omdat overheden sámen oefenen, worden de onderlinge afhankelijkheden duidelijk. ‘Je komt er bijvoorbeeld achter dat je dezelfde leverancier hebt als veel andere organisaties en daarmee ook dezelfde kwetsbaarheid. Samen sta je natuurlijk sterker in het zorgen dat die kwetsbaarheden geadresseerd worden.’
Voelen
De tijd van awareness hebben we inmiddels wel gehad, vindt Van ’t Hof. ‘Bij dit congres gaat het er niet om een boodschap tussen de oren te krijgen, het gaat om de ‘onderbuik’. Een crisis moet je voelen, dat gevoel ontwikkel je door een crisis te beleven. Het congres zet aan tot handelen en biedt handelingsperspectief. Cyberellende was nog nooit zo leuk en leerzaam!’
Meld je aan
Meld je aan voor één van de laatste plekken. Let op: er is inmiddels een wachtlijst, professionals, managers en bestuurders van gemeenten, provincies en waterschappen hebben een streepje voor.