NSCS-onderzoek herstelvermogen na verstoringen
News 11 mei 2021

Herstelvermogen Nederlandse organisaties na verstorende incidenten onderzocht door NCSC

Source: NCSC

We schreven het afgelopen week nog: de gemiddelde herstelkosten na een ransomware-aanval zijn in een jaar tijd meer dan verdubbeld, zo bleek uit The State of Ransomware 2021 van Sophos. Het gemiddelde losgeldbedrag dat in het afgelopen jaar werd betaald, bedroeg 141.000 euro. Maar hoe zit het met het gemiddelde herstelvermogen van Nederlandse organisaties? Die vraag speelde ook bij het NCSC als basis voor het TNO-rapport 'Herstelvermogen binnen IT infrastructuren', als onderdeel van de onderzoeksagenda.

Wat is herstelvermogen? 

Herstelvermogen, is de mate waarin een organisatie efficiënt en effectief in staat is om functionaliteit, die voorzien wordt door ICT, weer beschikbaar te maken. Althans, zo luidt de werkdefinitie van het NCSC na discussies binnen de expertgroep. 

Het herstellen van verstoorde ICT is een concept dat terug te vinden is in onder andere de bredere onderwerpen cyberweerbaarheid en business continuity management. Laatstgenoemde onderwerpen zijn echter een stuk breder dan het herstellen van ICT en omvatten typisch ook het opstellen van preventieve en repressieve maatregelen. Aangezien het primaire doel van dit onderzoek zich beperkt tot het herstellen van verstoorde ICT wordt de scope van herstelvermogen een stuk smaller gedefinieerd. Zodoende kwam men op de bovenstaande definitie. Om die verder te specificeren, worden de verschillende onderdelen van de definitief als volgt geduid:

  • 'functionaliteit, die voorzien wordt door ICT': Met herstel wordt uiteindelijk beoogd om bepaalde functionaliteiten te herstellen. We beperken ons, in het kader van dit onderzoek, daarbij tot dergelijke functionaliteiten die geleverd worden door ICT. Denk hierbij aan diensten die een organisatie kan leveren waarbij er een directe relatie is tussen ICT en dienst (bijvoorbeeld het leveren van cloud diensten), maar ook aan bedrijfsprocessen die gebruik maken van informatiesystemen (bijvoorbeeld administratie).
     
  • Het herstellen van ICT functionaliteit dient efficiënt en effectief te gebeuren. De middelen die ingezet worden voor herstel dienen op te wegen tegen de negatieve impact van een incident. Herstel dient doeltreffend en binnen passende tijd te worden uitgevoerd. Daarbij houden we dan ook rekening met het ‘acuut herstel’ (zo snel mogelijk weer up-and-running) en ‘duurzaam herstel’ (herstellen op een duurzame manier).
     
  • Een organisatie is afhankelijk van bovenstaande functionaliteiten (voorzien door ICT) om diensten te kunnen leveren. Elke organisatie is eindverantwoordelijk voor de door haar geleverde diensten en de daarvoor gebruikte functionaliteit en daarbij het herstel van deze functionaliteit. Hiervoor is in de definitie expliciet de term “organisatie” opgenomen, refererend aan de organisatie die de diensten levert.

 

NCSC onderzoeksagenda

Weerbaarheid is een van de thema's in de NCSC onderzoeksagenda. De reden hiervoor is dat de afgelopen tijd wel gebleken is dat de vraag niet is óf je kwetsbaar bent, maar wannéér je geraakt wordt door een aanval. Daarom is het belangrijk om niet alleen na te denken over preventieve beveiligingsmaatregelen, maar ook over (aanvullende) maatregelen voor het herstelvermogen en incidentafhandeling van een organisatie. 

Het afgelopen jaar heeft TNO in samenwerking met NCSC onderzoek gedaan naar het herstelvermogen van organisaties. Als eerste stap is gewerkt aan een werkdefinitie van 'herstelvermogen', om die daarna te bespreken met een aantal organisaties binnen en buiten de doelgroep van het NCSC. Aan de hand van die definitie is het gesprek aan gegaan over hoe dit geregeld is binnen die organisaties. Uit deze gesprekken blijkt dat herstelvermogen een bekend en ingebed concept is. Er blijkt ook ruimte voor verbetering van herstelvermogen te zijn, vooral ten aanzien van het periodiek bijstellen van incidentscenario’s, oefenen van risicovollere scenario’s en het inrichten van collectief herstelvermogen.

Resultaten TNO-rapport Herstelvermogen binnen IT-infrastructuren

Na een analyse van alle interviews is geconcludeerd dat herstelvermogen bij alle geïnterviewde organisaties is ingeregeld en al voor langere tijd wordt opgepakt in de vorm van een samenvoeging / integratie van business continuity management en cyber security. Het valt op dat de awareness en het commitment bij het management een belangrijke indicator is voor goed ingericht herstelvermogen. De organisaties waarbij het herstelvermogen slechts beperkt tot recht kwam gaven allen aan dat herstelvermogen niet door de gehele organisatie leeft. In deze gevallen wordt herstelvermogen vaak gezien als een ‘feestje voor de ICT afdeling’, terwijl herstel meer elementen raakt dan puur ICT. Zo kan een effectieve en efficiënte keuze voor herstelmaatregelen alleen gemaakt worden als er een risico analyse is uitgevoerd die bedrijfsdoelstellingen, processen en functionaliteiten worden meegenomen.

Ook vereist goed herstelvermogen dat er voldoende middelen beschikbaar zijn voor zowel technische inrichting, documentatie, training en opleiding. Door het gebrek aan awareness en commitment bij het hogere management zijn er bij deze organisaties onvoldoende mensen en middelen beschikbaar om herstelvermogen in de breedte op te kunnen pakken.

In het gepubliceerde rapport is geprobeerd door middel van grafieken de belangrijkste bevindingen te visualiseren. Een voorbeeld is de weergave van de algemene bevindingen zoals bovenaan deze pagina wordt weergegeven. In het radardiagram hieronder betekent een lijn verder naar buiten dat organisaties op dat aspect aangeven er beter voor te staan. Het rapport gaat verder in op de individuele deelaspecten, zoals bijvoorbeeld de technische en procesmatige aspecten die tijden het 'voorbereiden op herstel' nodig zijn om 'goed herstelvermogen' mogelijk te maken.

Het volledige TNO-onderzoek is op de website van het NCSC te downloaden.

 

PARTICIPANT WORDEN VAN FERM? KIJK OP FERM-ROTTERDAM.NL/MEEDOEN

VIND FERM OOK OP TWITTER | LINKEDIN 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF