Overheden en vitale sectoren, ook in het Caribisch deel van het Koninkrijk, staan steeds vaker onder vuur. Cyberaanvallen worden gerichter en hun impact groter. Voor Juri Nicolaas, directeur van de Veiligheidsdienst Aruba, is cyberweerbaarheid dan ook geen ’technisch dossier’, maar een direct onderdeel van nationale veiligheid.
“Digitalisering is de motor van onze economie en modernisering”, zegt Nicolaas. “Als Aruba haar maatschappelijke stabiliteit en economische ontwikkeling wil borgen, moet cyberweerbaarheid geen IT-dossier meer zijn, maar een governancevraagstuk”. Daarom richt de Veiligheidsdienst Aruba (VDA) zich steeds meer op signalering, strategisch advies en bestuurlijke duiding. Om overheid en bestuurders te helpen digitale risico’s te begrijpen en te vertalen naar beleid, prioriteiten en investeringen. Nicolaas: “De kernvraag blijft: hoe houden we de samenleving draaiend als er digitaal iets misgaat?”
Steeds meer ‘vitale’ processen
Cyberweerbaarheid is niet alleen een taak van de overheid. Ook vitale organisaties en private partijen hebben een verantwoordelijkheid. “Publiek-private samenwerking begint met het gezamenlijk erkennen van risico’s”, benadrukt Nicolaas. De digitale afhankelijkheid neemt snel toe, ook op Aruba. Steeds meer processen krijgen het karakter van ‘vitaal proces’. Nicolaas: “Wat ooit een administratieve taak was, zoals bevolkingsregistratie, is nu digitaal verweven met paspoorten, zorg, belastingen en sociale voorzieningen. 1 verstoring kan direct maatschappelijke impact hebben.”
Of het nu gaat om reguliere bedrijfsvoering, continuïteit van dienstverlening of nationale veiligheid: “Het moet voor bestuurders duidelijk zijn op welk niveau een incident impact heeft”, zegt Nicolaas. “100% veiligheid bestaat niet, maar als je dat eerlijk uitspreekt, moet je ook kunnen uitleggen waarom je bepaalde risico’s wél aanpakt en andere bewust accepteert.”
Ad-hoc-oplossingen werken niet
De kleinschaligheid van Aruba is zowel een voordeel als een risico. “De lijnen zijn kort en je kent elkaar, dat maakt ons wendbaar.” Tegelijkertijd maakt de afhankelijkheid van import de eilanden kwetsbaar. “Iedereen begrijpt wat het betekent als reserveringssystemen, passagiersstromen of betalingen uitvallen. Die kwetsbaarheid is precies waarom structuur nodig is.” Ad-hoc-oplossingen werken niet meer in een digitale crisis. Daarom werkt Aruba aan vaste afspraken, verantwoordelijkheden en oefenstructuren. In opdracht van Aruba heeft TNO een eerste ‘cyberweerbaarheidsroadmap’ opgesteld. Verder zijn er ‘letters of intent’ (intentieverklaringen) met vitale partijen getekend, en er wordt gebouwd aan een governancestructuur waarin per sector duidelijk is wie welke rol en verantwoordelijkheden heeft tijdens een cybercrisis. “Dat raamwerk formaliseren is cruciaal, want het haalt de vrijblijvendheid eruit”, zegt Nicolaas.
Regie op weerbaarheid
Digitale expertise wordt nu vaak per organisatie of project ingekocht. “In een vrije markt is dat logisch, maar de overheid moet hier regie op hebben”, zegt Nicolaas. Met een helder kader, basisprincipes voor inkoop en minimumeisen aan deskundigheid kun je de lat hoger leggen, zonder alles top-down af te dichten. “Regie betekent ook dat er maatwerk nodig is ten opzichte van Europese regelgeving. Aruba is geen technisch ontwikkelland, maar vooral gebruiker van technologie. Het heeft weinig zin om Europese regels één-op-één over te nemen voor sectoren die we hier niet hebben. We moeten focussen op onze eigen risico’s, infrastructuur en vitale processen.”
Aansluiten bij regionale structuren
Hoewel de landen van het Koninkrijk dezelfde taal delen, hebben zij niet hetzelfde risicobeeld. Aruba wordt, onder meer vanwege de ligging, internationaal gezien als een KIE-staat (kleine eilandontwikkelingsstaat) waar digitalisering een expliciet onderdeel is van ontwikkelbeleid. Daarom pleit Nicolaas voor 1 gezamenlijk kader binnen het Koninkrijk, waarin elk land zijn eigen, specifieke kwetsbaarheden en expertise inbrengt. “Het heeft geen zin als elk eiland apart een eigen 24/7-CERT (Cyber of Computer Emergency Response Team) gaat optuigen. Beter is het om aan te sluiten bij bestaande regionale structuren, zoals Europese partners, LAC-landen (landen van Latijns-Amerika en het Caribisch gebied) en CARICOM (Caribische gemeenschap) en elkaar zo te versterken. Want we kunnen het niet alleen.”
Van bewustwording naar weerbaarheid
Echte cyberweerbaarheid rust op 3 pijlers: bestuurlijk eigenaarschap, een simpele maar sterke basis (met duidelijke rollen, toegangsrechten en meldprocedures) en oefenen binnen bestaande crisisstructuren. “Dankzij onze wendbaarheid weten we bij een orkaan precies hoe we moeten opschalen. Die aanpak moeten we ook toepassen bij een cyberincident.” In Aruba worden nu stappen gezet richting een digitaal weerbaarheidscluster, waarin verantwoordelijkheden helder zijn, sectoren elkaar sneller vinden en samenwerking vanzelfsprekend wordt. “Pas wanneer iedereen zijn of haar rol kent, wordt bewustwording echte weerbaarheid.”
Vertaalslag naar beleid
Nicolaas vervolgt: “Bestuurders moeten dreigingen kunnen vertalen naar beleid. Pas dan kun je keuzes maken en uitleggen.” Hij ziet dat steeds meer organisaties die maatschappelijke verantwoordelijkheid nemen: banken die burgers waarschuwen, scholen met aandacht voor digitaal gedrag en organisaties die intern oefenen. Bij phishingaanvallen waarschuwen de VDA en de politie inwoners via sociale media met concreet advies. “Zo zaai je geen angst, maar bied je juist handelingsperspectief.”
